PHP文件上传权限

Question

我正在设置共享主机。我的用户可以通过 SFTP 访问服务器来上传他们的内容。我正在使用单独的 PHP 进程作为各自的用户运行（每个站点一个）。我希望用户默认看不到其他用户的内容（除了通过网络服务器作为任何其他非特权客户端），但网络服务器（作为 www-data 用户/组运行）应该能够读取所有内容。现在，我将 www 中文件的所有权授予特定用户，将组所有权授予 www-data，并使用 set GID 位将组所有权传播到新文件/目录（用户不在 www-data 组中）。

它工作得很好，但现在我遇到了一个问题。一些网站正在使用 wordpress，当他们上传文件时，设置的 GID 位会丢失，这意味着 Web 服务器无法访问它。是否有某种方法可以将 PHP 或 wordpress（更有可能）配置为 chmod 文件和目录到正确的权限？

注意：我在 PHP 中没有使用安全模式，所以应该可以添加设置的 GID 位。

更新：我尝试在 wordpress 配置中调整 FS_CHMOD_DIR 和 FS_CHMOD_FILE 值。我认为这将允许我将上传的文件更改为我想要的任何内容。但是，它并不影响新上传文件的权限。从codex 中的信息来看，我猜这些设置仅适用于核心更新功能。

谢谢！

Answer 1

这不是确切问题的答案，而是一般问题的解决方案。将用户的 web 目录的所有权分配给 user/www-data 并将权限设置为 750，无 SGID 位。用户必须不属于 www-data 组。但是，在该目录中，可以将组所有权设置为用户的主组（例如用户）。里面的权限可以分别是文件和子目录的644和755。其他用户将无法进入或遍历此 Web 目录，因此即使他们有足够的权限自行访问文件，也无法访问其中的任何文件，从而提供了安全性。这将限制通过 SFTP 连接和执行 PHP 命令的用户。

由于此解决方案不使用设置 GID 位，因此它解决了原始问题。上传的文件可以保留其默认所有权和权限。

一个小示范：

transistor# mkdir www
transistor# chown :www-data www
transistor# chmod 750 www
transistor# ls -l
total 4
drwxr-x--- 2 root www-data 4096 Feb 20 20:59 www
transistor# touch www/file1.txt
transistor# mkdir www/subdir
transistor# touch www/subdir/file2.txt
transistor# ls -l www
total 4
-rw-r--r-- 1 root root    0 Feb 20 21:00 file1.txt
drwxr-xr-x 2 root root 4096 Feb 20 21:00 subdir
transistor# ls -l www/subdir 
total 0
-rw-r--r-- 1 root root 0 Feb 20 21:00 file2.txt
transistor# exit
giedrius@transistor:/tmp/sandbox$ cd www
bash: cd: www: Permission denied
giedrius@transistor:/tmp/sandbox$ ls www/subdir
ls: cannot access www/subdir: Permission denied
giedrius@transistor:/tmp/sandbox$ cat www/file1.txt
cat: www/file1.txt: Permission denied
giedrius@transistor:/tmp/sandbox$ cat www/subdir/file2.txt
cat: www/subdir/file2.txt: Permission denied
giedrius@transistor:/tmp/sandbox$ sudo -su www-data
transistor% ls www 
file1.txt  subdir
transistor% cat www/file1.txt 
transistor% cat www/subdir/file2.txt 
transistor%