/var/www/html 和我自己的网站文档根目录的权限问题

您永远不必在主目录中运行网站。 曾经。 否则，您必须让 Web 服务器能够遍历/home/以查看目录结构，但也可以进入/home/$USER/（您的用户的主目录，我们可以在其中尝试查看您的用户目录中还存在什么）以及任何其他子文件夹在那里。配置不当或配置错误或未打补丁的 Web 服务器可能会以这种方式导致大量数据泄漏，或丢失凭据等，这将使您的个人数据和登录在不同的事物上面临风险。您使用的符号链接方法也无济于事，原因与尝试授予 Apache 读取权限相同/home/andre/www/moodle- Web 服务器必须能够遍历您的主目录才能到达符号链接/var/www/html指向的位置，这仍然会带来安全风险。

首先，使用sudo cp -r /home/andre/www/moodle/ /var/www/html/. 这会将您的文件复制到/var/www/html，并使其远离您自己的主目录。然后，我们将重做权限，以便您和 Web 服务器可以访问该目录中的所有内容，并为您的用户提供对所有文件和目录的完全读/写权限。然后，您将只需要/var/www/html为您的网站工作。

在您将数据复制回之后，这实际上是四个步骤/var/www/html：

1. 授予 Apache 对文件夹和文件的访问权限，以便它可以在没有 403 错误的情况下为站点提供服务。
2. 为您的用户提供文件和文件夹的“所有者”，并为您自己提供所有文件和文件夹的读/写权限，以及遍历目录的能力。
3. （可选但推荐）将其设置为在整个目录结构中从此处创建的任何文件或文件夹都将组设置为www-data.
4. （可选）最终安全清理，我们设置权限，以便您和 Web 服务器可以看到站点数据，但其他用户无法访问站点的文件或目录结构。

(1) 允许 Apache 访问文件夹和文件。

sudo chgrp -R www-data /var/www/html
sudo find /var/www/html -type d -exec chmod g+rx {} +
sudo find /var/www/html -type f -exec chmod g+r {} +

这递归地将“组”设置www-data为文件夹和文件。然后，这将授予 Web 服务器递归和访问站点文档根目录结构的权限（+x仅适用于目录）。然后它还确保 Web 服务器对所有文件具有读取权限，因此可以接收站点数据。

在某些情况下，您必须授予 Web 服务器对文件或目录的写入权限 - 这可以通过执行sudo chmod g+w /var/www/html/PATH（PATH在您需要应用的目录结构中的文件或文件夹的路径Web 服务器的写入权限）。

注意：在很多情况下，这可能会暴露有关站点配置的“安全”信息（例如数据库访问凭据等），您应该删除对这些单独文件或目录上的数据的“其他”访问权限以下内容：（sudo chmod o-rwx /var/www/html/FILEPATH替换FILEPATH为相对于/var/www/html文件文件夹的路径）。

另请注意，如果“新文件”出现 403 问题，您将来可能必须重新运行这些命令，以便为 Web 服务器提供正确的权限，以继续访问在其中创建或复制的文件和文件夹没有www-data正确设置组。

(2) 授予您的所有者对文件夹和文件的读/写权限，并允许文件夹访问以遍历目录结构。

sudo chown -R USER /var/www/html/
sudo find /var/www/html -type d -exec chmod u+rwx {} +
sudo find /var/www/html -type f -exec chmod u+rw {} +

用您自己的用户名替换USER第一个命令！

我们在这里做三件事。首先，我们将您的用户设置为 中所有文件和目录的“所有者” /var/www/html。接下来，我们对文件夹设置读写权限，并允许您访问文件夹以进入它们（+x目录项上的项目）。然后，我们将所有文件设置为拥有所有者的读/写权限，我们刚刚设置。

(3) （可选）确保在此之后创建的每个新文件都是www-data以“访问”用户身份创建的。

sudo find /var/www/html -type d -exec chmod g+s {} +

这会为目录上的组设置“set gid”位。在这些目录中创建的文件和文件夹将始终www-data作为组，允许 Web 服务器访问。

(4) （可选）最后的安全清理，如果您不希望其他用户能够看到数据

我们需要您的用户查看目录和文件。我们也需要网络服务器来这样做。我们可能不希望其他系统用户（root 除外）看到数据。因此，我们不要给他们访问权限，而是让他们只有您的用户和 Web 服务器才能看到数据。

sudo chmod -R o-rwx /var/www/html/

注意：您不必稍后重新运行，或在此处编辑“其他”权限类别的权限。如果“其他”用户无法访问/var/www/html/（他们没有必要的+x位/var/www/html来遍历文件结构和目录结构，也没有+r位来读取文件列表），那么其他用户对该目录下项目的权限或组并不会真的太重要。

对此还有一个侵入性稍小的解决方案，尽管它不保证适用于所有新文件，也不保证适用于所有文件系统，包括文件访问控制列表。这使您可以保留文件的所有权www-data，但为所有意图和目的赋予您有效的所有者权利，即使您个人并不拥有这些文件。

此解决方案侵入性较小，可让您拥有一个目录和其中的所有文件，www-data:www-data或者让您root:www-data自己访问。它使用访问控制列表，它允许您让多个用户拥有权限，而无需设置单独的组。这也允许root系统www-data用户拥有文件，还允许您根据具体情况添加额外的权限，并微调某些用户的权限，以便他们可以读取内容但不能编辑，等等。

假设我们仍在使用/var/www/html/，并且我们不希望窥探我们和系统（当然还有 root）以外的用户来查看我们的数据，我们需要做以下事情：

1. 将所有权归还给网络服务器系统用户www-data。

sudo chown -R www-data:www-data /var/www/html

2. 递归地让您读/写文件，同时让其他用户（当然不包括www-data）root无法访问文件。

sudo find /var/www/html -type f -exec setfacl -mu:YOURUSERNAME:rw -m other::--- {} \;

3. 递归地让自己对目录进行读/写/遍历，删除其他用户对文件夹的访问权限（不包括www-dataand root）并将其设置为目录中新文件的“默认”ACL。

sudo find /var/www/html -type d -exec setfacl -d -mu:YOURUSERNAME:rwx -mo::--- {} \;

4. 我们还需要setgid为所有目录设置该位，这样如果您创建一个文件，网络服务器仍然可以www-data通过组权限访问它。

sudo find /var/www/html -type d -exec chmod g+x {} \;

现在您可以访问所有目录，并且您不必取消访问权限，www-data因为网络服务器仍然可以根据需要在任何地方创建文件（例如基于 PHP 的前端拥有自己的缓存目录等需要创建和写入才能正常运行）。

唯一需要注意的是：如果您手动创建新文件，则需要相应地对它们进行 chown 以将所有权授予网络服务器。这很简单sudo chown www-data:www-data filename，访问控制列表仍应让您对文件拥有有效的所有者权限。

在多种情况下，我必须以系统管理员身份进行某些类型的非标准访问，而无需更改给定文件的所有者。这行得通，但也有自己的麻烦，因为并非每个文件系统都支持文件访问列表。

Thomas ward 的出色回答 https://askubuntu.com/a/767534/717860

您只需 3 个命令而不是 8 个命令即可完成所有推荐的步骤：

3 个命令：

sudo chown -R ubuntu:www-data /var/www
sudo find /var/www -type d -exec chmod 2750 {} \+
sudo find /var/www -type f -exec chmod 640 {} \+

执行与以下 8 个命令相同的工作：

sudo chgrp -R www-data /var/www
sudo find /var/www -type d -exec chmod g+rx {} +
sudo find /var/www -type f -exec chmod g+r {} +
sudo chown -R ubuntu /var/www/
sudo find /var/www -type d -exec chmod u+rwx {} +
sudo find /var/www -type f -exec chmod u+rw {} +
sudo find /var/www -type d -exec chmod g+s {} +
sudo chmod -R o-rwx /var/www/

使用符号链接来解决权限问题的整个想法是有缺陷的，并且行不通。为符号链接本身显示的权限大多无关紧要，它们不能用于规避“真实”目录的权限。/var/www/html/moodle从to创建符号链接/home/andre/www/moodle/不会绕过/home/andre/www/moodle/. 任何想要在其中做事的人/var/www/html/moodle都只能这样做，前提是他获得了/home/andre/www/moodle/.

您的执行sudo chmod -R 775 moodle/实际上确实产生了效果，但与您认为它没有改变符号链接的权限，而是符号链接目标的权限不同/home/andre/www/moodle/。

您在网络服务器中遇到的 403 错误可能是因为您的网络服务器没有必要的权限进入/home/andre。这不是“额外的问题”，而是由于相同的权限问题。

因此，您必须确定允许您编辑文件和 Web 服务器以访问它们（甚至编辑它们，这取决于应用程序）的权限，而不是使用符号链接。这些权限到底是什么，取决于您的确切用例（您的应用程序和服务器配置）。

一般来说，我认为您拥有文件并拥有 rw 权限是个好主意，Web 服务器只能通过组权限读取文件，而所有其他用户都没有任何访问权限。

权限示例（由于缺少信息，可能不适用于您的用例）：

andre@fermat:/var/www/html$ ls -al moodle/
total 0
drwxr-x--- 2 andre www-data 60 mai  4 16:20 .
drwxr-xr-x 3 root  root     80 mai  4 16:20 ..
-rw-r----- 1 andre www-data  0 mai  4 16:20 index.html

您可以看到该目录有足够的权限供您作为所有者进入并修改其内容，Web 服务器（在组中www-data）可以进入并读取。文件本身对您（所有者）是可读和可写的，对 Web 服务器（在组中www-data）是可读的。所有其他用户都没有任何访问权限。

再次，请仅以此为例。Web 服务器的确切用户/组取决于您的配置。您的应用程序（moodle）可能需要不同的权限，您必须查阅其文档。