LAMP中Linux權限設置要點

LAMP架構（linux, apache, mysql, php）的安全性很大程度上依賴于合理的Linux權限設置。本文將闡述LAMP環境下權限設置的關鍵點，幫助您構建安全穩定的服務器環境。

權限基礎

理解Linux權限的核心在于三個角色：文件所有者（Owner）、所屬組（Group）以及其他用戶（Others）。每個角色擁有讀(r)、寫(w)、執行(x)三種權限。

常用命令

• chmod: 修改文件或目錄權限。例如，chmod 755 file.txt 賦予所有者讀、寫、執行權限，組和其它用戶僅有讀、執行權限。
• chown: 修改文件或目錄所有者。例如，chown user:group file.txt 將文件所有者改為user，所屬組改為group。
• chgrp: 修改文件或目錄所屬組。

LAMP環境權限設置指導

1. Web服務器文檔根目錄: 建議權限設置為644 (所有者讀寫，組和其它用戶只讀)，防止因寫權限導致的安全漏洞。
2. 文件上傳目錄: 建議權限設置為755 (所有者讀寫執行，組和其它用戶讀執行)，允許Web服務器用戶上傳文件。
3. 數據庫文件: 建議權限設置為640 (所有者讀寫，組只讀，其它用戶無權限)，保護數據庫數據安全。
4. 日志文件: 建議權限設置為640 (所有者讀寫，組只讀，其它用戶無權限)，防止日志被惡意篡改或刪除。
5. 用戶與組: 最佳實踐是使用非root用戶運行Web服務器和PHP進程，并為這些用戶分配必要的權限。

權限掩碼 (umask)

umask值決定新創建文件和目錄的默認權限。例如，umask 022表示新文件權限為644，新目錄權限為755。

特殊權限位 – 粘滯位 (Sticky Bit)

粘滯位通常應用于目錄，例如 chmod 1777 Directory，它防止用戶刪除不屬于自己的文件，即使他們屬于該目錄的組。

自動化權限設置

使用shell腳本(例如 set-permissions.sh)可以批量管理文件和目錄權限，提高效率并降低人為錯誤。

總結

熟練掌握Linux權限設置是LAMP服務器管理的基石。根據實際需求靈活運用權限設置，是保障系統安全穩定運行的關鍵。 切記，安全無小事，定期檢查和調整權限設置，有助于防范潛在風險。