आपको कम से कम विशेषाधिकार के सिद्धांत का पालन करने की आवश्यकता है । सर्वर (शायद www-data
, लेकिन आपको जांचने की आवश्यकता होगी) को अधिकांश फ़ाइलों को पढ़ने में सक्षम होना चाहिए (सभी कहते हैं) और लॉग में ही लिखें। वेब डेवलपर्स को यह लिखने की अनुमति है कि उन्हें कहाँ ज़रूरत है। निर्देशिकाओं पर चिपचिपा बिट सेट करें ताकि केवल एक फ़ाइल का स्वामी ही इसे हटा सके।
व्यवहार में आपको एक समूह बनाने की ज़रूरत है (उदाहरण के लिए webdev
) और सभी डेवलपर्स और सर्वर को इसमें जोड़ें ( usermod -aG webdev <user>
या usermod -A webdev <user>
आपके लिनक्स स्वाद पर निर्भर करता है)। chown
वेबसर्वर उपयोगकर्ता के लिए सभी फाइलें और निर्देशिका, सभी निर्देशिकाओं को 500 तक और सभी फाइलों को 400 तक ( bin
जहां निष्पादन योग्य 500 के रूप में अच्छी तरह से करने की आवश्यकता है) को छोड़कर ।
/opt/tomcat
समूह को अनुमतियाँ प्रदान करें (जो 570 होगी) और चिपचिपा सा सेट करें ताकि वे केवल उन फाइलों को हटा सकें जो उनके पास हैं (चोद 1570)। सर्वर को लॉग्स की अनुमति दें, और डेवलपर्स को अनुमतियाँ पढ़ें (फ़ोल्डर के लिए 0740, फ़ाइलों के लिए 0640, चिपचिपा बिट संभवतः आवश्यक नहीं है, और इसे कभी भी फ़ाइल को न दें, केवल फ़ोल्डर, क्योंकि यह एक है अलग अर्थ (फ़ाइल के निष्पादन योग्य होने पर स्वामी की अनुमति के साथ निष्पादित करें)।
फिर आपको webdev
कुछ निर्देशिकाओं पर लेखन अनुमति (1570) देने की आवश्यकता होगी । आपको यहां कुछ परीक्षण और त्रुटि की आवश्यकता होगी, और यह आवेदन पर निर्भर हो सकता है। उन फ़ोल्डरों को 1570 होना चाहिए, जबकि कुछ अन्य 0500 हो सकते हैं)।
डेवलपर्स को समूह में अपनी फ़ाइलों पर रीड एक्सेस देने की आवश्यकता होगी ताकि सर्वर उन्हें (वह 640) पढ़ सके, और निर्देशिकाओं (जो 750) पर निष्पादित हो।