总结

1.创建一个普通用户账户
2.先设置所有文件夹为只读不可写

sudo chmod -R a-w /path/to/directory

3.再把php执行的用户组加上

sudo chown -R username:groupname /path/to/php/files

4.再把可执行的文件加入

sudo chmod -R 755 /path/to/php/files

关于权限 理清PHP在Linxu下执行时的文件权限

如果你的网站还是以777 作为权限，那么你的服务器将开放给任何人，任何人可以在目录中执行脚本。

看过一些别人的外包项目，竟然整个项目的权限设置为777 ，其实是非常可怕的，黑客可以上传文件到任意目录，并执行该文件。

这样做是可怕的，一些程序员可以利用一些工具扫描漏洞，像很多php程序员在简历中说，破解过php，植入后门等，都是因为前期的php程序员的门槛低，对于安全意识薄弱，造成很多网站都可以 get Shell。

如何正确的设置php 运行目录？我这边总结一些方法，分享给大家。

设置目录的所有者

php程序一般是给nginx 或者 apche 调用的，所以系统会有一个 www（视情况而，有些是www-data） 的用户和用户组

sudo chown -R www-data:www-data /path/to/your/laravel/root/directory

但是我们如果使用 php artisan 命令，或者什么时候你想要用FTP传输文件到服务器，这样设置权限会报错的，因为这个目录的权限是属于www-data:www-data 用户和用户组的。你应该要添加到web 的用户组中。（ubantu叫ubantu，vagrant叫vagrant）

sudo usermod -a -G www-data ubuntu

设置权限

首先给自己的程序还原一下最初

给php框架所需要的读写权限。

Laravel：

sudo chgrp -R www-data storage bootstrap/cache
sudo chmod -R ug+rwx storage bootstrap/cache

如果是Tp框架：

sudo chgrp -R www-data runtime
sudo chmod -R ug+rwx runtime

这样你的php框架就相对安全了。

上传权限

我们的小体量的程序有些需要上传图片或文件到服务器（但是推荐上传到OSS或者七牛等第三方储存方案。）

防止上传的程序被恶意攻击程序，我们可以在Nginx或者Apache 拒绝运行php脚本

Nginx：

location ~ ^/(uploads|assets)/.*\.(php|php5|jsp)$ {  
      deny all;
} 

Apache：

RewriteEngine on RewriteCond % !^$
RewriteRule uploads/(.*).(php)$ – [F]

这般如此，你的程序就加上了一层厚厚的盾了

后续：
大部分PHP程序员，都搞不懂如何安全代码部署【二】（nginx篇）

相关

linux 更改文件夹及所有子文件权限为www