Tornar / var / www acessível somente para servidor raiz e web

Eu assumo que o usuário do Apache é chamado www-data . Se você quiser que os arquivos em /var/www/ se tornem legíveis somente por esse usuário, é necessário dar a ele a propriedade:

sudo chown -R www-data /var/www/

Agora, você deseja que www-data seja o único usuário que realmente possa ler / gravar esses:

sudo chmod -R 700 /var/www/

Observe que root sempre tem acesso de leitura / gravação a qualquer arquivo, independentemente das permissões. Se essa configuração é uma boa ideia ou não - bem, prefiro chroot esses usuários SSH para suas pastas base. Veja Posso criar um usuário SSH que pode acessar apenas um determinado diretório?

Dependendo do usuário do seu servidor da web (geralmente www-data):

chown www-data /var/www
chmod -R 700 /var/www

Isso definirá o usuário www-data como o proprietário do seu diretório / var / www e permitirá acessar o diretório somente ao proprietário.

Você pode tornar o usuário root ou outro usuário o proprietário do seu conteúdo da web. Isso impedirá que o servidor web sobrescreva o conteúdo se alguém obtiver acesso por meio de um script ou outro ponto de entrada. Substitua root nesses comandos por qualquer usuário que você queira possuir o conteúdo.

chown -R root:www-data /var/www
chmod 2750 /var/www

Para permitir que o user (além do root) mantenha o conteúdo, você precisará adicionar o usuário ao grupo www-data.

adduser user www-data

Algumas aplicações web podem ter alguns diretórios onde eles escrevem conteúdo dinâmico. Para permitir o acesso, altere o proprietário para www-data ou permita a gravação em grupo.