Os sites devem estar em / var / ou / usr / de acordo com o uso recomendado?

De acordo com a FHS , /usr é para shareable, read-only data - não onde você deseja colocar o site. É aqui que você deve colocar seu código (por exemplo, o Fedora faz isso para o Wordpress). Veja também o guia de empacotamento dos recursos da web para o Fedora.

/var são "arquivos de dados variáveis. Isso inclui diretórios e arquivos de spool , dados administrativos e de registro e arquivos transitórios e temporários. " - melhor, mas ainda não está certo - mas muitos sistemas usarão /var/www , então mesmo que você esteja errado em colocar isso, você está em boa companhia.

/srv é para "dados específicos do site que são servidos por este sistema." - o que parece ser um bom jogo, mas é muito menos comum que /var/www .

O outro lugar comum para colocar os arquivos do site está sob /home - criando um usuário especial chamado website ou algo assim, depois colocando os arquivos dentro do homedir do usuário (por exemplo, /home/website ).

Dê uma olhada no Padrão de Hierarquia do Sistema de Arquivos ( Wikipedia ). Eu mesmo uso / srv / web / $ domain / {htdocs, logs, cgi-bin, ...}.

Os sites devem estar nos diretórios iniciais dos usuários. Eles são dados do usuário, devem ser isolados por um usuário por site e o conteúdo dinâmico deve ser executado como um usuário separado novamente, com arquivos que o conteúdo dinâmico precisa ler e modificar, com as permissões apropriadas para isso.

Atualização:

O fato de não ser um servidor de hospedagem compartilhado não significa que você não deve se envolver em boas práticas de segurança e separar funções independentes em suas próprias zonas de segurança.

O guia definitivo é o Padrão de Hierarquia do Sistema de Arquivos que diz que /srv é o adequado lugar.

Onde eles vivem no disco tem pouca importância. É onde você os quer.

Eu tenho um link simbólico de / www em todas as minhas máquinas para onde eles realmente moram, então eu nunca tenho que me perguntar de máquina para máquina. Algumas máquinas antigas têm / u0 e / u1 para discos de usuários, e eu coloco as coisas da web lá. Alguns têm / home montados diretamente, então eles vão até lá, mas / www sempre aponta para o lugar certo.

Eu também não coloco nenhuma configuração em / usr nem em / var. Ele entra em / local (o que, você adivinhou, é um link simbólico em algum lugar em / u0 ou / u1 normalmente). Isso facilita o backup das coisas. Eu apenas faço backup dos discos do usuário.

Claro, eu tenho um site de distribuição mestre para o meu sistema operacional escolhido, o NetBSD. Eu faço o sistema como eu quero na máquina principal (realmente uma instância de xen) e rsync / usr ao redor. Facilita minha vida.

De acordo com você, você NUNCA deve NUNCA colocar nenhum serviço de Internet na zona comum do sistema.

Seus serviços de Internet (Apache / Tomcat / SSH, etc) são uma porta da frente, então, se você colocar esses serviços em sua zona do Sistema, estará potencialmente vulnerável a alguns ataques.

Mais do que se você colocasse seus serviços diferentes em uma zona de caixa de proteção segura, como outra partição separada.

Aqui está um exemplo de estrutura que você pode usar:

/ --> Root System --> On SDA1 --> Root and System security operator access only
 |
 | -->/usr /etc /var etc.

/SRV --> Web Root --> On SDB1 --> Web users access with minimal rights access.
 |
 |-->/srv/bin & /srv/dta
      |
      |-->/srv/bin/apache (or any other APPLICATION Binaries)
      |-->/srv/dta/SQL (or any other APPLICATION Datas like a 
                        database or web PHP files etc.)

O servidor da web Apache tem o site padrão em / var / www / , mas está sugerindo colocar outros sites em / srv /

Eu notei isso no Ubuntu Server 14.04 LTS. Seu arquivo apache2.conf padrão contém um bloco comentado:

#<Directory /srv/>
#   Options Indexes FollowSymLinks
#   AllowOverride None
#   Require all granted
#</Directory>