所以我有一个PHP应用程序。权限设置为适用于www-data用户和组的权限。问题是我的文件是由另一个在PHP需要访问的不同用户下运行的服务器进程(一个java进程)生成的。它们也位于未向vhost注册的另一个目录中。
所以我试图找出最好的方法来做到这一点。我想我可以在我的php文件夹中创建一个符号链接,该文件夹已经可以通过virtualhost访问(检查以确保apache跟随符号链接)。那么我仍然需要更改实际文件的权限,对吧 - 也许可以将www-data添加到创建这些文件的组中?这是否意味着www-data可能有权访问该组拥有的所有文件? apache目录的权限是否足以阻止潜在的攻击者使用我想要提供的特定文件移出目录?
或者,我可以创建一个在拥有这些文件的用户下运行的新虚拟主机,只需通过不同的子域访问这些文件。
我可能会看到创建由www-data组拥有的文件并对文件具有组读取权限。
无论如何,只是看看这个问题是否有标准的最佳实践。