不过我自己的架构都是这么做。发布用户用 publisher,发布上去,代码文件的属组用户都是 publisher。nginx和php-fpm 进程用户是 nobody。
php-fpm 进程用户不要和代码用户用同一个,这样保证nginx和php-fpm的进程修改不了源代码文件,让源代码是一种 “只读” 的状态
代码属于谁不重要, 因为 nginx 和 php 的运行用户,一定不能是代码的所有者
这意思就是, nginx 和 php 用 www 运行, 代码文件的属主不能是 www
最小权限,理解这句话就明白了。
不然为什么 nginx 默认用户是 nobody
都不是一个用户,默认 644,自然就只有读权限啊
第一个数字代表 当前用户的权限,第二个数字 代表当前用户组的权限,第三个数字 才是其他用户的权限。
1.jpg
