服务器文件权限最小化核心是“默认拒绝、按需开放”,须从创建源头用umask控制,默认文件666、目录777,减umask得实际权限;高敏感场景用0077,日志上传用0027,Web上传推荐0022配合chown与chmod;umask需在systemd、PHP-FPM、cron或用户配置中生效,并须结合归属、sgid、专用用户及定期扫描加固。
服务器文件权限最小化,核心是“默认拒绝、按需开放”,不是等文件建好再 chmod 补救,而是从创建源头用 umask 控制默认权限,并配合归属和目录结构共同防护。
umask 不是直接设权限,而是定义“要屏蔽掉哪些权限”。系统创建文件或目录时,会用基准值减去 umask 得到实际权限:
没有万能值,关键看业务安全等级和协作需求:
临时运行 umask 0027 只影响当前终端。生产环境必须确保它在应用实际运行的上下文中起作用:
/etc/systemd/system/myapp.service 的 [Service] 段加 UMask=0027,然后 systemctl daemon-reload && systemctl restart myapp
/usr/local/php/etc/php-fpm.conf 的对应 pool 段下加 php_admin_value[umask] = 0022,重启 php-fpmumask 0077;或在 crontab 文件顶部加 UMASK=0077(部分系统支持)~/.bashrc 或 ~/.profile 末尾添加 umask 0027,再执行 source ~/.bashrc
umask 单独使用效果有限,必须结合其他手段:
chown -R www:www uploads/,再 chmod -R 755 uploads/,再用 find uploads -type f -exec chmod 644 {} + 把文件权限收紧applogs,并 chmod g+s /var/log/myapp,确保新生成的日志子目录自动继承组backupuser),目录权限设为 700,且该用户 shell 设为 /usr/sbin/nologin
find /path -type f -perm /o+r -ls 查找 others 可读的敏感文件