Каковы правильные разрешения для папки загрузки с PHP / Apache?

Вы можете создать новую группу, в которой будут участвовать как пользователь apache, так и пользователь FTP, а затем сделать разрешение для папки загрузки 775. Это должно дать пользователям apache и FTP возможность записывать файлы в папке, но оставить всех остальных от их изменения.

Я добавлю, что если вы используете SELinux, вам необходимо убедиться, что контекст типа tmp_t. Это можно сделать с помощью утилиты chcon.

chcon -t tmp_t uploads

Я бы согласился с ответом Райана, если вы действительно этого хотите.

В общем, в среде * nix вы всегда хотите ошибиться, отдавая как можно меньше разрешений.

В 9 случаях из 10 755 является идеальным разрешением для этого, поскольку единственным пользователем, имеющим возможность изменять файлы, будет веб-сервер. Измените это значение на 775 с вашим пользователем ftp в группе, если вам ДЕЙСТВИТЕЛЬНО нужно это изменить.

Поскольку вы новичок в php по собственному признанию, вот полезная ссылка для повышения безопасности вашей службы загрузки: move_uploaded_file

Важно то, что пользователь и группа apache должны иметь минимальный доступ read и в некоторых случаях доступ execute. В остальном вы можете предоставить доступ 0.

Это наиболее безопасная настройка.

Помните также CHOWN или chgrp в папке вашего веб-сайта. Попробуйте myusername# chown -R myusername:_www uploads

Я бы поддержал идею создания ftp-группы, которая будет иметь права на загрузку. Однако я не считаю необходимым давать разрешение 775. 7 означает чтение, запись, выполнение. Обычно вы хотите разрешить определенным группам читать и писать, но в зависимости от случая выполнение может не потребоваться.

Основываясь на ответе @Ryan Ahearn, я сделал следующее на Ubuntu 16.04, чтобы создать пользователя front, который имеет разрешение только на веб-каталог nginx /var/www/html.

Шаги:

* pre-steps:
    * basic prepare of server,
    * create user 'dev'
        which will be the owner of "/var/www/html",
    * 
    * install nginx,
    * 
* 
* create user 'front'
    sudo useradd -d /home/front -s /bin/bash front
    sudo passwd front

    # create home folder, if not exists yet,
    sudo mkdir /home/front
    # set owner of new home folder,
    sudo chown -R front:front /home/front

    # switch to user,
    su - front

    # copy .bashrc, if not exists yet,
    cp /etc/skel/.bashrc ~front/
    cp /etc/skel/.profile ~front/

    # enable color,
    vi ~front/.bashrc
    # uncomment the line start with "force_color_prompt",

    # exit user
    exit
* 
* add to group 'dev',
    sudo usermod -a -G dev front
* change owner of web dir,
    sudo chown -R dev:dev /var/www
* change permission of web dir,
    chmod 775 $(find /var/www/html -type d)
    chmod 664 $(find /var/www/html -type f)
* 
* re-login as 'front'
    to make group take effect,
* 
* test
* 
* ok
*