Debian LAMP权限设置指南

Debian LAMP（Linux+Apache+MySQL/MariaDB+PHP）环境中，权限设置是保障服务器安全的核心环节。合理的权限配置既能保证Web应用正常运行，又能防止未授权访问或恶意操作。以下是针对LAMP组件的详细权限设置步骤及注意事项：

一、基础权限管理命令

在设置具体权限前，需掌握以下基础命令，用于查看、修改文件/目录权限及归属：

• 查看权限：ls -l（显示文件/目录的权限、所有者、所属组等信息）；
• 修改权限：chmod（支持数字模式如755或符号模式如u=rwx,g=rx,o=rx）；
• 修改所有者：chown（格式：chown 用户名:组名 文件/目录路径）；
• 修改所属组：chgrp（格式：chgrp 组名 文件/目录路径）。

二、用户与组管理

LAMP环境中，需区分系统用户（如Apache的www-data、MySQL的mysql）与普通用户（用于日常运维）。建议遵循“最小权限原则”，避免使用root用户直接操作：

• 创建普通用户并加入sudo组：

  sudo useradd -m -s /bin/bash username  # 创建用户及家目录，设置bash shell
  sudo passwd username                    # 设置用户密码
  sudo usermod -aG sudo username          # 将用户加入sudo组（赋予sudo权限）
  

• 将用户添加到Web组（可选）：若需让用户管理Web文件，可将其加入www-data组：

  sudo usermod -aG www-data username      # 将用户添加到www-data组
  sudo chgrp -R www-data /var/www/html    # 修改Web目录所属组为www-data
  sudo chmod -R 775 /var/www/html         # 允许组用户读写执行
  

三、Apache权限设置

Apache默认以www-data用户/组运行，需确保Web根目录（通常为/var/www/html）的权限允许Apache访问，同时限制敏感文件的暴露：

• 设置Web根目录权限：

  sudo chown -R www-data:www-data /var/www/html  # 所有者与所属组均为www-data
  sudo chmod -R 755 /var/www/html                # 目录权限755（所有者可读写执行，组与其他用户可读执行）
  

• 限制敏感目录访问：如/var/www/html/config（存放数据库配置），可通过Apache配置禁止访问：

  <Directory /var/www/html/config>
      Require all denied
  </Directory>
  

• 禁用目录列表：防止直接访问目录时列出文件，修改Apache配置：

  <Directory /var/www/html>
      Options -Indexes +FollowSymLinks
  </Directory>
  

四、MySQL/MariaDB权限设置

数据库权限需严格区分root用户（本地管理）与应用用户（仅授予必要权限）：

• 运行MySQL安全脚本：安装完成后，执行以下命令强化安全：

  sudo mysql_secure_installation
  

  按提示设置root密码、删除匿名用户、禁止root远程登录、删除测试数据库。
• 创建应用专用用户：避免应用使用root用户，仅为应用创建专用用户并限制访问范围：

  CREATE USER 'app_user'@'localhost' IDENTIFIED BY 'strong_password';
  GRANT SELECT, INSERT, UPDATE, DELETE ON app_db.* TO 'app_user'@'localhost';
  FLUSH PRIVILEGES;
  

  此配置仅允许app_user从本地访问app_db数据库，并授予基本CRUD权限。

五、PHP权限设置

PHP脚本的执行权限需与Apache用户一致，避免因权限过高导致安全风险：

• 设置PHP文件权限：

  sudo chown -R www-data:www-data /var/www/html  # 确保PHP文件属于www-data
  sudo chmod -R 644 /var/www/html/*.php          # PHP文件权限644（所有者可读写，组与其他用户可读）
  

• 限制上传目录权限：若应用有上传功能，需单独设置上传目录权限（如/var/www/html/uploads），防止上传恶意脚本：

  sudo chown -R www-data:www-data /var/www/html/uploads
  sudo chmod -R 755 /var/www/html/uploads
  sudo find /var/www/html/uploads -type f -exec chmod 644 {} \;  # 上传的文件权限设为644
  

六、sudo权限管理

通过sudoers文件规范sudo使用，避免滥用root权限：

• 安全编辑sudoers文件：使用visudo命令（自动检查语法，防止配置错误）：

  sudo visudo
  

• 添加用户sudo权限：在文件中添加以下内容（允许username无密码使用sudo，生产环境建议保留NOPASSWD:以提升安全性）：

  username ALL=(ALL) NOPASSWD:ALL
  

• 限制sudo命令范围：若需限制用户仅能执行特定命令（如重启Apache），可修改为：

  username ALL=(ALL) /usr/bin/systemctl restart apache2, /usr/bin/systemctl stop apache2
  

七、SELinux/AppArmor（可选）

Debian默认启用AppArmor（Linux安全模块），可限制进程的权限。若需调整AppArmor对Apache的限制：

• 查看Apache的AppArmor配置：

  sudo aa-status | grep apache
  

• 修改配置文件：编辑/etc/apparmor.d/usr.sbin.apache2，添加允许访问的目录（如/var/www/html），然后重新加载配置：

  sudo systemctl reload apparmor
  

八、注意事项

1. 备份重要数据：修改权限前，备份配置文件（如/etc/apache2/、/etc/mysql/）及网站数据，防止误操作导致数据丢失；
2. 定期审计权限：通过ls -l /var/www/html定期检查Web目录权限，确保无异常文件（如权限为777的文件）；
3. 避免过度开放权限：不要将Web目录权限设为777（所有人可读写执行），这会导致严重的安全风险；
4. 监控日志：定期检查/var/log/apache2/error.log、/var/log/mysql/error.log，及时发现权限相关的异常（如“Permission denied”错误）。

通过以上步骤，可建立Debian LAMP环境的合理权限体系，兼顾功能需求与安全性。权限设置需根据实际业务场景调整，核心原则是“最小权限”——仅授予必要的访问权限。