Debian LAMP权限设置要点

Debian LAMP权限设置需遵循最小权限原则，核心要点如下：

1. 用户与组隔离
   • Apache/PHP使用www-data用户和组。
   • MySQL使用独立用户（非root），为每个应用创建专用数据库用户并限制权限。
2. 关键目录权限
   • Web根目录（如/var/www/html）：所有者www-data，权限755（目录）/644（文件），禁止执行权限。
   • 上传目录：需设置为770，允许www-data组写入，但限制执行。
   • 配置文件（如/etc/apache2、/etc/mysql）：权限644，仅root可读写。
3. 服务与特殊权限
   • 禁用root远程SSH登录，使用普通用户+sudo操作。
   • 谨慎使用chmod 777，避免设置SUID/SGID位。
4. 安全增强工具
   • 启用AppArmor（Debian默认）限制服务权限。
   • 定期审计权限，使用ls -la检查关键目录，监控日志文件。