Forum Debian Users Gang

- 755 - to chyba najlepsze wyjście.

Domyślne i prawidłowe ustawienie, pod warunkiem. że public_html i jego zawartość  też ma 755 dla plików wykonywalnych i folderów, 644 dla innych plików, i należy należy od użytkownika i grupy innej niż Apache, który te pliki wyświetla.

Ja uprawnienia w takich przypadkach załatwiam takim skryptem:

#!/bin/bash
find $HOME/public_html/  -type d -exec chmod 755 '{}' \;
find $HOME/public_html/ -type f -iname '*.php'  -exec chmod 755 '{}' \;
find $HOME/public_html/  -type f -iname '*.js'  -exec chmod 644 '{}' \;
find $HOME/public_html/  -type f -iname '*.jpg'  -exec chmod 644 '{}' \;
find $HOME/public_html/ -type f -iname '*.gif'  -exec chmod 644 '{}' \;
find $HOME/public_html/ -type f -iname '*.png'  -exec chmod 644 '{}' \;
find $HOME/public_html/ -type f -iname '*.pdf'  -exec chmod 644 '{}' \;
find $HOME/public_html/ -type f -iname '*.cgi'  -exec chmod 755 '{}' \;
find $HOME/public_html/ -type d -iname 'tmp'  -exec chmod 777 '{}' \;
find $HOME/public_html/ -type d -iname 'cache'  -exec chmod 777 '{}' \;

to jest wersja specjalnie dopasowana do $HOME/public_thml - i jeszcze mi się nie zdażyło, żeby coś nie działało, na standardowych skryptach typu CMS typu Joomla i podobne.

To jest wersja do php w ramach Apacha, jeśli php obrabiane jest po cgi przez php-fpm, pliki php  wcale nie muszą mieć atrybutu wykonania.

Jakby trzeba coś przerobić, to skrypt jest w bashu, wykorzystuje komendy find i chmod.
RTFM:

man find

man chmod

Jeśli Apache nie będzie miał dostępu do public_html, to zobacz 2 rzeczy:

sudo -u apache bash
ls -l /home/{nazwa_użytkownika}/public_html

I w logach Apacha, Apache od którejś wersji automatycznie zamyka się w chroocie.
Wazglednie spróbuj, czy pójdzie, kiedy podlinkujesz /home/{login}/public_html  do /var/wwww/{login}, i zobacz, czy wtedy otworzy  coś na adresie http://{adres-Apacha}/{login}.

Standardowo w Linuxie dla wszystkich folderów tmp daje się uprawnienia 1777 - tzn 777 + lepki bit (sticky bit).
Tutaj też możesz taki założyć.
Jeśli natomiast nie chcesz mieć tmp na 777 - to spróbuj inaczej, np prawo zapisu dla www-data, albo jakiś ACL.

Sznurki:
http://en.wikipedia.org/wiki/Sticky_bit
http://pl.wikipedia.org/wiki/chmod

Ok, to już chyba ostatnie pytanie.

Zakładamy, że jest taka sytuacja:

/public_html     -  ag:ag - 755
- foldery w public_html      - ag:ag - 755
- pliki w public_html i podfolderach zgodnie ze skryptem Jacekalex -  ag:ag -  644/755
- katalogi, w których skrypt strony musi zapisywać pewne rzeczy typu, temp, upload, itd.    -  ag:www-data - 775

Czy takie rozwiązanie jest bezpieczniejsze niż:

/public_html     -  ag:ag - 755
- foldery w public_html      - ag:ag - 755
- pliki w public_html i podfolderach zgodnie ze skryptem Jacekalex -  ag:ag -  644/755
- katalogi, w których skrypt strony musi zapisywać pewne rzeczy typu, temp, upload, itd.    -  ag:ag - 777

Czy jest to zupełnie obojętne? :)