Linux 正确设置站点权限

目的：为了保证网站不遭受木马入侵上传及修改文件。

相对安全的权限：

1、站点内所有目录和文件的用户和组都应该是root
2、所有目录权限默认的755
3、所有文件权限默认的644 （不能改文件）

1+2，网站服务用户（nginx）不能往目录里面写文件，即nginx用户就不能在里面写文件了，木马就杜绝了。
注意：网站服务的程序使用的用户不能用root，可以用nginx

以上权限设置可以防止木马，但是用户上传的内容也被拒之门外，怎么设置让正常客户端上传文件？
解决方法：

1、大多数网站做法 chown -R nginx.nginx /data(站点目录)  比较危险的。
2、找到上传的目录，授权nginx可以访问，这时比较安全的做法。
3、架构上做优化（对业务做读写分离）
动态web集群只负责：帖子和博文的发布和存取，上传后直接跳转到上传的服务器，上传服务器把图片文件放到存储服务器
4、mount安全参数或者放到/etc/fstab
mount -o nosuid.noexec,nodev 

站点目录及URL访问控制

location ~ ^/images/.*\.(php|php5)$ {
    deny all;
} 
location ~ ^/static/.*\.(php|php5)$ {
    deny all;
} 
location ~* ^/data/(attachment|avatar).*\.(php|php5)$ {
    deny all;
} 

attachment|avatar(附件|头像)