Centos - ปรับใช้เว็บแอปพลิเคชัน - วิธีที่ดีที่สุดในการใช้บัญชีผู้ใช้ที่ไม่ใช่ apache กับ SFTP/WinSCP คืออะไร

ฉันมีคำถามง่ายๆ แต่ฉันไม่เข้าใจวิธีดำเนินการในลักษณะที่ปลอดภัย

ฉันมีเว็บแอปพลิเคชันที่ใช้ PHP ที่ทำงานบน Linux (Centos7) ฉันมีสิทธิ์เข้าถึง "ผู้ใช้" ด้วยสิทธิ์ Sudo บนเซิร์ฟเวอร์ Linux

เว็บเซิร์ฟเวอร์ (Apache) ทำงานเป็นผู้ใช้ "apache" กับกลุ่ม "apache"

ปัญหาคือเมื่อฉันพยายามปรับใช้แอปพลิเคชันโดยใช้ WinSCP ฉันได้รับข้อผิดพลาดในการอนุญาต วิธีเดียวที่ฉันสามารถแก้ปัญหานี้คือทำ

usermod -g apache ชื่อผู้ใช้ของฉัน
chmod 775 /var/www/html

ฉันไม่ต้องการให้ 775 แก่โฟลเดอร์เว็บทั้งหมดฉันคิดว่าเป็นปัญหาใหญ่ด้านความปลอดภัย วิธีใดที่ปลอดภัยที่สุดในการเก็บถาวรงานประเภทนี้

ฉันจะปรับใช้แอปของฉันโดยใช้ Winscp ด้วยบัญชีผู้ใช้ของฉัน แต่เป็นผู้ใช้ AS apache ได้อย่างไร หรือคำแนะนำอื่น ๆ เกี่ยวกับการปฏิบัติทั่วไปในอุตสาหกรรมที่ถือว่าปลอดภัย?

มีวิธีที่แนะนำหลายวิธีในการแก้ปัญหานี้

1. เพิ่มสิทธิ์ในการเขียน /var/www/html สำหรับผู้ใช้ที่เข้าสู่ระบบผ่าน WinSCP/SFTP สามารถทำได้หลายวิธี
   • การเปลี่ยนกลุ่มเป็นผู้ใช้ที่รันอยู่ (และให้สิทธิ์ในการเขียน)

     sudo chgrp <ผู้ใช้> /var/www/html
     sudo chmod g+w -R /var/www/html
     

     หมายเหตุ: ใช้งานได้เพราะมีกลุ่มยูนิกซ์ที่สร้างขึ้นสำหรับผู้ใช้เสมอ
   • การสร้างกลุ่มยูนิกซ์ใหม่ที่มีทั้ง apache และผู้ใช้ (และให้สิทธิ์ในการเขียน)

     sudo groupadd <ชื่อกลุ่ม>
     sudo chgrp <ชื่อกลุ่ม> /var/www/html
     sudo chmod g+w -R /var/www/html
     

2. เรียกใช้บริการ apache เมื่อผู้ใช้เข้าสู่ระบบผ่าน WinSCP/SFTP (ลิงค์)
3. ย้ายรูทเอกสาร apache จาก /var/www/html (เพียงแค่สร้าง symlink จาก /var/www/html ไปยังไดเร็กทอรีที่เป็นของผู้ใช้การปรับใช้หรือโดยการอัปเดตการกำหนดค่า apache)