ThinkPHP框架在Linux下的权限管理

Linux下 ThinkPHP 权限管理实践

一 运行用户与目录所有权

• 明确运行用户：Web 服务进程（如 Apache 的 www-data、Nginx+PHP-FPM 的 www 或 nginx）必须对代码可读取、对可写目录可写入。先确认进程用户：ps -ef | grep -E 'apache|httpd|php-fpm|nginx'。
• 推荐所有权策略：将项目所有者设为部署用户（如 deploy），所属组设为 Web 运行用户（如 www-data），便于部署与运行分离：chown -R deploy:www-data /var/www/your-app。
• 原则：最小权限、可维护、可回滚；避免使用 chmod 777 -R，该做法对公网环境极不安全。

二 目录与文件权限基线

• 基线权限（适用于多数 ThinkPHP 版本，含 TP5/6）：
  • 项目根与代码文件：目录 750，文件 640（所有者读写执行/读写，组读执行/读，其他无权限）。
  • 可写目录（缓存、日志、会话、上传等）：统一 770（所有者与组读写执行，其他无权限）。
• 快速设置示例（以项目目录 /var/www/your-app 为例）：

  # 1) 基线：目录750，文件640
  chown -R deploy:www-data /var/www/your-app
  find /var/www/your-app -type d -exec chmod 750 {} \;
  find /var/www/your-app -not -type d -exec chmod 640 {} \;
  
  # 2) 可写目录：按需放开到770
  # TP5 常见 Runtime 路径
  find /var/www/your-app/Application/Runtime -type d -exec chmod 770 {} \;
  find /var/www/your-app/Application/Runtime -type f -exec chmod 660 {} \;
  
  # TP6 常见 runtime 路径（单应用）
  find /var/www/your-app/runtime -type d -exec chmod 770 {} \;
  find /var/www/your-app/runtime -type f -exec chmod 660 {} \;
  
  # TP6 多应用（每个应用均有 runtime）
  find /var/www/your-app/app -path '*/runtime' -type d -exec chmod 770 {} \;
  find /var/www/your-app/app -path '*/runtime' -type f -exec chmod 660 {} \;
  

• 说明：ThinkPHP 的 Runtime 目录用于日志、缓存、模板编译等，必须可写；出现如 STORAGE_WRITE_ERROR 等错误，多半是对应目录不可写或属主/属组不正确。

三 安全加固要点

• 禁止直接访问敏感目录：在 runtime（及上传目录）放置 .htaccess（Apache）或等价 Nginx 配置，禁止 Web 直接访问。
  • Apache 示例（.htaccess 置于 runtime 及其子目录）：

    Order Allow,Deny
    Deny from all
    

  • Nginx 示例（在 server 配置中）：

    location ^~ /runtime/ {
        deny all;
    }
    location ^~ /public/uploads/ {
        deny all;
    }
    

• 避免 777：仅在排障时临时使用，修复属主/属组与权限基线后应恢复；生产环境严禁全局 777。
• 上传目录：禁止脚本执行（如 Nginx location ~* \.(php|php5)$ { deny all; }），并限制可访问类型与大小。
• 最小特权运行：PHP-FPM 以专用用户运行，仅授予项目目录必要权限；数据库、缓存等凭据最小化可见。

四 多应用与多环境配置

• 多应用（如 TP6 的 app 下多模块）：为每个应用的 runtime 单独设置 770/660，避免跨应用越权写入。
• 多站点/多项目批量设置（示例脚本片段，谨慎执行并先备份）：

  # 批量将多个 TP 项目的 runtime 设为 770/660
  for d in /webserver/*/www; do
    if [ -d "$d/app" ]; then
      find "$d/app" -path '*/runtime' -type d -exec chmod 770 {} \;
      find "$d/app" -path '*/runtime' -type f -exec chmod 660 {} \;
    elif [ -d "$d/Application/Runtime" ]; then
      chmod -R 770 "$d/Application/Runtime"
    fi
  done
  

• 环境差异：开发环境可放宽便于调试；预发布/生产环境应回到基线权限并配合 .htaccess/Nginx 禁止访问敏感目录。

五 常见问题与排查

• 症状：STORAGE_WRITE_ERROR、日志/缓存无法写入、模板编译失败。
  • 排查：确认 Runtime 路径是否存在、属主/属组是否为 部署用户:Web用户、权限是否为 770/660；若曾被设置为 777，排查后请恢复。
• 症状：页面报权限不足或 500 错误。
  • 排查：检查 Nginx/Apache 是否以正确用户运行、是否对 public/index.php 可读、是否误将可写目录暴露到 Web。
• 症状：命令行（如 php think、队列）生成的日志/缓存属主为 root，导致 Web 无法写入。
  • 处理：避免以 root 执行应用命令；必要时将生成文件统一改为 部署用户:Web用户，或在命令前切换用户：sudo -u www-data php think ...。
• 症状：大小写敏感导致“控制器不存在”。
  • 处理：Linux 区分大小写，统一文件/类名/路由大小写规范，避免 Windows 开发习惯直接迁移。