Ubuntu上Laravel项目权限管理指南

一、核心原则

Laravel权限管理的核心是平衡安全性与功能性：

• 最小权限原则：避免使用777等过度开放的权限，防止未授权访问。
• 职责分离：区分项目所有者（开发者）与Web服务器（如www-data）的权限，既保证开发者能修改代码，又确保Web服务器能正常读写必要目录。
• 关键目录保护：storage（日志、文件上传）、bootstrap/cache（缓存文件）必须对Web服务器可写，其他目录/文件限制为仅必要权限。

二、具体操作步骤

1. 确定Web服务器用户

Ubuntu系统中，Apache/Nginx默认使用www-data用户运行。可通过以下命令确认：

ps aux | grep apache2  # Apache
ps aux | grep nginx    # Nginx

输出中第一个字段即为运行用户（通常为www-data）。

2. 设置项目目录所有者

将项目目录的所有者设为部署用户（如ubuntu），组设为www-data（Web服务器组），实现开发者与Web服务器的权限协同：

sudo chown -R ubuntu:www-data /var/www/your_laravel_project

其中/var/www/your_laravel_project替换为你的项目实际路径。

3. 配置目录/文件基本权限

• 文件权限：普通文件设置为664（所有者可读写，组可读，其他用户无权限），避免敏感信息泄露。
• 目录权限：所有目录设置为775（所有者可读写执行，组可读写执行，其他用户可读执行），确保Web服务器能访问目录结构。

# 设置所有文件权限为664
sudo find /var/www/your_laravel_project -type f -exec chmod 664 {} \;
# 设置所有目录权限为775
sudo find /var/www/your_laravel_project -type d -exec chmod 775 {} \;

4. 授权Web服务器访问关键目录

storage（日志、文件上传）和bootstrap/cache（缓存文件）是Laravel运行必需的可写目录，需为www-data组添加读写执行权限：

cd /var/www/your_laravel_project
sudo chgrp -R www-data storage bootstrap/cache
sudo chmod -R ug+rwx storage bootstrap/cache

这一步确保Web服务器能正常写入日志、缓存文件及上传的文件。

5. 解决开发者权限问题

若开发者需要通过FTP/SFTP修改项目文件，需将自己加入www-data组，避免因权限不足导致无法编辑：

sudo usermod -a -G www-data ubuntu

注意：添加后需重新登录（或重启终端），使组权限生效。

6. 创建符号链接（可选）

若项目中使用了php artisan storage:link创建的符号链接（用于将storage/app/public映射到public/storage），需确保符号链接指向的目录权限正确：

sudo chmod -R 775 /var/www/your_laravel_project/public/storage

这一步确保Web服务器能访问上传的文件（如图片、文档）。

三、注意事项

• 禁止使用777权限：即使临时解决问题，也应尽快调整至上述推荐的权限设置，避免安全风险。
• SELinux/AppArmor：若系统启用了SELinux（CentOS）或AppArmor（Ubuntu），需配置正确的安全上下文，允许Web服务器访问项目目录（如sudo chcon -R -t httpd_sys_rw_content_t /var/www/your_laravel_project/storage）。
• 定期检查权限：部署后或系统更新后，建议检查关键目录权限是否被修改，确保应用正常运行。