var /运行应用程序时项目的目录。在dev环境,bin /控制台和公共/ index . php文件使用umask ()以确保目录是可写的。这意味着在本地机器上开发应用程序时不需要配置权限。

然而,使用umask ()在生产中不被认为是安全的。这就是为什么您经常需要在生产服务器中显式地配置一些权限的原因，如本文所述。

var / log /目录必须存在，必须是可写的web服务器用户和终端用户;

的var /缓存/目录必须由终端用户(运行该目录的用户)可写缓存:热身或缓存:清晰命令);

的var /缓存/目录必须由web服务器用户可写filesystem-based缓存．

setfacl(Linux / BSD)

使用访问控制列表(ACL)权限是最安全的和推荐的方法var /目录可写的。您可能需要安装setfacl和启用ACL支持在使用此方法之前，在您的磁盘分区上。然后，使用下面的脚本来确定您的web服务器用户并授予所需的权限:

1 2 3 4 5 6 7

＄HTTPDUSER=$(ps axo user,comm | grep -E(一)pache | [h] ttpd | [_] www | [w] ww-data | [n] ginx”| grep -v root | head -1 | cut -d\ -f1)#如果这不起作用，尝试添加' -n '选项#设置未来文件和文件夹的权限＄sudo setfacl -dR -m u:＂＄HTTPDUSER＂:rwX -m u:$(whoami):rwX var#设置现有文件和文件夹的权限＄sudo setfacl -R -m u:＂＄HTTPDUSER＂:rwX -m u:$(whoami):rwX var

这两个命令都为系统用户(运行这些命令的用户)和web服务器用户分配权限。

请注意

setfacl在NFS挂载点上不可用。但是，出于性能原因，强烈不建议在NFS上存储缓存和日志。

httpd . conf或apache2.conf对于Apache)，并将其用户设置为与您的CLI用户相同(例如，对于Apache，更新用户和集团指令)。

谨慎

如果在生产服务器中使用此解决方案，请确保该用户只有有限的特权(不能访问私有数据或服务器，不能执行不安全的二进制文件等)，因为受威胁的服务器会将这些特权交给黑客。

umask因此，缓存和日志目录是组可写的或全局可写的(取决于web服务器用户和命令行用户是否在同一个组中)。要实现这一点，请将下面的行放在bin /控制台,公共/ index . php文件:

1 2 3 4 5

umask (0002）;//这将使权限为0775/ /或umask (0000）;//这将使权限为0777

谨慎

改变了umask不是线程安全的，因此建议在可用时使用ACL方法。