Minimale (gehärtete) Dateiberechtigungen

Gibt es veröffentlichte Richtlinien für die korrekten/minimalen/härtenden Dateiberechtigungen für Discourse?

Insbesondere suche ich nach einer Reihe idempotenter Befehle mit chown und chmod, um die Berechtigungen so weit wie möglich zu reduzieren und sie nur dann dem Benutzer/der Gruppe mit den minimalen Rechten zu gewähren, wenn dies erforderlich ist.

Ich benötige dies für beide Fälle:

1. Die Dateien/Verzeichnisse im Verzeichnis /var/discourse/ (und anderen wichtigen Verzeichnissen) auf dem Discourse-Docker-Host und
2. Die Dateien/Verzeichnisse innerhalb des Discourse-Docker-Containers, insbesondere die Dateien/Verzeichnisse im Dokumentenstammverzeichnis des Webservers

Beispielsweise möchte ich erreichen, dass alle Dateien/Verzeichnisse im exponierten Dokumentenstammverzeichnis des Discourse-Containers:

1. Keine Berechtigungen für „Welt" (0) haben
2. Lese- und Schreibrechte (2) für den Benutzer des Webservers haben, nur wenn Schreibzugriff erforderlich ist (z. B. Verzeichnis für Foto-/Anhang-Uploads)
3. Andernfalls nur Lesezugriff (4) für den Benutzer des Webservers haben
4. Nur dann Ausführungsrechte (1) haben, wenn es sich um ein Verzeichnis handelt oder diese für eine Datei anderweitig erforderlich sind

Vielen Dank

Aufgefrischt. Können sich die Entwickler bitte zu Wort melden? Eine Dokumentation hierzu wäre sehr hilfreich.

Das Beste, was ich anbieten kann, ist, einen Blick auf unsere container web.yml in discourse_docker zu werfen; dort werden die Berechtigungen eingerichtet.

Das ist ein wenig unkonventionell, Sie müssen also experimentieren.