Permisos de archivo mínimos (endurecidos)

¿Existe alguna guía publicada sobre los permisos de archivo adecuados/mínimos/endurecidos para Discourse?

Específicamente, estoy buscando un conjunto de comandos idempotentes usando chown y chmod para reducir los permisos al mínimo posible y otorgarlos solo cuando sea necesario al usuario/grupo con los privilegios mínimos.

Me gustaría esto tanto para:

1. Los archivos/directorios en el directorio /var/discourse/ (y otros directorios importantes) en el host de Docker de Discourse, y
2. Los archivos/directorios dentro del contenedor de Docker de Discourse, especialmente los archivos/directorios dentro del directorio raíz del documento del servidor web.

Por ejemplo, me gustaría configurar que todos los archivos/directorios en el directorio raíz del documento expuesto del contenedor de Discourse:

1. Tengan 0 permisos para otros
2. Sean de lectura-escritura (2) para el usuario del servidor web solo si se requiere acceso de escritura (es decir, directorio de carga de fotos/adjuntos)
3. Sean de solo lectura (4) para el usuario del servidor web en caso contrario
4. Tengan permiso de ejecución (1) solo si es un directorio o si se requiere para un archivo

Gracias

Reactivando. ¿Podrían los desarrolladores opinar? Sería muy útil que esto estuviera documentado.

Lo mejor que puedo ofrecer es que revises nuestro archivo container web.yml en discourse_docker, ya que ahí se configuran los permisos.

Esto no es algo común, así que tendrás que experimentar.