Permissões de arquivo mínimas (endurecidas)

Existe alguma orientação publicada sobre as permissões de arquivo adequadas/mínimas/endurecidas para o Discourse?

Especificamente, estou procurando um conjunto de comandos idempotentes usando chown e chmod para reduzir as permissões ao mínimo possível e concedê-las apenas quando necessário ao usuário/grupo com privilégios mínimos.

Gostaria disso tanto para:

1. Os arquivos/diretórios no diretório /var/discourse/ (e outros diretórios importantes) no host Docker do Discourse, quanto
2. Os arquivos/diretórios dentro do contêiner Docker do Discourse, especialmente os arquivos/diretórios dentro do diretório raiz do documento do servidor web

Por exemplo, gostaria de configurar de modo que todos os arquivos/diretórios no diretório raiz do documento exposto do contêiner do Discourse:

1. Não tenham permissões para o mundo (0)
2. Tenham permissão de leitura-escrita (2) para o usuário do servidor web se e somente se o acesso de gravação for necessário (ou seja, diretório de uploads de fotos/anexos)
3. Tenham permissão de somente leitura (4) para o usuário do servidor web, caso contrário
4. Tenham permissão de execução (1) apenas se for um diretório ou se for estritamente necessário para um arquivo

Obrigado

Bump. Os desenvolvedores podem, por favor, comentar? Seria muito útil que isso fosse documentado.

O melhor que posso oferecer é olhar o nosso arquivo container web.yml no discourse_docker, onde as permissões são configuradas.

Isso é fora do caminho comum; você precisará experimentar.