Минимальные права доступа к файлам (защищённые)

Существует ли опубликованное руководство по правильным/минимальным/усиленным правам доступа к файлам для Discourse?

В частности, я ищу набор идемпотентных команд с использованием chown и chmod, которые позволят установить минимально возможные права доступа и предоставлять их только при необходимости минимально привилегированному пользователю/группе.

Мне это нужно как для:

1. Файлов и каталогов в директории /var/discourse/ (и других важных директориях) на хосте Docker с Discourse, так и
2. Файлов и каталогов внутри контейнера Docker с Discourse, особенно файлов и каталогов внутри корневой директории веб-сервера.

Например, я хотел бы настроить так, чтобы все файлы и каталоги в открытой корневой директории веб-сервера контейнера Discourse:

1. Не имели никаких прав для «всех» (world);
2. Иметь права на чтение и запись (2) для пользователя веб-сервера только в том случае, если требуется доступ на запись (например, директория для загрузки фото/вложений);
3. Иметь права только на чтение (4) для пользователя веб-сервера в остальных случаях;
4. Иметь право на выполнение (1) только если это каталог или если это необходимо для файла.

Спасибо.

Напоминаю. Не могли бы разработчики откликнуться? Было бы очень полезно задокументировать это.

Лучшее, что я могу предложить, — это посмотреть на наш файл container web.yml в репозитории discourse_docker: там настраиваются разрешения.

Это нестандартный путь, так что вам придется поэкспериментировать.