La forma predeterminada de Debian de configurar un servidor web común (Nginx) es ejecutar el proceso principal como trabajadores principales y no privilegiados como www-data. Con el fin de permitir que los procesos de trabajo lean / ejecuten archivos de aplicaciones web, algunos usuarios envían esos archivos al usuario www-data.
Recientemente, he leído un buen argumento que dice que uno nunca debe dar acceso de escritura a www-data a los archivos de la aplicación web, sino que leer y ejecutar derechos a través de ser parte de un grupo. Creo que esa sería la configuración más segura que he visto, pero me encantaría saber si alguien tiene mejores estrategias.
¿Cuál es la forma más segura de configurar los permisos de usuario para una aplicación web?
Y como beneficio adicional (sin dejar el tema del servidor en sí), ¿qué otros consejos de configuración relacionados puede proporcionar para asegurar un servidor web más allá de lo que podría obtener de los repositorios?