#!/bin/bash set -e echo "=== ThinkPHP Docker权限初始化 ===" # 定义应用根目录,优先使用环境变量,否则使用默认值 APP_ROOT="${PHP_APP_ROOT:-/var/www/html}" echo "使用应用根目录: $APP_ROOT" # 创建统一的Web组并配置所有用户(最高效的权限管理) # 错误处理:如果配置失败,不要终止整个脚本 configure_web_users || echo "⚠️ Web用户配置出现问题,但继续执行权限设置"() { # 常见Web服务器用户列表 WEB_USERS=("www-data" "www" "apache" "nginx") # 获取环境变量中的用户ID TARGET_UID=${USER_ID:-33} TARGET_GID=${GROUP_ID:-33} echo "配置统一Web组权限,目标UID:GID = $TARGET_UID:$TARGET_GID" # 创建统一的Web组(增强错误处理) WEB_GROUP="webaccess" if ! getent group "$WEB_GROUP" &>/dev/null; then echo "创建统一Web组: $WEB_GROUP" # 尝试使用指定GID创建组 if groupadd -g $TARGET_GID "$WEB_GROUP" 2>/dev/null; then echo "✅ 统一Web组创建成功,GID: $TARGET_GID" else echo "⚠️ GID $TARGET_GID 已被占用,尝试自动分配GID" # 尝试不指定GID创建组 if groupadd "$WEB_GROUP" 2>/dev/null; then ACTUAL_GID=$(getent group "$WEB_GROUP" | cut -d: -f3) echo "✅ 统一Web组创建成功,自动分配GID: $ACTUAL_GID" else echo "❌ 创建 $WEB_GROUP 组失败,尝试使用备用方案" # 备用方案:使用现有的www-data组 if getent group "www-data" &>/dev/null; then WEB_GROUP="www-data" echo "🔄 使用现有的www-data组作为统一组" else echo "❌ 备用方案也失败,权限配置可能不完整" WEB_GROUP="" fi fi fi else ACTUAL_GID=$(getent group "$WEB_GROUP" | cut -d: -f3) echo "✅ 统一Web组 $WEB_GROUP 已存在,GID: $ACTUAL_GID" fi # 最终验证组是否存在 if [ -z "$WEB_GROUP" ] || ! getent group "$WEB_GROUP" &>/dev/null; then echo "❌ 无法创建或找到可用的Web组,权限配置将受限" return 1 fi # 只将已存在的Web用户加入统一组(增强错误处理) success_count=0 total_users=0 for web_user in "${WEB_USERS[@]}"; do total_users=$((total_users + 1)) if id "$web_user" &>/dev/null; then echo "📝 处理Web用户: $web_user" # 获取用户当前组信息 current_groups=$(id -Gn "$web_user" 2>/dev/null | tr ' ' ',') echo " 当前所属组: $current_groups" # 尝试将用户加入统一组(使用-a参数保留现有组,只添加新组) if usermod -a -G "$WEB_GROUP" "$web_user" 2>/dev/null; then echo " ✅ 成功将 $web_user 添加到统一组 $WEB_GROUP" success_count=$((success_count + 1)) else echo " ⚠️ 无法将 $web_user 添加到统一组,尝试设置主组" # 备用方案:设置主组 if usermod -g "$WEB_GROUP" "$web_user" 2>/dev/null; then echo " ✅ 成功将 $web_user 主组设置为 $WEB_GROUP" success_count=$((success_count + 1)) else echo " ❌ 无法配置 $web_user 的组权限" fi fi else echo "⚭ Web用户 $web_user 不存在,跳过" fi done echo "📊 用户配置汇总: $success_count/$total_users 个Web用户配置成功" # 至少要有一个用户配置成功 if [ $success_count -eq 0 ]; then echo "⚠️ 没有Web用户被成功配置,但继续执行" fi echo "统一Web组配置完成" } # 错误处理:如果配置失败,不要终止整个脚本 configure_web_users || echo "⚠️ Web用户配置出现问题,但继续执行权限设置" echo "当前用户: $(whoami)" echo "UID: $(id -u), GID: $(id -g)" # 修复所有目录权限(使用统一Web组,最高效的权限管理) if [ -d "$APP_ROOT" ]; then # 重新获取最终的WEB_GROUP(可能已被修改) FINAL_WEB_GROUP="" # 首选:使用创建的webaccess组 if getent group "webaccess" &>/dev/null; then FINAL_WEB_GROUP="webaccess" echo "🎯 使用创建的统一Web组: $FINAL_WEB_GROUP" # 备选:使用www-data组 elif getent group "www-data" &>/dev/null; then FINAL_WEB_GROUP="www-data" echo "🔄 回退到www-data组: $FINAL_WEB_GROUP" # 最后:使用当前用户的组 else CURRENT_USER=$(whoami) CURRENT_GROUP=$(id -gn "$CURRENT_USER") FINAL_WEB_GROUP="$CURRENT_GROUP" echo "🔧 使用当前用户组: $FINAL_WEB_GROUP" fi # 最终验证 if [ -z "$FINAL_WEB_GROUP" ]; then echo "❌ 无法确定有效的Web组,跳过权限设置" return 1 fi WEB_GROUP="$FINAL_WEB_GROUP" WEB_GROUP_GID=$(getent group "$WEB_GROUP" | cut -d: -f3) echo "✅ 最终使用Web组: $WEB_GROUP (GID: $WEB_GROUP_GID)" echo "🔒 统一组权限模式:所有Web用户通过组继承权限" # 设置所有权为统一Web组(增强错误处理) echo "📁 设置应用目录所有权为统一Web组" CURRENT_USER=$(whoami) if chown -R $CURRENT_USER:$WEB_GROUP "$APP_ROOT" 2>/dev/null; then echo "✅ 所有权设置成功: $CURRENT_USER:$WEB_GROUP" else echo "⚠️ 所有权设置失败,尝试只设置组权限" chgrp -R "$WEB_GROUP" "$APP_ROOT" 2>/dev/null || echo "❌ 组权限设置也失败" fi # 设置目录权限为775(组权限为rwx,所有组内用户都有完整权限) echo "🔐 设置目录权限775,文件权限664" # 使用更安全的权限设置方式,避免权限被拒绝 dir_count=0 file_count=0 # 设置目录权限 while IFS= read -r -d '' dir; do if chmod 775 "$dir" 2>/dev/null; then dir_count=$((dir_count + 1)) fi done < <(find "$APP_ROOT" -type d -print0 2>/dev/null | head -z -1000) # 限制处理数量避免性能问题 # 设置文件权限 while IFS= read -r -d '' file; do if chmod 664 "$file" 2>/dev/null; then file_count=$((file_count + 1)) fi done < <(find "$APP_ROOT" -type f -print0 2>/dev/null | head -z -1000) # 设置setgid位,确保新文件继承组权限 while IFS= read -r -d '' dir; do chmod g+s "$dir" 2>/dev/null done < <(find "$APP_ROOT" -type d -print0 2>/dev/null | head -z -500) echo "📊 权限设置完成: $dir_count个目录, $file_count个文件" echo "✅ 统一组权限设置完成,所有Web用户通过组获得权限" # 设置ACL(如果支持,只需设置统一组) if command -v setfacl >/dev/null 2>&1; then echo "🔒 设置ACL权限(只需设置统一Web组)" acl_success=0 # 只为统一Web组设置ACL权限(限制处理深度) if setfacl -R -m g:$WEB_GROUP:rwx "$APP_ROOT" 2>/dev/null; then echo " ✅ 设置组ACL权限成功" acl_success=$((acl_success + 1)) else echo " ❌ 设置组ACL权限失败" fi # 设置默认ACL权限(新创建的文件自动继承权限) if setfacl -dR -m g:$WEB_GROUP:rwx "$APP_ROOT" 2>/dev/null; then echo " ✅ 设置默认ACL权限成功" acl_success=$((acl_success + 1)) else echo " ❌ 设置默认ACL权限失败" fi if [ $acl_success -eq 2 ]; then echo "🎉 统一组ACL设置完成,所有组内用户自动获得权限" elif [ $acl_success -eq 1 ]; then echo "⚠️ ACL部分设置成功,建议检查文件系统ACL支持" else echo "❌ ACL设置完全失败,文件系统可能不支持ACL" fi else echo "ℹ️ ACL不支持,依赖传统权限模式" echo "✅ 775权限已足够,所有组内用户都有rwx权限" fi # 设置umask umask 0002 echo "✅ 应用目录权限修复完成" # 验证文件权限是否足够(测试统一组权限效果) echo "=== 验证统一组权限效果 ===" test_file="$APP_ROOT/index.php" if [ -f "$test_file" ]; then echo "测试文件: $test_file" echo "文件权限: $(stat -c '%a %n' "$test_file")" echo "文件所有者: $(stat -c '%U:%G' "$test_file")" # 测试所有Web用户的权限(通过组权限) for test_user in "www-data" "www" "apache" "nginx"; do if id "$test_user" &>/dev/null; then echo "测试 $test_user 用户权限(通过组权限):" # 显示用户组信息 user_groups=$(id -Gn "$test_user" | tr ' ' ',') echo " 所属组: $user_groups" # 测试读权限 if su -s /bin/sh -c "cat '$test_file' >/dev/null 2>&1" "$test_user" 2>/dev/null; then echo " 读权限: ✅ 通过组权限可读" else echo " 读权限: ❌ 不可读" fi # 测试写权限 if su -s /bin/sh -c "echo 'test' >> '$test_file.test' 2>/dev/null && rm '$test_file.test' 2>/dev/null" "$test_user" 2>/dev/null; then echo " 写权限: ✅ 通过组权限可写" else echo " 写权限: ❌ 不可写" fi # 测试目录创建权限 if su -s /bin/sh -c "mkdir -p '$APP_ROOT/test_dir_$test_user' 2>/dev/null && rm -rf '$APP_ROOT/test_dir_$test_user'" "$test_user" 2>/dev/null; then echo " 创建目录: ✅ 通过组权限可创建" else echo " 创建目录: ❌ 不可创建" fi echo " 权限来源: 统一Web组 ($WEB_GROUP) 775权限" break # 只测试第一个可用的用户即可验证效果 fi done else echo "测试文件不存在,尝试创建测试文件" echo '' > "$APP_ROOT/test.php" chown www-data:webaccess "$APP_ROOT/test.php" chmod 664 "$APP_ROOT/test.php" echo "已创建测试文件: $APP_ROOT/test.php" fi # 显示统一组和用户状态 echo "=== 统一Web组状态检查 ===" if getent group "$WEB_GROUP" &>/dev/null; then echo "✅ 统一Web组 '$WEB_GROUP' 存在" echo "组信息: $(getent group $WEB_GROUP)" # 检查哪些用户在统一组中 echo "统一组成员检查:" for web_user in "www-data" "www" "apache" "nginx"; do if id "$web_user" &>/dev/null; then if id -Gn "$web_user" | grep -q "$WEB_GROUP"; then echo "✅ $web_user 在统一组 '$WEB_GROUP' 中" else echo "❌ $web_user 不在统一组 '$WEB_GROUP' 中" fi else echo "❌ $web_user 用户不存在" fi done else echo "❌ 统一Web组 '$WEB_GROUP' 不存在" fi fi echo "=== 启动应用 ===" # 执行原有的启动命令 exec "$@"