当 php(以 www-data 用户运行)尝试通过符号链接在挂载分区(如 /nas)中创建目录时,即使目标目录权限正确且 apache 已启用 followsymlinks,仍可能因挂载选项缺失导致 permission denied 错误;根本原因在于挂载点默认 umask 限制了非 root 用户的写入能力。
当 php(以 www-data 用户运行)尝试通过符号链接在挂载分区(如 /nas)中创建目录时,即使目标目录权限正确且 apache 已启用 followsymlinks,仍可能因挂载选项缺失导致 permission denied 错误;根本原因在于挂载点默认 umask 限制了非 root 用户的写入能力。
在 Ubuntu 20.04 + Apache 2.4 环境中,您已正确配置了符号链接(ln -s /nas/app/xxx xxx)、目录权限(drwxrwxr-x 归属 www-data)以及 Apache 的 FollowSymLinks 选项,但执行以下 PHP 或 shell 操作时仍失败:
sudo -u www-data mkdir /var/www/html/mywebsite1/agreements/test-dir # → mkdir: cannot create directory ‘test-dir’: Permission denied
而直接操作 /nas/app/agreements/ 路径却成功,说明问题不在于文件系统权限或 Apache 配置,而在于 /nas 所在挂载设备的挂载参数。
? 根本原因:挂载时缺少用户写入权限控制
Linux 挂载 FAT、NTFS、exFAT 或某些 ext4(若使用 noexec, nosuid, nodev 等限制性选项)分区时,若未显式指定权限映射(尤其是 umask、fmask/dmask),内核会默认应用保守的掩码(如 umask=022),导致所有文件/目录对组和其他用户隐式移除写权限——即便目标目录 ls -ld /nas/app/agreements 显示 rwxrwxr-x,该权限实际是挂载层动态计算的结果,而非底层 inode 的真实权限。
因此,www-data 用户通过符号链接访问 /nas/... 时,其有效权限受挂载选项约束,而非仅看 ls -l 输出。
立即学习“PHP免费学习笔记(深入)”;
✅ 正确解决方案:调整挂载选项(推荐 umask=000)
修改 /nas 的挂载配置,确保所有用户(含 www-data)拥有完整读写权限:
1. 临时修复(验证用)
# 卸载当前挂载点(确保无进程占用) sudo umount /nas # 重新挂载,显式开放全部权限(适用于 ext4/xfs 等本地文件系统) sudo mount -o defaults,umask=000 /dev/sdb1 /nas # 或更精确地分别控制文件/目录掩码(兼容性更强) sudo mount -o defaults,dmask=000,fmask=111 /dev/sdb1 /nas
? dmask=000 → 目录权限为 rwxrwxrwx(777)
fmask=111 → 普通文件权限为 rw-rw-rw-(666),符合常规 Web 写入需求
2. 永久生效:更新 /etc/fstab
编辑 /etc/fstab,找到 /nas 对应行,添加挂载选项:
/dev/sdb1 /nas ext4 defaults,dmask=000,fmask=111 0 2
然后重载配置:
sudo mount -o remount /nas
3. 验证效果
# 检查挂载选项是否生效 mount | grep /nas # 应输出包含 "dmask=000,fmask=111" 或 "umask=000" # 测试 www-data 是否可写 sudo -u www-data mkdir -p /nas/app/agreements/test-perm-check sudo -u www-data mkdir -p /var/www/html/mywebsite1/agreements/test-symlink-ok echo $? # 应输出 0
⚠️ 注意事项与最佳实践
- 不要滥用 umask=000 在多用户共享环境:若 /nas 同时被其他非 Web 服务访问,建议结合 gid=www-data 和 umask=002 实现组级协作,而非全开放。
- 避免 noexec/nosuid 干扰:确认挂载选项未包含 noexec(会阻止脚本执行)或 nosuid(虽不影响 mkdir,但可能干扰后续功能)。
- SELinux/AppArmor? Ubuntu 20.04 默认禁用 SELinux,但若启用了 AppArmor,需检查 /etc/apparmor.d/usr.sbin.apache2 是否限制了 /nas/** 访问路径。
- 符号链接本身无权限问题:lrwxrwxrwx 是正确的,symlink 权限恒为 777,实际权限由目标路径的挂载上下文决定。
✅ 总结
PHP 通过符号链接调用 mkdir 报错 Permission denied,本质是挂载点权限模型未适配 Web 服务用户(www-data)的写入需求。解决关键不在 Apache 配置或文件 chmod,而在 /nas 的挂载参数。使用 dmask=000,fmask=111 可安全、精准地赋予所需权限,同时保持系统稳定性。完成配置后,无需重启 Apache,PHP 即可立即通过 symlink 正常创建子目录。
