<p>Many good suggestions here.  As for allowing FTP access, use "pure-ftpd".  You can use/require SSL, create virtual users and map them to any real account (including "apache" or "www") then tailor perms to your heart's content.</p>

<p>G-</p>
<p><blockquote type="cite">On Oct 12, 2010 4:58 PM, "L. V. Lammert" <<a href="mailto:lvl@omnitec.net">lvl@omnitec.net</a>> wrote:<br><br><p><font color="#500050">At 03:47 PM 10/12/2010, you wrote:<br><br>
> > 2. HTML, CSS, JS and PHP files: should these be owned by apa...</font></p>
NO files should be executable, .. php files are just read by apache and interpreted; any executable permissions is a BIG security hole.<p><font color="#500050"><br><br>> > 3. I've also got a number of text files that my php scripts write to.<br>
> > What should the sett...</font></p>
If you have writable files (sessions, logs, ..), put then in a sub-directory that is itself apache-writable, .. that way you can localize any risks. Keep all other directories NON writable by the apache UID.<br>
<br>
The subdirectory in only visible in code and then should not appear in the html returned to the user, again lessening the security risk.<p><font color="#500050"><br><br>> I don't know if groups are commonly used for this, but it seems like a<br>
> good idea to create a g...</font></p>
Nope. Groups are used to allow more than one *user* to change files in a directory - never allow apache write access to any files (except those in the restricted directory above).<br>
<br>
        HTH,<br>
<br>
        Lee<p><font color="#500050"><br><br><br>-- <br>This message has been scanned for viruses and<br>dangerous content by MailScanner, and is<br>believ...</font></p></blockquote></p>
<br />-- 
<br />This message has been scanned for viruses and
<br />dangerous content by
<a href="http://www.mailscanner.info/"><b>MailScanner</b></a>, and is
<br />believed to be clean.