DSM 网站文件夹权限设置全解：从 Web Station 配置到故障修复的实用手册

• 基础组件检查：登录 DSM→打开「套件中心」→「已安装」列表，确认 “Web Station” 已安装且状态为 “已启动”；

• 动态网站组件补充：若搭建 PHP/ASP 动态网站，需额外安装对应模块：

• • PHP 网站：在 Web Station 中点击「PHP 设置」→确认已创建 PHP 版本（如 PHP 8.2）；

• • ASP.NET网站：安装 “ASP.NET Core Runtime” 套件（套件中心搜索即可）；

• 安装路径：若未安装 Web Station，在「套件中心→所有套件」搜索 “Web Station”→点击「安装」，等待 1-2 分钟完成部署（需联网）。

• 默认路径：登录 DSM→打开「File Station」→左侧导航栏找到 “web” 文件夹，网站文件（如 index.html、wp-config.php）需放入此目录；

• 自定义路径：若需用其他文件夹（如 “website/blog”），需先在「控制面板→共享文件夹」创建目标文件夹，再在 Web Station 中设置为 “文档根目录”（下文第三步详解）；

• 关键提醒：网站文件夹需为 “共享文件夹” 类型，普通文件夹无法被 Web Station 识别，创建时需勾选 “启用共享”。

• http 用户特性：DSM 内置的低权限系统用户，无登录 DSM 的权限，仅用于 Web 服务访问文件，避免因用户权限过高引发安全风险；

• 查看 http 用户：进入「控制面板→用户与群组」→勾选 “显示系统用户”→即可看到 “http” 用户（默认隐藏，需手动勾选显示）；

• 核心原则：网站文件夹需给 “http 用户” 配置 “最小必要权限”—— 能满足网站运行即可，不额外赋予多余权限（如删除、修改系统文件的权限）。

权限等级说明：DSM 共享文件夹权限中，“读取” 对应 “查看文件内容”，“执行” 对应 “运行脚本 / 程序”，“写入” 对应 “上传 / 修改文件”，“删除” 对应 “删除文件”（网站场景几乎不用，默认不勾选）。

1. 进入共享文件夹权限管理：

• • 登录 DSM→「控制面板→共享文件夹」→找到网站文件夹（如 “web” 或自定义的 “website/blog”）→点击右侧「编辑」；

2. 添加 http 用户并配置权限：

• • 在编辑窗口切换到「权限」标签页→点击「添加」→在 “用户” 列表中找到 “http”（需先勾选 “显示系统用户”）→选中 “http” 后点击「确定」；

• • 为 http 用户设置权限：根据网站类型勾选对应权限（参考上文表格），例如静态网站仅勾选 “读取”，PHP 网站勾选 “读取”+“执行”；

• • 关键操作：取消勾选 “继承权限”（避免父文件夹权限干扰）→在弹出提示中选择 “保留已继承的权限”→点击「应用」保存；

3. 验证权限配置：

• • 打开「File Station」→右键点击网站文件夹→「属性→权限」→确认 “http 用户” 的权限与设置一致（如静态网站显示 “读取”）。

1. 创建网站实例：

• • 打开 Web Station→点击「网站」→「创建」→选择网站类型（如 “静态网站”“PHP 网站”）；

2. 关联网站文件夹：

• • 在 “基本设置” 中，“文档根目录” 选择已配置权限的网站文件夹（如 “web”）；

• • “HTTP 后端服务器” 默认选择 “Nginx”（或 Apache，根据需求选择），无需修改；

3. 配置动态网站环境（针对 PHP/ASP）：

• • 若为 PHP 网站，在 “PHP 设置” 中选择已创建的 PHP 版本（如 PHP 8.2）→点击「确定」；

• • 若为 ASP 网站，需在 “ASP.NET设置” 中选择对应 Runtime 版本→完成创建；

4. 访问测试：

• • 网站创建后，点击「操作→查看」→在浏览器中打开网站地址（如 “http://DSM 的 IP 地址”），若能正常显示首页，说明权限与环境配置正确。

1. 创建上传目录：

• • 在网站文件夹内新建子目录（如 “web/upload”）→右键「新建→文件夹」→命名为 “upload”；

2. 配置 upload 目录权限：

• • 右键点击 “upload”→「属性→权限」→点击「添加」→选中 “http” 用户；

• • 仅勾选 “读取” 和 “写入” 权限，取消 “执行” 权限→点击「应用」；

3. 安全验证：

• • 尝试上传一个测试文件（如图片.jpg），若能成功上传且不报错，说明权限正确；

• • 尝试上传.php 脚本文件，若网站提示 “不允许上传该类型文件”（需配合网站程序设置），或上传后无法执行，说明安全防护生效。

• 配置时仅勾选 “读取 + 写入”，不勾选 “执行”；

• 定期检查上传目录文件类型，若发现.php/.asp 等脚本文件，立即删除（正常上传仅应包含图片、文档等非执行文件）。

• 右键敏感文件→「属性→权限」→仅保留 “http 用户” 的 “读取” 权限，删除其他用户（如 admin）的权限；

• 避免将敏感文件放在网站根目录，可移至非 Web 访问目录（需修改网站程序的文件引用路径）。

• 进入「共享文件夹→网站文件夹→权限」，检查是否有异常用户（如陌生用户）获得权限；

• 确认 http 用户的权限未被误修改（如被取消 “执行” 权限）。

• 进入「控制面板→安全性→防火墙」→添加规则：仅允许特定 IP 段（如办公 IP）访问网站端口（80/443）；

• 禁止外部 IP 访问网站后台目录（如 /wp-admin），降低暴力破解风险。

1. 静态网站仅给 “读取”，动态网站加 “执行”，上传目录加 “写入” 但禁 “执行”；

2. 所有权限围绕 “http 用户” 配置，不依赖其他用户（如 admin）；

3. 遇到 403/500 错误，优先检查 http 用户的权限是否缺失，再排查环境配置。