На общий вопрос можно дать только общий ответ: минимально необходимые.

Какие именно - зависит от конкретной ситуации. В частности, от какого пользователя работает скрипт, от какого вебсервер (ему минимум - право входа), да еще и, возможно, какой-то ftp-пользователь должен иметь какой-то доступ.

Это не права, это владелец. Вероятно. Скорее всего, владелец файла. Возможно, этот же пользователь и закидывает файлы, иначе владельцем рута не получить. А кому принадлежит директория... ну отсюда тоже не видно.
А еще есть группа. Отсюда тоже не видно, какая именно.
А еще есть скрипт, который работает от имени какого-то пользователя. Неизвестно от какого. И этот пользователь входит в какие-то группы. Неизвестно, в какие.
Возможно, есть какая-то общая группа. И тогда достаточно для нее право записи обеспечить.
А если общей группы нет, тогда нужно сделать что-то. Что именно - это, опять же, по ситуации.

В свете полного отсутствия подробностей по существу вопроса, на частный он никак не тянет.

Ну а в свете того, что файлы в директорию сайта [вероятно] под рутом заливаете... Ставьте права 777 и не парьтесь. Хуже ничего уже не будет.

Не значит. Монтирование ФС это совсем не то же самое, что пользователь, который выполняет некоторые действия с файлами. Это совсем разные темы.

Не столько риск, сколько бардак и необходимость разгребания оного. Строго говоря, пользователь root - это администратор сервера. А не отдельно взятого веб-сайта, коих на сервере может быть множество.
К примеру, залили файлы с владельцем root и правами 644 - оно работает до тех пор, пока другому пользователю (рядовому или системному) не придется что-то делать с этими файлами. А сделать он не может. Отлично, есть работа - решаем проблему. ;)


Приемлемо более или мнее, если на сервере лишь один сайт и других гарантировано не будет. Или это какой-то серверочек для тестов, вроде домашней машинки, где нет большого смысла огород городить.

А если будут другие сайты - тогда разогнать их по рядовым пользователям. Ну и скрипты тоже по рядовым... Понадобится ииндивидуальный фтп или шелл доступ для какого то сайта - нет проблем. Запретить скриптам ходить по ФС в директории соседнх сайтов - тоже не слишком сложно. А под www-data нехай вебсервер (не скрипты!) работает.

Ну вот как-то так примерно. Зависит от конкретной ситуации.