页面载入中,请稍候...

Linux文件权限详解

2014-02-02 14:03:09    作者:user    来源:会员投稿    评论:读取中    点击:读取中    [我要投稿]

在计算机文件系统中,不同的文件和目录具有的权限会指定哪些人及哪些内容可读、写、修改及访问。权限模式 7 5 5 ...

在计算机文件系统中,不同的文件和目录具有的权限会指定哪些人及哪些内容可读、写、修改及访问。

权限模式

7      5      5
 用户     组   任何人
 r+w+x  r+x    r+x
 4+2+1  4+0+1  4+0+1  = 755

权限模式是由用户,文件组及其他所有人各组数值分别相加得出的。从上面的图表中应该能看出个大概。

  • Read 4 - 允许读文件
  • Write 2 - 允许写/修改文件
  • eXecute 1 - 读/写/删除/修改/目录
7       4      4
 用户     组   任何人
 r+w+x    r      r
 4+2+1  4+0+0  4+0+0  = 744

权限模式实例

模式 字符表示 说明
0477 -r--rwxrwx 所有者仅可读(4),其他及组可读写执行(7)
0677 -rw-rwxrwx 所有者仅可读写(6),其他及组可读写执行(7)
0444 -r--r--r-- 所有均仅可读(4)
0666 -rw-rw-rw- 所有均仅可读写(6)
0400 -r-------- 所有者仅可读(4),组及其他无任何权限(0)
0600 -rw------- 所有者仅可读写(6),组及其他无任何权限(0)
0470 -r--rwx--- 所有者仅可读,组可读写执行,其他则无任何权限
0407 -r-----rwx 所有者仅可读,其他可读写执行,组则无任何权限
0670 -rw-rwx--- 所有者仅可读写,组可读写执行,其他则无任何权限
0607 -rw----rwx 所有者仅可读写,其他可读写执行,组则无任何权限

关于Chmod

chmod是一个unix命令,表示修改文件的模式(即"change mode") -R标记的意思是将修改应用于wp-content中的所有文件及目录。766是我们所要修改的目录具有的权限,它表示目录可被WordPress及系统中其他所有的用户读和写。最后我们有了需要修改的目录名称,wp-content。如果766无效的话,你可以尝试使用777,这将使得所有的文件及文件夹对于所有用户,组合进程可读,可写及可执行。

NOTE: 就安全性方面来看,对全局可写目录进行最低限度的保护也是很好的。使用 744这一具有较低许可范围的设定做为开始,直到符合要求即止。如有必要的话才使用777,且时间不宜过久。

使用777的弊端

有关此权限的关键问题是,你的服务器是如何设置的。你用FTP或SSH登入服务器的用户名很可能不是服务器程序所使用的用于页面托管的用户名。

7      7      7
 user   group  world
 r+w+x  r+w+x  r+w+x
 4+2+1  4+2+1  4+2+1  = 777

Apache服务器通常为dhapachenobody用户帐户拥有。这些帐户对服务器文件的访问时受限的。通过将你的用户帐户拥有的个人文档及文件夹设定为全局可写,那么这些文件及文件夹就确实为全局可写了。现在dhapache及nobody用户对你的用户帐户文件就具有完全的访问权了。

但同时这就使得某些人可以通过劫持你服务器上的任何进程来访问你的文件了,这还包括了在你机器上的其他用户。因此修改权限时应当慎重。至少我从来没有遇到过需要制定超过767权限的情况,因此在看到777时,自然就应当问问为何需要使用它。

最坏的结果

作为将一个目录甚至于一个文件的权限设置为777的最坏结果, 恶意攻击者将可以上传文件或者修改已经存在的文件来执行代码,以获得你的博客的所有控制权,包括你的数据库和密码。

 

 指令 名称 : chm od 


使用权限 : 所有使用者
使用方式 : chmod [-cfvR] [--help] [--version] mode file...
说明 : Linux/Unix 的档案存取权限分为三级 : 档案拥有者、群组、其他。利用 chmod 可以藉
以控制档案如何被他人所存取。
mode : 权限设定字串,格式如下 : [ugoa...][[+-=][rwxX]...][,...],其中u 表示该档案的拥有
者,g 表示与该档案的拥有者属于同一个群体(group)者,o 表示其他以外的人,a 表示这三者皆
是。
+ 表示增加权限、- 表示取消权限、= 表示唯一设定权限。
r 表示可读取,w 表示可写入,x 表示可执行,X 表示只有当该档案是个子目录或者该档案已经被
设定过为可执行。
-c : 若该档案权限确实已经更改,才显示其更改动作
-f : 若该档案权限无法被更改也不要显示错误讯息
-v : 显示权限变更的详细资料
-R : 对目前目录下的所有档案与子目录进行相同的权限变更(即以递回的方式逐个变更)
--help : 显示辅助说明
--version : 显示版本
范例 :将档案 file1.txt 设为所有人皆可读取 :
chmod ugo+r file1.txt
将档案 file1.txt 设为所有人皆可读取 :
chmod a+r file1.txt
将档案 file1.txt 与 file2.txt 设为该档案拥有者,与其所属同一个群体者可写入,但其他以外的
人则不可写入 :
chmod ug+w,o-w file1.txt file2.txt
将 ex1.py 设定为只有该档案拥有者可以执行 :
chmod u+x ex1.py
将目前目录下的所有档案与子目录皆设为任何人可读取 :
chmod -R a+r *
此外chmod也可以用数字来表示权限如 chmod 777 file
语法为:chmod abc file
其中a,b,c各为一个数字,分别表示User、Group、及Other的权限。
r=4,w=2,x=1
若要rwx属性则4+2+1=7;
若要rw-属性则4+2=6;
若要r-x属性则4+1=7。
范例:
chmod a=rwx file
和
chmod 777 file
效果相同
chmod ug=rwx,o=x file
和
chmod 771 file
效果相同
若用chmod 4755 filename可使此程式具有root的权限

 指令名称 : chown

使用权限 : root
使用方式 : chown [-cfhvR] [--help] [--version] user[:group] file...
说明 : Linux/Unix 是多人多工作业系统,所有的档案皆有拥有者。利用 chown 可以将档案的拥
有者加以改变。一般来说,这个指令只有是由系统管理者(root)所使用,一般使用者没有权限可以
改变别人的档案拥有者,也没有权限可以自己的档案拥有者改设为别人。只有系统管理者(root)才
有这样的权限。
user : 新的档案拥有者的使用者 IDgroup : 新的档案拥有者的使用者群体(group)-c : 若该档案
拥有者确实已经更改,才显示其更改动作-f : 若该档案拥有者无法被更改也不要显示错误讯息-h :
只对于连结(link)进行变更,而非该 link 真正指向的档案-v : 显示拥有者变更的详细资料-R : 对目
前目录下的所有档案与子目录进行相同的拥有者变更(即以递回的方式逐个变更)--help : 显示辅助
说明--version : 显示版本
范例 :
将档案 file1.txt 的拥有者设为 users 群体的使用者 jessie :
chown jessie:users file1.txt
将目前目录下的所有档案与子目录的拥有者皆设为 users 群体的使用者 lamport :
chown -R lamport:users *
-rw------- (600) -- 只有属主有读写权限。
-rw-r--r-- (644) -- 只有属主有读写权限;而属组用户和其他用户只有读权限。
-rwx------ (700) -- 只有属主有读、写、执行权限。
-rwxr-xr-x (755) -- 属主有读、写、执行权限;而属组用户和其他用户只有读、执行权限。
-rwx--x--x (711) -- 属主有读、写、执行权限;而属组用户和其他用户只有执行权限。
-rw-rw-rw- (666) -- 所有用户都有文件读、写权限。这种做法不可取。
-rwxrwxrwx (777) -- 所有用户都有读、写、执行权限。更不可取的做法。
以下是对目录的两个普通设定:
drwx------ (700) - 只有属主可在目录中读、写。
drwxr-xr-x (755) - 所有用户可读该目录,但只有属主才能改变目录中的内容
suid的代表数字是4,比如4755的结果是-rwsr-xr-x
sgid的代表数字是2,比如6755的结果是-rwsr-sr-x
sticky位代表数字是1,比如7755的结果是-rwsr-sr-t
(当然7755这个chmod设置没多大意义,这里只是演示一下)

chown 命令
用途
更改与文件关联的所有者或组。
语法
chown[-f] [-h] [-R]
Owner [ :Group ] { File ... | Directory ... }

chown -R [-f] [-H|-L|-P]
Owner [ :Group ] { File ... | Directory ... }

 述
chown命令将 File 参数指定的文件的所有者更改为 Owner 参数指定的用户。Owner 参数的值可以是可在 /etc/passwd 文件中找到的用户标识或登录名。还可以选择性地指定组。Group 参数的值可以是可在 /etc/group 文件中找到的组标识或组名。
只有 root 用户可以更改文件的所有者。只在您是 root 用户或拥有该文件的情况下才可以更改文件的组。如果拥有文件但不是 root 用户,则只可以将组更改为您是其成员的组。
虽然 -H、-L 和 -P 标志是互斥的,指定不止一个也不认为是错误。指定的最后一个标志确定命令拟稿将演示的操作。
标志
-f
禁止除用法消息之外的所有错误消息。
-h
更改遇到的符号链接的所有权,而非符号链接指向的文件或目录的所有权。
当遇到符号链接而您未指定 -h 标志时,chown 命令更改链接指向的文件或目录的所有权,而非链接本身的所有权。
如果指定 -R 标志,chown 命令递归地降序指定的目录。
-H
如果指定了 -R 选项,并且引用类型目录的文件的符号链接在命令行上指定,chown 变量会更改由符号引用的目录的用户标识(和组标识,如果已指定)和所有在该目录下的文件层次结构中的所有文件。
-L
如果指定了 -R 选项,并且引用类型目录的文件的符号在命令行上指定或在遍历文件层次结构期间遇到,chown 命令会更改由符号链接引用的目录的用户标识(和组标识,如果已指定)和在该目录之下的文件层次结构中的所有文件。
-P
如果指定了 -R 选项并且符号链接在命令行上指定或者在遍历文件层次结构期间遇到,则如果系统支持该操作,则 chown 命令会更改符号链接的所有者标识(和组标识,如果已指定)。chown 命令不会执行至文件层次结构的任何其它部分的符号链接。
-R
递归地降序目录,更改每个文件的所有权。当遇到符号链接并且链接指向目录时,更改该目录的所有权,但不进一步遍历目录。不过 -h、-H、-L or -P 标志也未指定,则当遇到符号链接并且该链接指向到目录时,该目录的组所有权更改但不会进一步遍历目录。
安全性
访问控制:此程序应该作为“可信计算基”中的正常用户程序安装。
退出状态
该命令返回以下出口值:
0
命令执行成功并已执行所有请求的更改。
>0
发生错误。
示例

 

 

 

 

 

  • 要更改文件 program.c 的所有者:
    chown jim program.c
    program.c的用户访问权限现在应用到 jim。作为所有者,jim 可以使用
    chmod
    命令允许或拒绝其他用户访问 program.c。
  •  

     

     

     

     

     

     

     

     

  • 要将目录 /tmp/src 中所有文件的所有者和组更改为用户 john 和组 build:
    chown -R john:build /tmp/src
    文件
    /usr/bin/chown
    chown命令
    /etc/group
    包含组标识的文件
    /etc/passwd
    包含用户标识的文件
  •  

     

     

     

     

    相关热词搜索:Linux   文件权限   chmod   chown  

    上一篇:nginx 配置pathinfo 支持tp以及其他框架 和伪静态
    下一篇:最后一页

    分享到: 收藏