linux下的权限控制

终于还是要弄服务器了,这是多年前用fedora的时候整理的,也贴出来,顺便也再复习一下。

先来了解一下文件属性,
在shell环境里输入:ls -l 可以查看当前目录文件。如:
drwxr-xr-x. 14 root root  4096 Apr  5 18:26 usr
分别对应的是:
文件属性 连接数 文件拥有者 所属群组 文件大小 文件修改时间 文件名
这里r是可读,w可写,x 可执行,其中文件属性分为四段,---- --- --- 10个位置
例如:
  d   rwx   r-x  r-x
第一个字符指定了文件类型。在通常意义上,一个目录也是一个文件。如果第一个字符是横线,表示是一个非目录的文件。如果是d,表示是一个目录。
第二段是文件拥有者的属性,
第三段是文件所属群组的属性,
第四段是对于其它用户的属性,
如上面文件夹“usr” 的访问权限,表示文件夹“usr” 是一个目录文件;文件夹“usr” 的属主有读写可执行权限;与文件夹“usr” 属主同组的用户只有读和可执行权限;其他用户也有读和可执行权限。

确定了一个文件的访问权限后,用户可以利用Linux系统提供的chmod命令来重新设定不同的访问权限。也可以利用chown命令来更改某个文件或目录的所有者。利用chgrp命令来更改某个文件或目录的用户组。

chmod 命令
  功能:chmod命令是非常重要的,用于改变文件或目录的访问权限.用户用它控制文件或目录的访问权限.
  语法:该命令有两种用法。一种是包含字母和操作符表达式的文字设定法;另一种是包含数字的数字设定法。
  1. 文字设定法
  chmod [who] [+ | - | =] [mode] 文件名?
  参数:
  操作对象who可是下述字母中的任一个或者它们的组合:
  u 表示“用户(user)”,即文件或目录的所有者。
  g 表示“同组(group)用户”,即与文件属主有相同组ID的所有用户。
  o 表示“其他(others)用户”。
  a 表示“所有(all)用户”。它是系统默认值。
  操作符号可以是:
  + 添加某个权限。
  - 取消某个权限。
  = 赋予给定权限并取消其他所有权限(如果有的话)。

  设置mode所表示的权限可用下述字母的任意组合:
  r 可读。
  w 可写。
  x 可执行。
  X 只有目标文件对某些用户是可执行的或该目标文件是目录时才追加x 属性。
  s 在文件执行时把进程的属主或组ID置为该文件的文件属主。方式“u+s”设置文件的用 户ID位,“g+s”设置组ID位。
  t 保存程序的文本到交换设备上。
  u 与文件属主拥有一样的权限。
  g 与和文件属主同组的用户拥有一样的权限。
  o 与其他用户拥有一样的权限。
  文件名:以空格分开的要改变权限的文件列表,支持通配符。
  在一个命令行中可给出多个权限方式,其间用逗号隔开。例如:chmod g+r,o+r example
  使同组和其他用户对文件example 有读权限。

chgrp命令
  功能:改变文件或目录所属的组。
  语法:chgrp [选项] group filename?
  该命令改变指定指定文件所属的用户组。其中group可以是用户组ID,也可以是/etc/group文件中用户组的组名。文件名是以空格分开的要改变属组的文件列表,支持通配符。如果用户不是该文件的属主或超级用户,则不能改变该文件的组。
  参数:
  - R 递归式地改变指定目录及其下的所有子目录和文件的属组。
  例1:$ chgrp - R book /opt/local /book
  改变/opt/local /book/及其子目录下的所有文件的属组为book。

chown 命令
  功能:更改某个文件或目录的属主和属组。这个命令也很常用。例如root用户把自己的一个文件拷贝给用户xu,为了让用户xu能够存取这个文件,root用户应该把这个文件的        属主设为xu,否则,用户xu无法存取这个文件。
  语法:chown [选项] 用户或组 文件
  说明:chown将指定文件的拥有者改为指定的用户或组。用户可以是用户名或用户ID。组可以是组名或组ID。文件是以空格分开的要改变权限的文件列表,支持通配符。
  参数:
  - R 递归式地改变指定目录及其下的所有子目录和文件的拥有者。
  - v 显示chown命令所做的工作。
  例1:把文件test.c的所有者改为ice。
  $ chown ice test.c
  例2:把目录/testdir及其下的所有文件和子目录的属主改成ice,属组改成users。
  $ chown - R ice.users /testdir

Linux的文件权限是linux能有如此安全性能的最大的保障之一,有朋友可能会知道,很多攻击windows的方法都是通过漏洞获取到创建用户 的权限从而达到控制计算机的目的,在linux下,Root帐户有最大的权限,可以干任何事情,其他用户只能拥有自己的文件的所有权限和该改组成员赋予的 文件的权限,下面开始对文件权限的一个说明。
读权限R。简单的说就是打开文件查看内容的权限,在web服务器中,若文件没有打开权限,则web服务器则视为该文件不存在,发送404 file not found错误,用数字4表示。
写权限W。一个文件若没有写的权限,那么该文件则无法更改,文件夹若没有写权限,则该文件夹下无法创建新文件,用数字2表示。
执行权限X。程序文件若要执行,必须有执行权限,否则无法执行。打开一个文件夹也是执行,所以文件夹若没有执行权限,则无法被打开。用数字1表示。

谁拥有这个权限 可读=4 可写=2 可执行=1 实际权限,纵向相加
文件所有者 0 0 0 0
组内用户    0 0 0 0
公共用户    0 0 0 0

公共用户为所有者和组内用户之外的用户,比如访问web时候,linux可能用公共的用户去读取文件,这里不妨理解成是访客所能操作的那个用户。
下面举例(再次提醒,文件夹和文件不一样):
文件所有用户可写: 666 (3类用户均可读写)
谁拥有这个权限 可读=4 可写=2 可执行=1 实际权限,纵向相加
文件所有者 4 2 0 6
组内用户    4 2 0 6
公共用户    4 2 0 6

接上面的,假设我们吧文件夹设置成0666会怎么样,结果很明显,因为该文件夹没有执行权限,无法被打开,所以设置成0666则无法被访问到。
文件夹只可文件所有者有全部权限,组内用户、公共用户可读和执行(755)。一般web根目录文件夹都要这样设置,才安全。再次提示:文件夹没有执行权限,则该用户无法打开。正常的服务器,若根目录权限也为0777,则会出现500错误
谁拥有这个权限 可读=4 可写=2 可执行=1 实际权限,纵向相加
文件所有者 4 2 1 7
组内用户    5 0 1 5
公共用户    4 0 1 5

如果需要在某文件夹下创建文件,请把该文件的权限全部设置:即可都可写和可执行777
谁拥有这个权限 可读=4 可写=2 可执行=1 实际权限,纵向相加
文件所有者 4 2 1 7
组内用户    4 2 1 7
公共用户    4 2 1 7

为了安全起见,正常web的文件应该设置成:所有者可读可写,组用户可读,公共用户可读 644
谁拥有这个权限 可读=4 可写=2 可执行=1 实际权限,纵向相加
文件所有者 4 2 0 6
组内用户    4 0 0 4
公共用户    4 0 0 4

其他权限,请大家自行思考。
所以请不要想都不想就把文件的权限设置成777好吗。。。

一般配置权限的命令:chmod -R 777 /xx/xx/xx

参考自:linuxidc

上一篇:Ubuntu安装pyenv实现python多版本控制


下一篇:【翻译】使用Sencha Ext JS创建美丽的图画(1)