linux下的权限控制

终于还是要弄服务器了，这是多年前用fedora的时候整理的，也贴出来，顺便也再复习一下。

 

先来了解一下文件属性，
在shell环境里输入：ls -l 可以查看当前目录文件。如：
drwxr-xr-x. 14 root root  4096 Apr  5 18:26 usr
分别对应的是：
文件属性 连接数 文件拥有者 所属群组 文件大小 文件修改时间 文件名
这里r是可读，w可写,x 可执行，其中文件属性分为四段，---- --- --- 10个位置
例如：
　　d 　 rwx 　 r-x　 r-x
第一个字符指定了文件类型。在通常意义上，一个目录也是一个文件。如果第一个字符是横线，表示是一个非目录的文件。如果是d，表示是一个目录。
第二段是文件拥有者的属性，
第三段是文件所属群组的属性，
第四段是对于其它用户的属性，
如上面文件夹“usr” 的访问权限，表示文件夹“usr” 是一个目录文件；文件夹“usr” 的属主有读写可执行权限；与文件夹“usr” 属主同组的用户只有读和可执行权限；其他用户也有读和可执行权限。

确定了一个文件的访问权限后，用户可以利用Linux系统提供的chmod命令来重新设定不同的访问权限。也可以利用chown命令来更改某个文件或目录的所有者。利用chgrp命令来更改某个文件或目录的用户组。

chmod 命令
　　功能：chmod命令是非常重要的，用于改变文件或目录的访问权限.用户用它控制文件或目录的访问权限.
　　语法：该命令有两种用法。一种是包含字母和操作符表达式的文字设定法；另一种是包含数字的数字设定法。
　　1. 文字设定法
　　chmod [who] [+ | - | =] [mode] 文件名?
　　参数：
　　操作对象who可是下述字母中的任一个或者它们的组合：
　　u 表示“用户（user）”，即文件或目录的所有者。
　　g 表示“同组（group）用户”，即与文件属主有相同组ID的所有用户。
　　o 表示“其他（others）用户”。
　　a 表示“所有（all）用户”。它是系统默认值。
　　操作符号可以是：
　　+ 添加某个权限。
　　- 取消某个权限。
　　= 赋予给定权限并取消其他所有权限（如果有的话）。

　　设置mode所表示的权限可用下述字母的任意组合：
　　r 可读。
　　w 可写。
　　x 可执行。
　　X 只有目标文件对某些用户是可执行的或该目标文件是目录时才追加x 属性。
　　s 在文件执行时把进程的属主或组ID置为该文件的文件属主。方式“u＋s”设置文件的用 户ID位，“g＋s”设置组ID位。
　　t 保存程序的文本到交换设备上。
　　u 与文件属主拥有一样的权限。
　　g 与和文件属主同组的用户拥有一样的权限。
　　o 与其他用户拥有一样的权限。
　　文件名：以空格分开的要改变权限的文件列表，支持通配符。
　　在一个命令行中可给出多个权限方式，其间用逗号隔开。例如：chmod g+r，o+r example
　　使同组和其他用户对文件example 有读权限。

chgrp命令
　　功能：改变文件或目录所属的组。
　　语法：chgrp [选项] group filename?
　　该命令改变指定指定文件所属的用户组。其中group可以是用户组ID，也可以是/etc/group文件中用户组的组名。文件名是以空格分开的要改变属组的文件列表，支持通配符。如果用户不是该文件的属主或超级用户，则不能改变该文件的组。
　　参数：
　　- R 递归式地改变指定目录及其下的所有子目录和文件的属组。
　　例1：$ chgrp - R book /opt/local /book
　　改变/opt/local /book/及其子目录下的所有文件的属组为book。

chown 命令
　　功能：更改某个文件或目录的属主和属组。这个命令也很常用。例如root用户把自己的一个文件拷贝给用户xu，为了让用户xu能够存取这个文件，root用户应该把这个文件的        属主设为xu，否则，用户xu无法存取这个文件。
　　语法：chown [选项] 用户或组 文件
　　说明：chown将指定文件的拥有者改为指定的用户或组。用户可以是用户名或用户ID。组可以是组名或组ID。文件是以空格分开的要改变权限的文件列表，支持通配符。
　　参数：
　　- R 递归式地改变指定目录及其下的所有子目录和文件的拥有者。
　　- v 显示chown命令所做的工作。
　　例1：把文件test.c的所有者改为ice。
　　$ chown ice test.c
　　例2：把目录/testdir及其下的所有文件和子目录的属主改成ice，属组改成users。
　　$ chown - R ice.users /testdir

Linux的文件权限是linux能有如此安全性能的最大的保障之一，有朋友可能会知道，很多攻击windows的方法都是通过漏洞获取到创建用户 的权限从而达到控制计算机的目的，在linux下，Root帐户有最大的权限，可以干任何事情，其他用户只能拥有自己的文件的所有权限和该改组成员赋予的 文件的权限，下面开始对文件权限的一个说明。
读权限R。简单的说就是打开文件查看内容的权限，在web服务器中，若文件没有打开权限，则web服务器则视为该文件不存在，发送404 file not found错误,用数字4表示。
写权限W。一个文件若没有写的权限，那么该文件则无法更改，文件夹若没有写权限，则该文件夹下无法创建新文件,用数字2表示。
执行权限X。程序文件若要执行，必须有执行权限，否则无法执行。打开一个文件夹也是执行，所以文件夹若没有执行权限，则无法被打开。用数字1表示。

谁拥有这个权限 可读=4 可写=2 可执行=1 实际权限，纵向相加
文件所有者 0 0 0 0
组内用户    0 0 0 0
公共用户    0 0 0 0

公共用户为所有者和组内用户之外的用户，比如访问web时候，linux可能用公共的用户去读取文件，这里不妨理解成是访客所能操作的那个用户。
下面举例（再次提醒，文件夹和文件不一样）:
文件所有用户可写： 666 （3类用户均可读写）
谁拥有这个权限 可读=4 可写=2 可执行=1 实际权限，纵向相加
文件所有者 4 2 0 6
组内用户    4 2 0 6
公共用户    4 2 0 6

接上面的，假设我们吧文件夹设置成0666会怎么样，结果很明显，因为该文件夹没有执行权限，无法被打开，所以设置成0666则无法被访问到。
文件夹只可文件所有者有全部权限，组内用户、公共用户可读和执行（755）。一般web根目录文件夹都要这样设置，才安全。再次提示：文件夹没有执行权限，则该用户无法打开。正常的服务器，若根目录权限也为0777，则会出现500错误
谁拥有这个权限 可读=4 可写=2 可执行=1 实际权限，纵向相加
文件所有者 4 2 1 7
组内用户    5 0 1 5
公共用户    4 0 1 5

如果需要在某文件夹下创建文件，请把该文件的权限全部设置：即可都可写和可执行777
谁拥有这个权限 可读=4 可写=2 可执行=1 实际权限，纵向相加
文件所有者 4 2 1 7
组内用户    4 2 1 7
公共用户    4 2 1 7

为了安全起见，正常web的文件应该设置成：所有者可读可写，组用户可读，公共用户可读 644
谁拥有这个权限 可读=4 可写=2 可执行=1 实际权限，纵向相加
文件所有者 4 2 0 6
组内用户    4 0 0 4
公共用户    4 0 0 4

其他权限，请大家自行思考。
所以请不要想都不想就把文件的权限设置成777好吗。。。

一般配置权限的命令：chmod -R 777 /xx/xx/xx

 

参考自：linuxidc