Команда chmod - Примеры использования. Команды Linux: CHMOD Управление с помощью цифрового указания прав доступа

Доброго здоровья, уважаемые читатели блога! Всем бы нам хотелось, чтобы каждый или папка, расположенные на сервере хостинга и принадлежащие сайту, были бы максимально защищены от несанкционированного доступа.

Такая защита обеспечивается за счет того, что 90% хостеров используют Unix-подобные операционные системы, в которых существует возможность регулировать права доступа ко всем файлам и каталогам. Сервер моего хостинг-провайдера , на котором расположено несколько моих проектов, не исключение.

Кстати, обязательно поинтересуйтесь, перейдя по предоставленной ссылке. Но продолжим. Правила, установленные в Unix, отличаются от привычного для многих регламента работы в операционной системе Windows, где защита в этом аспекте не так сильна, что иногда приводит к плачевным последствиям в виде заражения системы вирусами.

CHMOD для пользователей и права доступа к файлам и папкам (директориям)

В системах, управляемых Unix, ситуация иная и есть возможность серьезно осложнить жизнь нехорошим дядям, которые попытаются воспользоваться результатами вашего кропотливого труда на протяжении длительного периода. А именно, правильно настроить права доступа CHMOD. Наша задача дать минимально возможные для доступа к файлам и папкам права, которые тем не менее не нарушат корректную работу сайта.

Согласитесь, грех не воспользоваться возможностью серьезно усилить . Конечно, в этом случае редактирование некоторых файлов будет занимать немного больше времени, но тут уж приходится выбирать: либо оптимизация безопасности системы, либо... Ниже я постараюсь систематизировать информацию по CHMOD (правам доступа), потому что здесь есть несколько нюансов, которые необходимо знать вебмастеру. Итак, начнем.

Права доступа различаются для различных групп пользователей. При попытке соединения сервер определяет, к какой группе отнести того или иного пользователя. Все пользователи разделяются на три категории:

1. «user» - владелец файла
2. «group» - один из членов группы, к которой принадлежит и владелец
3. «world» - “остальной мир”, то есть все остальные пользователи

Если вы подключаетесь к серверу по и заходите под своим логином и паролем, то будете идентифицированы как “user” (u), если кто-либо другой подключается по FTP, то будет определен как “group” (g), если же пользователь использует браузер, то попадает под категорию “world” (o).

Теперь о правах доступа CMOD к файлам и директориям. По сути они немного отличаются, хотя обозначения применяются одни и те же. Права доступа к файлам:

• r (read) - право на чтение данных файла
• w (wright) - право на изменение содержимого (можно произвести только редактирование содержимого - запись, но удалять нельзя)
• x (eXutive) - право на исполнение файла

Права доступа к папкам (директориям):

• r - право на чтение папки (можно получить содержимое директории, то есть список файлов, входящих в нее)
• w - право на изменение содержимого (разрешение на создание и удаление объектов в директории, если вы имеете право на запись файлов, то удалять можно даже те объекты, которые вам не принадлежат)
• x - право доступа в ту или иную директорию (особенность здесь такая, что если даже вы имеете все необходимые права на файл, который расположен “в глубине” директорий, но не имеете права доступа хотя бы к одной поддиректории на пути к этому объекту, то не сможете получить доступ к нему)

Значком дефиса «-» отмечают отсутствие каких-либо прав. Все эти права прописываются администратором, который получает эту возможность посредством ввода пароля. Если мы сможем установить максимально возможные ограничения на права доступа CHMOD к тем или иным файлам ресурса, то сможем практически исключить опасность реализации своего “черного дела” вирусным программам.

Для наглядности рассмотрим пример, когда владелец файла u имеет все возможные права: на чтение, запись и исполнение. Пользователи, отнесенные к категории g (group) - только на чтение и запись, все остальные (w) имеют только право на чтение. Тогда запись CHMOD будет выглядеть следующим образом: «rwx rw- r- -».

Права доступа к файлам и папкам в цифровом выражении: CHMOD (777, 755, 444)

Но чаще вебмастерам в своей практической деятельности приходится назначать те или иные права доступа в цифровом выражении:

• r (чтение) - 4
• w (запись) - 2
• x (исполнение) - 1
• - (нет прав) - 0

Теперь вновь разберем вышеприведенный пример для назначения прав доступа «rwx rw- r- -». Для отображения прав каждого пользователя применяется сложение его прав (r чтение + w запись + x исполнение). Таким образом часть записи для владельца файла u (user) - «rwx » превратится в 7 (4+2+1). Для члена группы g (group) - «rw-» в 6 (4+2+0) и для остальных пользователей o (world) - «r- -» в 4 (4+0+0). В качестве резюме представлю сводную таблицу со значениями прав доступа CHMOD, выраженными как в буквах, так и в цифрах:

Теперь представлю еще одну таблицу, которая отражает суммарные права CHMOD для всех групп пользователей в формате цифр:

Это основные комбинации, которые наиболее часто используются в работе вебмастера. Остальные формируются по аналогии. Если вы являетесь администратором сайта или блога, но работаете с проектом, не подсоединившись по FTP протоколу, вы также относитесь к группе “Остальные пользователи”. В таком случае при работе с сайтом в таком режиме нужно учитывать последнюю цифру в значении CHMOD.

Обычно на сервере, где находятся файлы вашего WordPress блога, на папки выставляются права доступа 755, а на файлы, которые входят в их состав, 644. Это справедливо, когда ресурс построен с использованием файлов HTML, однако в современных условиях для построения сайта массово используются CMS (системы управления контентом), к которым относится и WordPress. А здесь могут находиться объекты, в которые нужно производить записи от группы пользователей “world”. Могут находиться папки , в которые загружается контент, в том числе изображения.

Поэтому назначения прав CHMOD на те или иные файлы необходимо дифференцировать. Если вы входите в управление сайтом по FTP, то можете производить любые действия, однако во многих случаях мы работаем со своим проектом через , а в этом случае могут возникнуть проблемы, если права слишком завышены, и, наоборот, если права доступа к тому или иному файлу (папке) занижены, то возрастает угроза безопасности. Посему на основании вышесказанного можно определить некоторые рекомендации по практическому применению CHMOD для блога WordPress:

777 - для папок, в которых постоянно происходит запись и стирание файлов (для папки кэширования)
755 - применительно к папкам, в которые постоянно записываются файлы, но не удаляются
666 - для файлов, в которые необходимо время от времени добавлять запись (например, файл.htaccess)
644 - для файлов, которые используются только для чтения (.php, .html и др.)

Как настроить права доступа CHMOD с помощью FTP менеджера FileZilla

Если при работе с ресурсом будет необходимо внести какие-то изменения, но по причине наличия запрета на редактирование это сделать невозможно, нужно подсоединиться к серверу хостинга по протоколу FTP и изменить права доступа на 777. Однако после внесения в файл изменений рекомендуется вновь выставить прежний CHMOD.

Теперь подробнее о том, как проделать эту операцию с помощью . Для этого открываем программу и соединяемся посредством FTP к серверу хостера. В левой части «Удаленный сервер» сначала отмечаем файлы, атрибуты которых будут подвергнуты редактированию:

И из контекстного меню, вызванного нажатием правой кнопки мыши, выбираем «Права доступа к файлу» . После этого появится диалоговое окно «Изменить атрибуты файла» :

Здесь присваиваем нужные значения CHMOD для выбранного (или выбранных) файлов. Но это только, если вы выбирали файл или группу файлов. В случае, если вы хотите установить или изменить значения CHMOD для каталога (папки) при выборе «Изменить атрибуты файла» появится аналоговое окно, несколько отличное от расположенного выше, а именно:

Видите, здесь появились дополнительные настройки. Если вы поставите галочку напротив строки «Перенаправить во вложенные каталоги» , это значит, что заданные права доступа будут применены ко вложенным в эту директорию каталогам (папкам) либо файлам. При отмеченной галочке ниже расположенная группа настроек станет активной и вам потребуется еще выбрать, как нужно применять настройки: ко всем файлам и каталогам, только ко вложенным файлам либо только к каталогам.

Команда chmod , команда chown и команда chgrp.

Команда chmod предназначена для изменения прав доступа файлов и директорий в Linux. Название команды произошло от словосочетания «ch ange mod e».

Синтаксис команды chmod следующий:

Chmod разрешения имя_файла

Разрешения можно задавать двумя способами:

• Числом
• Символами

Изменение прав доступа командой chmod

Запись прав доступа числом

Chmod 764 myfile

В данном формате права доступа задаются не символами rwx , как описано выше, а трехзначным числом. Каждая цифра числа означает определенный набор прав доступа.

• Первая цифра используется для указания прав доступа для пользователя.
• Вторая цифра для группы.
• Третья для всех остальных.

В таблице ниже приводятся все возможные комбинации разрешений rwx и соответсвующие им числа (которые используются в команде chmod):

Число	Разрешения	Символьное обозначение
0	разрешения отсутствуют	---
1	x — запуск	--x
2	w — изменение	-w-
3	x+w — запуск+изменение	-wx
4	r — чтение	r--
5	r+x — чтение+запуск	r-x
6	r+w — чтение+изменение	rw-
7	r+w+x — чтение+изменение+запуск	rwx

Рассмотрим использование команды chmod с записью прав доступа числом на примере. Установим для файла права доступа 764:

Chmod 764 myfile

Это означает (см. таблицу выше), что для файла myfile мы устанавливаем права доступа 7 6 4 , которые означают:

• 7 — права для владельца-пользователя. Владелец файла может читать, изменять и запускать файл (r+w+x).
• 6 — права для группы. Пользователи, которые принадлежат группе могут читать и изменять файл (r+w).
• 4 — права для всех остальных. Все остальные могут только читать файл (r).

Если записать 764 с помощью символов (см. таблицу), то мы получим: «rwxrw-r- ».

В таблице ниже приведены некоторые часто используемые значения числовых значений прав доступа:

Числовое обозначение	"rwx"-обозначение	Описание
400	-r--------	Владелец файла может только читать файл. Для всех остальных все действия с файлом запрещены.
644	-rw-r--r--	Все пользователи могут читать файл. Владелец может изменять файл.
660	-rw-rw----	Владелец и группа могут читать и изменять файл. Для всех остальных все действия с файлом запрещены.
664	-rw-rw-r--	Все могут читать файл. Владелец и группа могут изменять.
666	-rw-rw-rw-	Все могут читать и изменять файл.
700	-rwx------	Владелец может читать, изменять и запускать файл. Для всех остальных все действия с файлом запрещены.
744	-rwxr--r--	Все могут читать файл. Владелец может также изменять и запускать файл.
755	-rwxr-xr-x	Все могут читать и запускать файл. Владелец может также изменять файл.
777	-rwxrwxrwx	Все пользователи могут читать, изменять и редактировать файл.

Запись прав доступа символами

Chmod +x myfile1 chmod g=rw myfile2 chmod u-w myfile3

Как вы можете видеть, в данном формате права доступа задаются символами rwx , но в синтаксисе используются и другие вспомогательные символы, например, математические операции «+ » и «- » и такие символы как, например, «g » или «u ».

Общий синтаксис можно записать примерно так:

Chmod (владелец)(математическая операция)(разрешения) имя_файла

Обозначения для владельцев файла следующие:

Математические операции означают следующее:

В одной команде можно перечислять владельцев и их разрешения через запятую (см. пример ниже).

Рассмотрим примеры:

• chmod +x myfile1

  В данном случае мы не используем обозначения для владельцев, а значит разрешения устанавливаются для всех пользователей. «+x » означает — установить разрешение на запуск (x ) файла для всех пользователей. Это эквивалентно выполнению команды: chmod a+x myfile1 .

• chmod g=rw myfile2

  Здесь используется обозначение g и символ равенства «= ». Это означает, что для группы мы устанавливаем права доступа на чтение и запись файла (rw ).

• chmod u-w myfile3

  Для владельца файла (u ) мы удаляем разрешение на изменение (w ) файла.

• chmod ug+x myfile2

  Разрешаем владельцу (u ) и группе (g ) запускать файл (x ).

• chmod u+x,g-w,o-r myfile3

  Это как раз тот случай, когда мы перечисляем владельцев через запятую и устанавливаем для них разрешения. Для владельца файла (u ) мы разрешаем запуск файла, для группы (g ) мы запрещаем изменять файл, для всех остальных (o ) мы запрещаем читать файл.

Рекурсивное изменение прав доступа

Если необходимо изменить права доступа на все файлы в директории, включая вложенные директории, то для этого существует опция -R , что означает рекурсивное изменение прав доступа для директорий и их содержимого. Например, изменим права доступа у всех файлов в директории Mydir:

Chmod -R 644 Mydir

И еще один момент. Если пользователь не является владельцем файла, но ему нужно изменить права доступа у данного файла, то команду chmod необходимо выполнять с использованием sudo , например:

Sudo chmod 644 file

Видео-обзор команды chmod

Команда chown — изменение владельца и группы

Для изменения владельца и группы файла используется команда chown .

Для изменения владельца файла используется следующий синтаксис:

Chown новый_владелец имя_файла

myfile нового владельца vasya :

Chown vasya myfile

Для изменения владельца и группы файла используется следующий синтаксис:

Chown новый_владелец:новая_группа имя_файла

Например, установим для файла myfile нового владельца vasya и группу sambashare :

Chown vasya:sambashare myfile

Команда chgrp — изменение группы

Есть еще одна команда — chgrp . Она позволяет изменить только группу. Например:

Chgrp sambashare myfile

Резюме

В Linux у каждого файла есть права доступа — это разрешения, владелец и группа.

Разрешения задаются для владельца, группы и для всех остальных.

Есть три вида разрешений — r — чтение, w — изменение, x — запуск.

Чтобы изменить разрешения у файла используется команда chmod .

Чтобы изменить владельца или группу используется команда chown .

Чтобы изменить группу используется chgrp .

В этой небольшой статье представлена довольно исчерпывающая информация о правах доступа в Unix-подобных операционных системах, описаны варианты их изменения, а также расшифровываются некоторые понятия и определения.

Для начала следует разобраться с основными понятиями такими как: кто такой владелец файла в Linux, каким образом к файлу получают доступ другие пользователи, а не только сам владелец и т.д.
В Unix-подобных системах приложение запускается с правами пользователя, вызвавшего указанное приложение. Это обеспечивает дополнительную безопасность, так как процесс с правами пользователя не сможет получить доступ на запись к важным системным файлам, например / etc/ passwd , который принадлежит суперпользователю root . Звучит просто, но существует некоторые особенности, которые нужно обязательно знать и учитывать.

Владелец, Группа и Все остальные

Владелец

Владелец файла или директории в Linux – это пользователь, который их создал. Командой chown можно поменять владельца для файла или директории.

Права на чтение, запись и исполнение устанавливаются с помощью числовых кодов 0400, 0200 и 0100 соответственно. Их можно комбинировать. Например, код 0700 позволяет читать, записывать и изменять файлы владельцем.

Группа

Группа — это несколько пользователей Linux, которые могут использовать (при достаточных правах доступа) файлы и папке на уровне с их владельцем. Изменить группу пользователей ассоциированных с файлом или директорией можно командой chgrp .

Права на чтение, запись и исполнение устанавливаются с помощью числовых кодов 0040, 0020 и 0010 соответственно. Их можно комбинировать. Например, код 0070 позволяет читать, записывать и изменять файлы ассоциированной с файлом группой пользователей.

Все остальные

Это собирательное название для тех, кто не является владельцем файла или не относится к группе пользователей, которая может работать с этим файлом или директорией. Хорошая аналогия – это «весь мир», «каждый» или «любой».

Права на чтение, запись и исполнение устанавливаются с помощью числовых кодов 0004, 0002 и 0001 соответственно. Их можно комбинировать. Например, код 0007 позволяет читать, записывать и изменять файлы любому желающему.

Права на чтение, запись и выполнение

Чтение

Позволяет файлу быть прочитанным определенной группой пользователей.
Определяется как «r» в выводе команды ls

Запись

Позволяет изменять файлы или директории.
Определяется как «w» в выводе команды ls

Выполнение

Позволяет запускать бинарные файлы. Кроме этого, проверяет является ли папка доступной для поиска. Например, если у директории выставлены права 0600, то Вы не сможете воспользоваться командой cd , чтобы войти в эту папку или просмотреть ее содержимое командой ls
Определяется как «x» в выводе команды ls

Ну а теперь можно переходить к практике.

Определение и контроль прав доступа в Linux командой ls

С помощью команды ls можно узнать какие права доступа выставлены на файлы в данной или указанной директории:

gruyere@ meltingpot / test_perms $ ls -l
total 0
-rw-r--r-- 1 gruyere staff 0 27 Feb 19 :43 bar
drwxr-xr-x 2 gruyere staff 68 27 Feb 19 :45 baz
-rw-r--r-- 1 gruyere staff 0 27 Feb 19 :43 foo

Как видно из примера выше, команда ls показывает символьный код прав доступа на файлы и директории. В 3 и 4-ой колонке также указывается, кто является владельцем этих файлов или директорий и к какой группе пользователей они принадлежат.

chmod

chmod (ch ange mod e) – это широко используемая команда для изменения прав доступа к файлам и папкам в Linux. Она позволяет устанавливать права на доступ как пользователю, так и группе пользователей и для всех остальных.

Кроме этого, серверные язык программирования (вроде php или Python) предоставляют некую копию этой команды в том смысле, что у них схожа нотация установки прав.

Абсолютная и символьная нотация

chmod поддерживает 2 типа синтаксиса для изменения прав доступа:

• Абсолютная нотация – восьмеричное число, указывающее на то, какие биты доступа активировать(ны), например 0777
• Символьная нотация – сочетание букв и цифр устанавливающих бит доступа.

Восьмеричный код более естественен, он гарантирует установку особых прав доступа на файлы и директории, кроме этого, этот подход используется в языках программирования для программного изменения прав доступа.

Символьная нотация используется для добавления или удаления уже определенных прав. Существуют специальные сайты для перевода абсолютной нотации в символьную и наоборот, они позволяют лучше понять как работают все эти права доступа и команда chmod . Вот один из них.

Изменить права доступа к файлу

Синтаксис:

chmod [-fv] [-R [-H | -L | -P]] mode file ... chmod [-fv] [-R [-H | -L | -P]] [-a | +a | =a] ACE file ... chmod [-fhv] [-R [-H | -L | -P]] [ACL_Option ] file ...

Параметры:

-R	Рекурсия. Используется для папок. Меняет права не только для указанного объекта, но для всех вложенных в него
-R -H	Следовать за символьными ссылками в командной строке. По умолчанию символьные ссылки не обрабатываются
-R -L	Все символьные ссылки будут обработаны
-R -P	Дерево ссылок обрабатываться не будет. Параметр по умолчанию.
-v	Многословный. Показывает все файлы, которые были изменены
-v -v	очень многословный режим. Будет выведено старые и новые права в восьмеричном (числовой) и буквенном режиме отображения
-f	не отображать диагностические сообщения в случае невозможности изменения прав доступа к файлу

ACL_Option (ACL - списки контроля доступа для групп пользователей) ACL_manipulation_options

Права доступа:

Прав доступа могут быть указаны в буквенном коде или числовом на основе восьмеричной системы счисления

Управление с помощью цифрового указания прав доступа:

Для управления правами используется три бита

• первый - право на чтение
• второй -право на запись
• третий -право на выполнение

Побитно	Число	Буквенный код	описание права
000	0		нет прав
001	1		право только на исполнение
010	2		право только на запись
011	3		право на запись и исполнение
100	4		право только на чтение
101	5		право на чтение и исполнение
110	6		право на чтение и запись без исполнения
111	7		все права

Такие права на файл устанавливаются для трех видов доступа:

• для владельца
• для группы
• для остальных

В итоге команда выглядит следующим образом:

$ chmod 444 file -право только на чтение для всех

$ chmod 755 file -владелец имеет все права (7), остальные пользователи только чтение и запуск (5)

$ chmod 066 file -владелец не имеет никаких прав на файл (0), все остальные право на чтение и запись без выполнения

Управление с помощью буквенного указания прав доступа:

Формат указания прав символьным кодом

[кто...][[+-=][права...]...][,...]

кто - это комбинация символов "ugoa" указывающая на пользователей чьи права на доступ к файлу или папке будут изменены

• u пользователь собственник
• g группа пользователей
• o остальные пользователи
• a (all) для всех, аналогично ugo

Каждый файл или папка в Linux имеют свои права доступа.

Есть 3 типа прав:
чтение(r),запись(w),выполнение(x)

Права определяются для 3-х типов пользователей:
владельца(u), группы(g), всех других (o)

Итак права каждого файла, это 9 бит информации (3 типа прав * 3 типа пользователей), соответственно каждый бит может быть установлен (=1) доступ разрешен, или сброшен(=0) доступ запрещен.

При назначении прав принято использовать восьмеричную(octal) систему счисления.

Текстовое представление прав(10 символов):
- rwxr- - r - -
0123456789

Символ в позиции 0:
"-" - обычный файл, "d" - папка, "l" - ссылка

Символы в позиции 1-3:
"rwx" - права владельца

Символы в позиции 4-6:
"r - -" - права для группы

Символы в позиции 7-9:
"r - -" - права для всех остальных

Таблица для определения прав:

Как видно из таблицы, права легко вычисляются
простым суммированием. 1=выполнение, 2=запись, 4=чтение.
например требуется выполнение(1) и чтение(4), получаем 1+4=5

Пример 644:
- владелец(u) чтение и запись
- группа(g) только чтение
- другие(o) только чтение

Пример 755:
- владелец(u) все права
- группа(g) чтение и выполнение
- другие(o) чтение и выполнение

В языках программирования например таких как C,
к правам добавляют 0 в начале каждого числа, что означает, что число восьмеричное, т.е. пишут 0644 вместо 644. При изменении прав с коммандной строки как правило этого не требуется.

Четырехзначное представление прав(4755), дополнительные права
биты SUID, SGID, sticky:

• SUID или setuid: изменить "User ID" во время выполнения
• SGID или setgid: изменить "Group ID" во время выполнения
• sticky бит: запрещает удаление для всех пользователей кроме владельца. Ранее бит означал "держаться" в памяти после завершения процесса

Таблица. Числовое представление дополнительных прав:

Текстовое представление дополнительных бит:
дополнительные биты обозначаются следующими символами:
"S","s" - SUID, SGID
"T","t" - sticky бит
позиция этих бит, совпадает с позициями (3,6,9) прав выполнения "x"
впри этом, если прав на выполнение нет используется "верхний регистр" т.е. большие символы. Если права на выполнение установлены используются "нижний регистр" т.е. маленькие символы.

примеры:

Установлен SUID:
- r w s - - - - - - установлены биты SUID и выполнение для владельца
- r - S - - - - - - установлен бит SUID, не установлен бит выполнения

Установлен SGID:
- r w x r w s - - - установлены биты SGID и выполнение для группы
- r w x r - S - - - установлен бит SGID, не уст. выполнение для группы

Установлен sticky бит:
- r w x r w x r w t установлены биты sticky и выполнение для других
- r w x r w x r - T установлен sticky бит, но не уст. выполнение для других

отличия действия прав, при установке на файлы и папки:

права	файлы	папки
чтение	чтение содержимого	получение списка файлов
запись	запись содержимого	изменение списка файлов (создание,удаление,переименование)
выполнение	файл можно выполнить	пользователь или процесс, может сделать папку "текущей/рабочей"
SUID	Установить "User ID" при выполнении	Перекрыть идентификатор пользователя при создании файла/папки (использовать идентификатор владельца корневой папки)
SGID	Установить "Group ID" при выполнении	Перекрыть идентификатор группы при создании файла/папки (использовать идентификатор группы корневой папки)
sticky		запретить удаление всем, кроме владельца

команда изменеия прав chmod:
chmod [-R] права файл/папка

"-R" применить права рекурсивно ко всем файлам и подпапкам

Примеры:
chmod -R 755 folder/
chmod 644 file
и т.д.

Есть возможность менять права не целиком, а лишь добавлять или отменять права только определенным группам пользователей
используя символы вместо восьмеричных чисел.
"u" - пользователь/владелец
"g" - группа пользователей
"o" - остальные пользователи
"a" - все группы пользователей

Формат прав [[+-=], ...

Примеры:
chmod -R a+x folder/ выполнение для всех групп рекурсивно
chmod a+rx file чтение и выполнение для всех
chmod u+rx,g-rx file добавить чтение и выполнение для владельца, и
отозвать права для группы
chmod a+r,o= file добавить чтение для всех типов групп и отозвать
все права у всех других пользователей

команда изменения владельца chown:

Chown [-R] владелец:группа файл/папка

Примеры:
chown -R 0:0 folder/ установить владельца/группу = root рекурсивно
chown myuser:mygroup file установить myuser/mygroup для файла