In our documentation of the umask command. It contains a comprehensive description of how to define and specify file permissions.
In general, chmod commands take the form:
Chmod options permissions file name
If no options are specified, chmod modifies the permissions of the file specified by file name to the permissions specified by permissions .
permissions defines the permissions for the owner of the file (the "user"), members of the group who owns the file (the "group"), and anyone else ("others"). There are two ways to represent these permissions: with symbols (alphanumeric characters), or with octal numbers (the digits 0 through 7 ).
Let"s say you are the owner of a file named myfile , and you want to set its permissions so that:
- the u ser can r ead, w rite, and ex ecute it;
- members of your g roup can r ead and ex ecute it; and
- o thers may only r ead it.
This command will do the trick:
Chmod u=rwx,g=rx,o=r myfile
This example uses symbolic permissions notation. The letters u , g , and o stand for "user ", "group ", and "other ". The equals sign ("= ") means "set the permissions exactly like this," and the letters "r ", "w ", and "x " stand for "read", "write", and "execute", respectively. The commas separate the different classes of permissions, and there are no spaces in between them.
Here is the equivalent command using octal permissions notation:
Chmod 754 myfile
Here the digits 7 , 5 , and 4 each individually represent the permissions for the user, group, and others, in that order. Each digit is a combination of the numbers 4 , 2 , 1 , and 0 :
- 4 stands for "read",
- 2 stands for "write",
- 1 stands for "execute", and
- 0 stands for "no permission."
So 7 is the combination of permissions 4 +2 +1 (read, write, and execute), 5 is 4 +0 +1 (read, no write, and execute), and 4 is 4 +0 +0 (read, no write, and no execute).
Syntax
chmod [OPTION ]... MODE [,MODE ]... FILE ... chmod [OPTION ]... OCTAL-MODE FILE ... chmod [OPTION ]... --reference=RFILE FILE ...Options
-c , --changes |
Like --verbose , but gives verbose output only when a change is actually made. |
-f , --silent , --quiet |
Quiet mode; suppress most error messages. |
-v , --verbose |
Verbose mode; output a diagnostic message for every file processed. |
--no-preserve-root |
|
Display a help message and exit. |
|
The file"s owner. |
|
hopestaff |
The group to whom the file belongs. |
Feb 03 15:36 |
The file"s mtime (date and time when the file was last modified). |
file.txt |
The name of the file. |
Examples
chmod 644 file.htmSet the permissions of file.htm to "owner can read and write; group can read only; others can read only".
Chmod -R 755 myfiles
Recursively (-R ) Change the permissions of the directory myfiles , and all folders and files it contains, to mode 755 : User can read, write, and execute; group members and other users can read and execute, but cannot write.
Chmod u=rw example.jpg
Change the permissions for the owner of example.jpg so that the owner may read and write the file. Do not change the permissions for the group, or for others.
Chmod u+s comphope.txt
Set the "Set-User-ID" bit of comphope.txt , so that anyone who attempts to access that file does so as if they are the owner of the file.
Chmod u-s comphope.txt
The opposite of the above command; un-sets the SUID bit.
Chmod 755 file.cgi
Set the permissions of file.cgi to "read, write, and execute by owner" and "read and execute by the group and everyone else".
Chmod 666 file.txt
Set the permission of file.txt to "read and write by everyone.".
Chmod a=rw file.txt
Accomplishes the same thing as the above command, using symbolic notation.
Related commands
chown
— Change the ownership of files or directories.
getfacl
— Display file access control lists.
ls
— List the contents of a directory or directories.
Каждый файл или папка в Linux имеют свои права доступа.
Есть 3 типа прав:
чтение(r),запись(w),выполнение(x)
Права определяются для 3-х типов пользователей:
владельца(u), группы(g), всех других (o)
Итак права каждого файла, это 9 бит информации (3 типа прав * 3 типа пользователей), соответственно каждый бит может быть установлен (=1) доступ разрешен, или сброшен(=0) доступ запрещен.
При назначении прав принято использовать восьмеричную(octal) систему счисления.
Текстовое представление прав(10 символов):
- rwxr- - r - -
0123456789
Символ в позиции 0:
"-" - обычный файл, "d" - папка, "l" - ссылка
Символы в позиции 1-3:
"rwx" - права владельца
Символы в позиции 4-6:
"r - -" - права для группы
Символы в позиции 7-9:
"r - -" - права для всех остальных
Таблица для определения прав:
Как видно из таблицы, права легко вычисляются
простым суммированием. 1=выполнение, 2=запись, 4=чтение.
например требуется выполнение(1) и чтение(4), получаем 1+4=5
Пример 644:
- владелец(u) чтение и запись
- группа(g) только чтение
- другие(o) только чтение
Пример 755:
- владелец(u) все права
- группа(g) чтение и выполнение
- другие(o) чтение и выполнение
В языках программирования например таких как C,
к правам добавляют 0 в начале каждого числа, что означает, что число восьмеричное, т.е. пишут 0644 вместо 644. При изменении прав с коммандной строки как правило этого не требуется.
Четырехзначное представление прав(4755), дополнительные права
биты SUID, SGID, sticky:
- SUID или setuid: изменить "User ID" во время выполнения
- SGID или setgid: изменить "Group ID" во время выполнения
- sticky бит: запрещает удаление для всех пользователей кроме владельца. Ранее бит означал "держаться" в памяти после завершения процесса
Текстовое представление дополнительных бит:
дополнительные биты обозначаются следующими символами:
"S","s" - SUID, SGID
"T","t" - sticky бит
позиция этих бит, совпадает с позициями (3,6,9) прав выполнения "x"
впри этом, если прав на выполнение нет используется "верхний регистр" т.е. большие символы. Если права на выполнение установлены используются "нижний регистр" т.е. маленькие символы.
примеры:
Установлен SUID:
- r w s - - - - - - установлены биты SUID и выполнение для владельца
- r - S - - - - - - установлен бит SUID, не установлен бит выполнения
Установлен SGID:
- r w x r w s - - - установлены биты SGID и выполнение для группы
- r w x r - S - - - установлен бит SGID, не уст. выполнение для группы
Установлен sticky бит:
- r w x r w x r w t установлены биты sticky и выполнение для других
- r w x r w x r - T установлен sticky бит, но не уст. выполнение для других
отличия действия прав, при установке на файлы и папки:
| права | файлы | папки |
|---|---|---|
| чтение | чтение содержимого | получение списка файлов |
| запись | запись содержимого | изменение списка файлов (создание,удаление,переименование) |
| выполнение | файл можно выполнить | пользователь или процесс, может сделать папку "текущей/рабочей" |
| SUID | Установить "User ID" при выполнении | Перекрыть идентификатор пользователя при создании файла/папки (использовать идентификатор владельца корневой папки) |
| SGID | Установить "Group ID" при выполнении | Перекрыть идентификатор группы при создании файла/папки (использовать идентификатор группы корневой папки) |
| sticky | запретить удаление всем, кроме владельца |
команда изменеия прав chmod:
chmod [-R] права файл/папка
"-R" применить права рекурсивно ко всем файлам и подпапкам
Примеры:
chmod -R 755 folder/
chmod 644 file
и т.д.
Есть возможность менять права не целиком, а лишь добавлять или отменять права только определенным группам пользователей
используя символы вместо восьмеричных чисел.
"u" - пользователь/владелец
"g" - группа пользователей
"o" - остальные пользователи
"a" - все группы пользователей
Формат прав [[+-=], ...
Примеры:
chmod -R a+x folder/ выполнение для всех групп рекурсивно
chmod a+rx file чтение и выполнение для всех
chmod u+rx,g-rx file добавить чтение и выполнение для владельца, и
отозвать права для группы
chmod a+r,o= file добавить чтение для всех типов групп и отозвать
все права у всех других пользователей
команда изменения владельца chown:
Chown [-R] владелец:группа файл/папка
Примеры:
chown -R 0:0 folder/ установить владельца/группу = root рекурсивно
chown myuser:mygroup file установить myuser/mygroup для файла
Для тех, кто ищет быстрый способ парой командой массово поменять права доступа на файлы и папки:
Cd /var/www/сайт find ./ -type f -exec chmod 0644 {} \; find ./ -type d -exec chmod 0755 {} \;
Что такое Chmod
Это UNIX-утилита, с помощью которой можно быстро через консоль изменить права на доступ для определённых владельцев (owner) и групп (group) для указанных категорий и файлов.
Зачем использовать Chmod
В UNIX-системах — FreeBSD, Ubuntu, Debian, Centos — у каждого файла и папки (каталога) есть свои , к которым они относятся. Сделано это с целью разграничения прав доступа на чтение (r, read), запись (w, write) и исполнение (x, execute) для разных пользователей: владельцев (u), пользователей, входящих в группу владельца (g) и остальных (o).
Например, если вы пользуетесь хостингом, то должны знать, что ваш сайт физически находится на одном сервере рядом со множеством других сайтов таких же, как вы, пользователей со своими сайтами. Чтобы вы не смогли помешать друг другу, у каждой директории с сайтами свой владелец и группа пользователей, к которым они относятся.
На shared хостинге о вас позаботятся профессиональные системные администраторы. А если вы имеете свой сервер VDS/VPS, то просто обязаны следить за прописанными правами на доступ к файлам. Например, если вдруг с помощью уязвимости на сайте злоумышленник сможет записать backdoor в директорию для загрузки файлов, то с правильно прописанными правами доступа он не сможет причинить большого вреда файловой системе. Конечно, в директории для загрузки файлов должно быть принудительно отключено исполнение скриптов, но это тема уже для другого разговора.
Синтаксис Chmod
chmod [-Rvf] [Правила доступа] [Файл/Файлы/Каталог, директория файлов]В части [Правила доступа] могут быть либо числовые, либо символьные значения.
[Файл/Файлы/Каталог файлов] — путь к файлу, файлам или к каталогу файлов, абсолютный или относительный.
Ключи -R, -v, -f
- -R
Рекурсивное изменение прав доступа для каталога и вложенных файлов и подкаталогов - -v
Подробное описание применения изменения прав доступа или невозможности этого действия - -f
Не выдавать сообщение об ошибке для тех файлов и каталогов, для которых невозможно изменить права доступа
Правила доступа Chmod
Как вы уже знаете, права доступа определяются тем, как пользователь может взаимодействовать с файлами и каталогами, а именно r — read (чтение), w — write (запись), x — execute (выполнение).
А также, вы знаете, что эти права должны быть прописаны для трёх групп пользователей:
- Владелец файла или каталога;
- Пользователи, входящие в группу владельца;
- Остальные.
Теперь посмотрим в таблицу определения прав:
То есть, для того, чтобы записать правило для владельца дать доступ на чтение и запись, остальным дать права только на чтение , мы должны дать права (rw-r--r--)
Теперь обратите внимание на столбец Символьная и Восьмеричная. Там визуально показано, что то, что выглядит символьно как (rw-r--r--), в восьмеричном виде выглядит как (644). Это выражение и будем использовать как числовую запись в команде.
Теперь осталось собрать всё воедино в одну запись. Для примера, изменим права на доступ «всем дать права на чтение, владельцу право изменять содержимое» для файла index.php:
Chmod -v 644 index.php
Как проверить права Chmod
ls -ld index.phpгде index.php — файл или каталог, который нужно проверить.
Пример правильного использования Chmod
Правила доступа по умолчанию для каталогов 755 , для файлов 644 . Поэтому, в подавляющем большинстве случаев, вам понадобятся только эти права.
В этой небольшой статье представлена довольно исчерпывающая информация о правах доступа в Unix-подобных операционных системах, описаны варианты их изменения, а также расшифровываются некоторые понятия и определения.
Для начала следует разобраться с основными понятиями такими как: кто такой владелец файла в Linux, каким образом к файлу получают доступ другие пользователи, а не только сам владелец и т.д.
В Unix-подобных системах приложение запускается с правами пользователя, вызвавшего указанное приложение. Это обеспечивает дополнительную безопасность, так как процесс с правами пользователя не сможет получить доступ на запись к важным системным файлам, например /
etc/
passwd
, который принадлежит суперпользователю root
. Звучит просто, но существует некоторые особенности, которые нужно обязательно знать и учитывать.
Владелец, Группа и Все остальные
Владелец
Владелец файла или директории в Linux – это пользователь, который их создал. Командой chown можно поменять владельца для файла или директории.
Права на чтение, запись и исполнение устанавливаются с помощью числовых кодов 0400, 0200 и 0100 соответственно. Их можно комбинировать. Например, код 0700 позволяет читать, записывать и изменять файлы владельцем.
Группа
Группа — это несколько пользователей Linux, которые могут использовать (при достаточных правах доступа) файлы и папке на уровне с их владельцем. Изменить группу пользователей ассоциированных с файлом или директорией можно командой chgrp .
Права на чтение, запись и исполнение устанавливаются с помощью числовых кодов 0040, 0020 и 0010 соответственно. Их можно комбинировать. Например, код 0070 позволяет читать, записывать и изменять файлы ассоциированной с файлом группой пользователей.
Все остальные
Это собирательное название для тех, кто не является владельцем файла или не относится к группе пользователей, которая может работать с этим файлом или директорией. Хорошая аналогия – это «весь мир», «каждый» или «любой».
Права на чтение, запись и исполнение устанавливаются с помощью числовых кодов 0004, 0002 и 0001 соответственно. Их можно комбинировать. Например, код 0007 позволяет читать, записывать и изменять файлы любому желающему.
Права на чтение, запись и выполнение
Чтение
Позволяет файлу быть прочитанным определенной группой пользователей.
Определяется как «r» в выводе команды ls
Запись
Позволяет изменять файлы или директории.
Определяется как «w» в выводе команды ls
Выполнение
Позволяет запускать бинарные файлы. Кроме этого, проверяет является ли папка доступной для поиска. Например, если у директории выставлены права 0600, то Вы не сможете воспользоваться командой cd
, чтобы войти в эту папку или просмотреть ее содержимое командой ls
Определяется как «x» в выводе команды ls
Ну а теперь можно переходить к практике.
Определение и контроль прав доступа в Linux командой ls
С помощью команды ls можно узнать какие права доступа выставлены на файлы в данной или указанной директории:
gruyere@
meltingpot /
test_perms $ ls
-l
total 0
-rw-r--r--
1
gruyere staff 0
27
Feb 19
:43
bar
drwxr-xr-x 2
gruyere staff 68
27
Feb 19
:45
baz
-rw-r--r--
1
gruyere staff 0
27
Feb 19
:43
foo
Как видно из примера выше, команда ls показывает символьный код прав доступа на файлы и директории. В 3 и 4-ой колонке также указывается, кто является владельцем этих файлов или директорий и к какой группе пользователей они принадлежат.
chmod
chmod (ch ange mod e) – это широко используемая команда для изменения прав доступа к файлам и папкам в Linux. Она позволяет устанавливать права на доступ как пользователю, так и группе пользователей и для всех остальных.
Кроме этого, серверные язык программирования (вроде php или Python) предоставляют некую копию этой команды в том смысле, что у них схожа нотация установки прав.
Абсолютная и символьная нотация
chmod поддерживает 2 типа синтаксиса для изменения прав доступа:
- Абсолютная нотация – восьмеричное число, указывающее на то, какие биты доступа активировать(ны), например 0777
- Символьная нотация – сочетание букв и цифр устанавливающих бит доступа.
Восьмеричный код более естественен, он гарантирует установку особых прав доступа на файлы и директории, кроме этого, этот подход используется в языках программирования для программного изменения прав доступа.
Символьная нотация используется для добавления или удаления уже определенных прав. Существуют специальные сайты для перевода абсолютной нотации в символьную и наоборот, они позволяют лучше понять как работают все эти права доступа и команда chmod . Вот один из них.
Команда chmod (change mode – сменить режим) предназначена для изменения прав доступа к файлам и каталогам в Unix-подобных операционных системах.
Синтаксис команды выглядит следующим образом:
chmod [ключи] установка_прав имя_файла
Ключи необязательны. Устанавливать права можно двумя способами: с помощью буквенного обозначения прав (rwx) и с помощью числового в восьмеричной системе счисления.
Изменение прав с помощью символьной нотации
При установке прав с помощью символов в первом аргументе (установка_прав) программы chmod используются три группы символов.
В первой группе указывается, кому будет предоставляться или запрещаться доступ: владельцу (u), группе (g), остальным (o) или всем (a). Можно указать как одну, так сразу несколько категорий.
Вторая группа обозначает запрещение, разрешение или назначение права и всегда состоит из одного символа: -, + или =.
В третьей группе перечисляется изменяемые права: чтение (r), запись (w), исполнение (x). Можно указывать сразу несколько прав.
На скрине в первом примере группе добавляется право на запись, что выражается как g+w. Во втором примере группе и остальным назначается право r--. В третьем случае остальным запрещается читать файл. Отметим, что один и тот же результат можно получить разными способами: как через назначение, так добавлением или удалением права.
Если требуется назначить разным группам пользователей разные права, то такое возможно путем перечисления выражений установка_прав через запятую. При этом пробелы перед и после запятой не ставятся. Также можно перечислить несколько файлов, которым устанавливаются права или задать шаблон. Пример:
chmod o-r,a-w month.txt text.txt
Установка прав с помощью чисел
Способ использования команды chmod, когда предоставляемые права выражаются одной восьмеричной цифрой для каждой категории пользователей, несколько проще с точки зрения записи. Однако надо помнить, что обозначают цифры:
7 – разрешены чтение, запись, исполнение
6 – разрешены чтение и запись
5 – разрешены чтение и исполнение
4 – разрешено только чтение
0 – ничего не разрешено
В первом аргументе chmod указываются три цифры: первая обозначает права владельца, вторая – группы, третья – остальных.
В первом примере файлу назначаются права на чтение и запись для владельца, а для группы и остальных – только на чтение. Во втором примере всем даются права на чтение и запись.
Установка прав для каталогов
В случае каталогов права на чтение, запись и исполнение имеют особый смысл, о чем было сказано . Кроме того, часто требуется рекурсивно назначить права для вложенных в каталог объектов. Для этого используется ключ -R.
В примере мы устанавливаем для каталога и вложенных в него объектов права 754. По отношению к каталогам это означает, что владелец может делать все, группа – просматривать содержимое каталога, остальные – только узнавать список объектов каталога. Обратите внимание на использование ключа -d команды ls. Он позволяет получить сведения о самом каталоге, а не его содержимом.
Если для директории установлено право на запись, то та категория, для которой это право установлено, может удалить из этой директории любой файл. Даже тот, который ей не принадлежит. Поэтому бывает полезно устанавливать t-бит. При его наличии у каталога удалять и переименовывать файлы в нем может только владелец этих файлов.
В примере команда chmod применяется в числовой нотации. При этом используется дополнительная цифра 1, которая обозначает установку t-бита. В буквенной нотации достаточно просто написать +t без указания категории пользователей. В выдаче команды ls мы видим символ t вместо икса в тройке прав всех остальных. Это не значит, что бит t заменяет бит x. Это особенность вывода информации. Буква t говорит, что право на исполнение есть. Если бы его не было, использовалась бы заглавная буква.