Центр знаний DevOps
Центр знаний DevOps

Освоение разрешений файлов Linux с помощью команды 'chmod'

Освойте основную команду Linux `chmod` для надежного управления безопасностью. Это практическое руководство подробно описывает как символьную (`u+x`), так и восьмеричную (числовую) нотацию для установки точных разрешений на чтение, запись и выполнение для файлов и каталогов. Изучите стандартные разрешения (644, 755), рекурсивное применение и использование специальных битов доступа для эффективного администрирования систем Linux.

30 просмотров

Освоение прав доступа к файлам в Linux с помощью команды 'chmod'

Права доступа к файлам в Linux — это основа безопасности системы и контроля доступа пользователей. Понимание и освоение команды chmod (change mode) имеет решающее значение для любого системного администратора, разработчика или опытного пользователя Linux. Эта команда позволяет точно определить, кто (пользователь, группа, остальные) может читать, записывать или выполнять файл или каталог, что напрямую влияет на стабильность и безопасность вашей системы.

Это руководство проведет вас через два основных метода использования chmod — символическую и восьмеричную (числовую) нотацию, предоставляя практические примеры, чтобы вы могли уверенно управлять правами доступа к файлам.

Основы понимания прав доступа в Linux

Прежде чем углубляться в chmod, важно понять структуру прав доступа в Linux. Когда вы выполняете ls -l, первые 10 символов вывода детализируют тип файла и права доступа.

Например, в -rwxr-xr--:

  1. Первый символ: Тип файла (- для файла, d для каталога, l для символической ссылки и т. д.).
  2. Следующие девять символов: Права доступа, разделенные на три группы по три:
    • Владелец (u): Права для владельца файла.
    • Группа (g): Права для членов группы, которой принадлежит файл.
    • Остальные (o): Права для всех остальных.

Каждая группа содержит три типа прав:

  • r (Read/Чтение): Разрешает просмотр содержимого файла или списков содержимого каталога.
  • w (Write/Запись): Разрешает изменение или удаление файла, или создание/удаление файлов в каталоге.
  • x (Execute/Выполнение): Разрешает запуск файла как программы или вход (перемещение) в каталог.

Метод 1: Символическая нотация (с использованием букв)

Символическая нотация часто является наиболее интуитивным способом изменения конкретных прав, не затрагивая другие. Она использует буквы для представления сущности, операции и права доступа.

Синтаксис символической нотации

Синтаксис обычно такой: chmod [кто][операция][права] файл(ы)

Компонент Значение Значения
Кто Целевая сущность u (владелец), g (группа), o (остальные), a (все)
Операция Выполняемое действие + (добавить), - (удалить), = (установить точно)
Права Тип права r, w, x

Практические примеры символической нотации

1. Предоставление права на выполнение владельцу:

Если у вас есть скрипт (myscript.sh), и только владелец должен его запускать:

chmod u+x myscript.sh

2. Разрешение членам группы записывать:

Чтобы разрешить пользователям из группы файла редактировать файл:

chmod g+w shared_document.txt

3. Удаление прав записи для всех, кроме владельца:

Это распространенная практика безопасности. Мы используем a-w, чтобы удалить права записи для всех, а затем явно возвращаем их владельцу (u+w).

chmod a-w,u+w sensitive_data.log

4. Установка точных прав для остальных:

Используйте знак равенства (=), чтобы переопределить все существующие права для 'остальных' и установить только право на чтение:

chmod o=r project_plan.doc

Метод 2: Восьмеричная (числовая) нотация

Восьмеричная нотация быстрее и точнее для одновременной установки всего набора прав. Она основана на присвоении числового значения комбинации прав на чтение, запись и выполнение для каждой сущности (владелец, группа, остальные).

Расчет восьмеричных значений

Каждое право соответствует двоичной цифре, которая переводится в число по основанию 10:

  • r (Чтение) = 4
  • w (Запись) = 2
  • x (Выполнение) = 1
  • Нет права = 0

Права суммируются для каждого набора сущностей (владелец, группа, остальные):

Комбинация Сумма Числовое значение
rwx 4 + 2 + 1 7
rw- 4 + 2 + 0 6
r-x 4 + 0 + 1 5
r-- 4 + 0 + 0 4
-wx 0 + 2 + 1 3
-w- 0 + 2 + 0 2
--x 0 + 0 + 1 1
--- 0 + 0 + 0 0

Чтобы указать права доступа, используя восьмеричную нотацию, вы предоставляете три цифры: [Владелец][Группа][Остальные].

Практические примеры восьмеричной нотации

1. Стандартные права доступа к файлу (644):

Это устанавливает права Чтение/Запись для владельца, только Чтение для группы, только Чтение для остальных.

  • Владелец (rw-): 4 + 2 = 6
  • Группа (r--): 4
  • Остальные (r--): 4
chmod 644 important_file.txt

2. Стандартные права доступа к каталогу (755):

Это обычная настройка для каталогов, позволяющая владельцу управлять содержимым, а остальным — просматривать список и входить в каталог.

  • Владелец (rwx): 4 + 2 + 1 = 7
  • Группа (r-x): 4 + 1 = 5
  • Остальные (r-x): 4 + 1 = 5
chmod 755 my_project_folder

3. Безопасные права доступа к файлу (600):

Только владелец может читать и записывать; никто другой не имеет доступа.

  • Владелец (rw-): 6
  • Группа (---): 0
  • Остальные (---): 0
chmod 600 private_key.pem

4. Полный доступ для всех (777) — использовать с осторожностью!

Это предоставляет полные права на чтение, запись и выполнение для всех. Это крайне небезопасно и обычно следует избегать для чего-либо, кроме временных тестовых сред.

chmod 777 public_upload_area

⚠️ Предупреждение о безопасности: Установка прав 777 (чтение/запись/выполнение для всех) редко требуется и серьезно подрывает безопасность. Предпочитайте более ограничительные настройки, такие как 644 для файлов и 755 для каталогов.

Специальные права доступа: Четвертая цифра

При использовании восьмеричной нотации вы можете опционально добавить четвертую цифру перед тремя цифрами, чтобы установить специальные права доступа для файлов и каталогов. Они связаны с наследованием контроля доступа и поведением при выполнении.

Значение Название Эффект на файлы Эффект на каталоги
4 SetUID (SUID) Файл выполняется с правами владельца. Игнорируется
2 SetGID (SGID) Файл выполняется с правами группы. Новые файлы наследуют ID группы каталога.
1 Sticky Bit (Липкий бит) Мало влияет. Пользователи могут удалять только те файлы, которыми они владеют, в этом каталоге.

Примеры специальных прав доступа

Установка бита SGID для каталога с именем shared_group_files (при стандартных правах 770):

  • 770 (Владелец/Группа/Остальные) + 2 (SGID) = 2770
chmod 2770 shared_group_files

Установка бита SUID для исполняемого скрипта, предоставляя пользователю повышенные привилегии при выполнении (часто используется для системных утилит):

  • 4755 (SUID + rwxr-xr-x)
chmod 4755 system_utility

Применение прав доступа рекурсивно

При управлении целыми деревьями каталогов необходимо использовать флаг рекурсии (-R). Это применяет указанные изменения к самому каталогу и ко всему его содержимому (файлам и подкаталогам).

Пример: Установка для всех файлов и папок внутри web_root прав 755 рекурсивно:

chmod -R 755 web_root/

Лучшая практика: При применении рекурсивных изменений часто бывает разумно отдельно установить для каталогов права 755, а для файлов — 644, если вам требуется строгое разделение между правами на выполнение для файлов и правами на обход для каталогов.

Заключение

Команда chmod — это фундаментальный инструмент для поддержания безопасной и функциональной среды Linux. Независимо от того, предпочитаете ли вы явный, аддитивный характер символической нотации (u+x) или лаконичную мощь восьмеричной нотации (755), освоение обоих методов гарантирует, что вы сможете надежно управлять доступом к файлам. Всегда проверяйте права доступа с помощью ls -l после внесения изменений, чтобы убедиться, что режим был установлен правильно.