Linux权限控制

文件属性
权限说明
文件用户组调
权限设置建议

文件属性

在shell环境里输入：ls -l 可以查看当前目录文件。如：
drwxr-xr-x. 14 root root 4096 Apr 5 18:26 usr, 分别对应的是：
文件属性连接数文件拥有者所属群组文件大小文件修改时间文件名

这里r是可读，w可写,x 可执行，其中文件属性分为四段，---- --- --- 10个位置
例如：
　　d 　 rwx 　 r-x　 r-x
第一个字符指定了文件类型。在通常意义上，一个目录也是一个文件。如果第一个字符是横线，表示是一个非目录的文件。如果是d，表示是一个目录。
第二段是文件拥有者的属性，
第三段是文件所属群组的属性，
第四段是对于其它用户的属性，
如上面文件夹“usr” 的访问权限，表示文件夹“usr” 是一个目录文件；文件夹“usr” 的属主有读写可执行权限；与文件夹“usr” 属主同组的用户只有读和可执行权限；其他用户也有读和可执行权限。

确定了一个文件的访问权限后，用户可以利用Linux系统提供的chmod命令来重新设定不同的访问权限。也可以利用chown命令来更改某个文件或目录的所有者。利用chgrp命令来更改某个文件或目录的用户组。

chmod 命令
　　功能：chmod命令是非常重要的，用于改变文件或目录的访问权限.用户用它控制文件或目录的访问权限.
　　语法：该命令有两种用法。一种是包含字母和操作符表达式的文字设定法；另一种是包含数字的数字设定法。
　　1. 文字设定法
　　chmod [who] [+ | - | =] [mode] 文件名?
　　参数：
　　操作对象who可是下述字母中的任一个或者它们的组合：
　　u 表示“用户（user）”，即文件或目录的所有者。
　　g 表示“同组（group）用户”，即与文件属主有相同组ID的所有用户。
　　o 表示“其他（others）用户”。
　　a 表示“所有（all）用户”。它是系统默认值。
　　操作符号可以是：
　　+ 添加某个权限。
　　- 取消某个权限。
　　= 赋予给定权限并取消其他所有权限（如果有的话）。

　　设置mode所表示的权限可用下述字母的任意组合：
　　r 可读。
　　w 可写。
　　x 可执行。
　　X 只有目标文件对某些用户是可执行的或该目标文件是目录时才追加x 属性。
　　s 在文件执行时把进程的属主或组ID置为该文件的文件属主。方式“u＋s”设置文件的用户ID位，“g＋s”设置组ID位。
　　t 保存程序的文本到交换设备上。
　　u 与文件属主拥有一样的权限。
　　g 与和文件属主同组的用户拥有一样的权限。
　　o 与其他用户拥有一样的权限。
　　文件名：以空格分开的要改变权限的文件列表，支持通配符。
　　在一个命令行中可给出多个权限方式，其间用逗号隔开。例如：chmod g+r，o+r example
　　使同组和其他用户对文件example 有读权限。

chgrp命令
　　功能：改变文件或目录所属的组。
　　语法：chgrp [选项] group filename?
　　该命令改变指定指定文件所属的用户组。其中group可以是用户组ID，也可以是/etc/group文件中用户组的组名。文件名是以空格分开的要改变属组的文件列表，支持通配符。如果用户不是该文件的属主或超级用户，则不能改变该文件的组。
　　参数：
　　- R 递归式地改变指定目录及其下的所有子目录和文件的属组。
　　例1：$ chgrp - R book /opt/local /book
　　改变/opt/local /book/及其子目录下的所有文件的属组为book。

chown 命令
　　功能：更改某个文件或目录的属主和属组。这个命令也很常用。例如root用户把自己的一个文件拷贝给用户xu，为了让用户xu能够存取这个文件，root用户应该把这个文件的属主设为xu，否则，用户xu无法存取这个文件。
　　语法：chown [选项] 用户或组文件
　　说明：chown将指定文件的拥有者改为指定的用户或组。用户可以是用户名或用户ID。组可以是组名或组ID。文件是以空格分开的要改变权限的文件列表，支持通配符。
　　参数：
　　- R 递归式地改变指定目录及其下的所有子目录和文件的拥有者。
　　- v 显示chown命令所做的工作。
　　例1：把文件test.c的所有者改为ice。
　　$ chown ice test.c
　　例2：把目录/testdir及其下的所有文件和子目录的属主改成ice，属组改成users。
　　$ chown - R ice.users /testdir

权限设置建议

Linux的文件权限是linux能有如此安全性能的最大的保障之一，有朋友可能会知道，很多攻击windows的方法都是通过漏洞获取到创建用户的权限从而达到控制计算机的目的，在linux下，Root帐户有最大的权限，可以干任何事情，其他用户只能拥有自己的文件的所有权限和该改组成员赋予的文件的权限，下面开始对文件权限的一个说明。
读权限R。简单的说就是打开文件查看内容的权限，在web服务器中，若文件没有打开权限，则web服务器则视为该文件不存在，发送404 file not found错误,用数字4表示。
写权限W。一个文件若没有写的权限，那么该文件则无法更改，文件夹若没有写权限，则该文件夹下无法创建新文件,用数字2表示。
执行权限X。程序文件若要执行，必须有执行权限，否则无法执行。打开一个文件夹也是执行，所以文件夹若没有执行权限，则无法被打开。用数字1表示。

谁拥有这个权限可读=4 可写=2 可执行=1 实际权限，纵向相加
文件所有者 0 0 0 0
组内用户 0 0 0 0
公共用户 0 0 0 0

公共用户为所有者和组内用户之外的用户，比如访问web时候，linux可能用公共的用户去读取文件，这里不妨理解成是访客所能操作的那个用户。
下面举例（再次提醒，文件夹和文件不一样）:
文件所有用户可写： 666 （3类用户均可读写）
谁拥有这个权限可读=4 可写=2 可执行=1 实际权限，纵向相加
文件所有者 4 2 0 6
组内用户 4 2 0 6
公共用户 4 2 0 6

接上面的，假设我们吧文件夹设置成0666会怎么样，结果很明显，因为该文件夹没有执行权限，无法被打开，所以设置成0666则无法被访问到。
文件夹只可文件所有者有全部权限，组内用户、公共用户可读和执行（755）。一般web根目录文件夹都要这样设置，才安全。再次提示：文件夹没有执行权限，则该用户无法打开。正常的服务器，若根目录权限也为0777，则会出现500错误
谁拥有这个权限可读=4 可写=2 可执行=1 实际权限，纵向相加
文件所有者 4 2 1 7
组内用户 5 0 1 5
公共用户 4 0 1 5

如果需要在某文件夹下创建文件，请把该文件的权限全部设置：即可都可写和可执行777
谁拥有这个权限可读=4 可写=2 可执行=1 实际权限，纵向相加
文件所有者 4 2 1 7
组内用户 4 2 1 7
公共用户 4 2 1 7

为了安全起见，正常web的文件应该设置成：所有者可读可写，组用户可读，公共用户可读 644
谁拥有这个权限可读=4 可写=2 可执行=1 实际权限，纵向相加
文件所有者 4 2 0 6
组内用户 4 0 0 4
公共用户 4 0 0 4

其他权限，请大家自行思考。
所以请不要想都不想就把文件的权限设置成777好吗。。。

一般配置权限的命令：chmod -R 777 /xx/xx/xx