Установка прав доступа к файлам. Команды Linux: CHMOD. Что обозначает данный термин
Как обезопасить файловую систему Joomla сайта
Почитал я на досуге, что пишут в интернете про права на файловой системе сайта и просто ужаснулся! Люди ставят 777 на все подряд - а потом удивляются что их взломали.
Хуже всего что, не побоюсь этого слова, «веб-мастеры» и прочие «недопрограммсты» советуют расставлять семерки направо и налево не задумываясь о последствиях. Печально… очень…
Атрибуты могут быть установлены на трех уровнях: один раз для самого пользователя, затем для всех пользователей в группе пользователей и, наконец, для всех пользователей. Это владелец, здесь называемый пользователем, хотя владелец имеет в виду, группу и всех других пользователей.
Что мы узнали о правах доступа WordPress
Разрешение на назначение трех типов пользователей обычно представляется в виде восьмизначного восьмеричного номера. 0: пользователю не разрешено что-либо делать с объектом 1: пользователю разрешено выполнить файл или изменить его в каталоге 2: пользователю разрешено записывать в файл или создавать и удалять файлы и подкаталоги в каталоге 4: пользователю разрешено выйти прочитать файл или отобразить файлы в каталоге. Добавляя вышеуказанные значения для каждой из трех цифр восьмеричного номера, появляются обычные номера прав.
Этот небольшой пост растолковывает какие же права должны быть у всего сайта и почему.
Чем отличаются права в Windows и Linux
Не буду сильно размышлять по этому поводу. Скажу только основные отличия.
- В Windows пользователь обычно работает от лица администратора, таким образом получает практически неограниченные права для работы с файлами. Так win-пользователь обычно даже и не задумывается о таких вещах как права файлов и папок.
- В Linux более строгое разделение прав. Каждая директория или файл имеют свои индивидуальные права, которые указывают кто и что может делать с ними.
- В Linux’е сайт никогда не работает от лица администратора - это очень не безопасно (мягко говоря), поэтому права играют очень важную роль.
Если у вас хороший шаред-хостинг (а это ооочень большая редкость), то вам можно не беспокоиться о правах файловой системы.
Но все же знать, то о чем пойдет речь ниже - обязательно.
Трехзначное восьмеричное число представляет собой авторизацию для одного из трех типов пользователей. Владельцу разрешено читать, писать и исполнять, группе разрешено читать и писать, другим разрешено читать. Первые три предназначены для владельца файла, следующего для группы, владеющей файлом, и последней для всех пользователей. Если соответствующее лицо имеет право, знак отображается, иначе в позиции. Владение владельца означает, что зарегистрированный пользователь заимствует права владельца файла или папки при запуске файла или перечислении папки.
Права в файловой системе Linux
В Linux системах права задаются в виде 3х флагов - (Пользователь, Группа пользователя, Остальное).
Каждый флаг - это сумма битов: 1 - Выполнение, 2 - Редактирование, 4 - Чтение.Различные комбинации этих битов дают разные варианты доступа к файлу или папке. Примеры можно увидеть на картинке ниже.
Кроме того, набор прямо в папке влияет на создание файлов и подпапок. Многие графические файловые менеджеры также используют это соглашение. Так называемый липкий бит всегда относится ко всем пользователям. Для исполняемых файлов он сохраняет программу в памяти и не удаляется непосредственно из памяти.
Липкий бит в каталоге приводит к тому, что пользователь в этом каталоге может создавать файлы, удалять и редактировать свои собственные файлы, но не удалять файлы других пользователей. Обычно в каталогах, где нескольким пользователям разрешено хранить файлы, например.
Верно, когда для папок сайта выставляются права - 755, а для файлов - 644. Более того - обычно это значения по умолчанию в системе. Подробнее можно узнать в википедии .
Альтернативный вариант записи прав
Есть более гуманная форма записи - с помощью латинских букв. Порядок всех флажком остается тот же. Каждый бит меняется на соответствующую букву. Самая первая буква «d»- это метка, директория это или нет.
А. не имеет смысла, презентация была выбрана с большим Т, так как она настолько заметна. Выполнение таких процессов должно всегда соответствовать синтаксису. Эта пользовательская маска содержит информацию, ответственную за определение того, должен ли пользовательский класс получать или не получать разрешения доступа или, если применимо, если разрешения, с которыми должна быть удалена учетная запись. Регулирование прав доступа осуществляется тремя различными классами пользователей. Каждый из упомянутых выше пользователей имеет право на следующие варианты.
- Read (4) - r
- Write (2) - w
- Execute (1) - x
- отсутствие прав - прочерк -
Таким образом получаем, что права для файла «764» = «-rwxrw-r--» . Небольшой наглядный пример на картинке
Некоторые примеры прав на файлы
- 444 (-r-r-r-) - Только чтение для любых пользователей.
- 640 (-rw-r-----) - Изменять и читать файл может только владелец, его группа может только читать.
- 777 (-rwxrwxrwx) - Полные права на все и для всех (ваш сайт под угрозой! ).
Почему права 777 - это плохо?
Права 777 - это любимые права win-пользователей, потому что дают возможность не задумываться о правах и делать что душе угодно. Но эти права дают ЛЮБОМУ пользователю системы право изменять и выполнять ваши файлы.
В случае каталога пользователи с таким разрешением могут создавать подкаталоги и файлы. Выполнить: разрешение «выполнить» позволяет выполнять файл, если это программа, а также изменять каталог для доступа к подкаталогам или файлам.
- Чтение: это дает пользователю право на чтение файла или каталога.
- Право доступа «читать» не позволяет пользователям писать или изменять файл.
- Запись: пользователи с правом «записи» могут изменять содержимое файла.
Простейшие примеры взломов через 777
- Если вы пользуетесь шаред-хостингом и выставили себе такие права, то грубо говоря другой клиент этого хостинга, который располагается на той же физической машине что и вы, сможет вас взломать. А на одной машине может быть тысячи клиентов.
- Если у вас несколько сайтов на одной физической машине, но у всех стоят права 777, то злоумышленник взломав один легко получит доступ ко всем остальным.
- … и много других не приятных примеров со взломами.
Если вы до сих пор не верите мне, то это только дело времени.
Представление разрешений доступа к терминалу
Наиболее важная часть кодовой последовательности. Это кодирует тип файла и разрешения для трех пользовательских классов. Первая часть указывает, какой тип файла он имеет. Другие пользователи могут открывать только файлы и подкаталоги, содержащиеся в каталоге, если они знают свое имя. Для доступа к текстовому файлу внутри этой папки код для его доступа будет совершенно другим.
Изменение разрешений в терминале
В этом примере исходный скрипт указывает, что это обычный файл, а не каталог или ссылка. Сценарий также находится в символьных блоках, назначенных пользовательским классам «группа» и «другие». Таким образом, указывается, что такие пользователи не имеют необходимых прав доступа. Если создание прав осуществляется через символическую маску, для связывания классов пользователей с соответствующими разрешениями используются следующие операторы.
Как узнать от какого пользователя должен работать мой сайт?
По мимо 3-х основных флагов (о которых шла речь выше) у файлов и папок есть так же пользователь и группа владельца. Чтобы ваш сайт работал нормально, apache (или nginx) должны работать от имени того же пользователя, что и установки на ваших файлах.
Кроме того, вы можете обратиться ко всем возможным классам пользователей. Хотя символическая нотация является одной из самых используемых, ее частое использование может сделать ее неуправляемой. По этой причине многие администраторы прибегают к созданию маски в восьмеричном. Это трехзначное число, в котором каждая точка представляет собой пользовательский класс сервера. У восьмеричного уведомления есть определенный порядок.
Чтобы узнать, какие права назначены отдельным пользовательским классам, достаточно проверить значение каждой цифры. Это рассчитывается с суммой отдельных значений, которые связаны с соответствующими правами. Здесь только владелец имеет права «читать» и «писать». Другие пользователи не имеют прав доступа к файлу.
Проверить это просто. Создайте в корне вашего файл с именем perm. php (или любое другое имя для php-файла). Внутри файла укажите следующий код
"; echo system("ls -la")."\n"; echo exec("id"); echo "";
Внимание! Этот код только для linux-like систем!
Зайдите на этот файл (http://site.com/perm.php) Вы увидите примерно следующую картину
total 100 -rw-r--r-- 1 smetdenis smetdenis 3191 Nov 20 00:22 .htaccess drwxr-xr-x 11 smetdenis smetdenis 4096 Feb 14 16:47 administrator drwxr-xr-x 12 smetdenis smetdenis 4096 Mar 5 19:25 cache drwxr-xr-x 2 smetdenis smetdenis 4096 Feb 14 16:13 cli drwxr-xr-x 20 smetdenis smetdenis 4096 Feb 14 16:27 components -r--r--r-- 1 smetdenis smetdenis 2199 Feb 13 12:23 configuration.php -rw-r--r-- 1 smetdenis smetdenis 1150 Jul 12 2011 favicon.ico drwxr-xr-x 11 smetdenis smetdenis 4096 Feb 25 18:38 images drwxr-xr-x 2 smetdenis smetdenis 4096 Feb 14 16:13 includes -rw-r--r-- 1 smetdenis smetdenis 1319 Feb 4 08:23 index.php -rw-r--r-- 1 smetdenis smetdenis 1757 Feb 4 08:24 joomla.xml drwxr-xr-x 5 smetdenis smetdenis 4096 Feb 1 16:41 language drwxr-xr-x 9 smetdenis smetdenis 4096 Feb 14 16:13 libraries drwxr-xr-x 2 smetdenis smetdenis 4096 Feb 14 16:13 logs drwxr-xr-x 20 smetdenis smetdenis 4096 Feb 14 16:27 media drwxr-xr-x 33 smetdenis smetdenis 4096 Feb 14 16:27 modules -rw-r--r-- 1 smetdenis smetdenis 109 Mar 5 19:26 perm.php drwxr-xr-x 15 smetdenis smetdenis 4096 Feb 14 16:13 plugins -rw-r--r-- 1 smetdenis smetdenis 14 Feb 14 16:57 robots.txt drwxr-xr-x 7 smetdenis smetdenis 4096 Feb 14 16:13 templates drwxr-xr-x 2 smetdenis smetdenis 4096 Feb 21 12:49 tmp -rw-r--r-- 1 smetdenis smetdenis 1715 Nov 8 00:23 web.config.txt
Как изменить атрибуты файла в Total Commander
Значение 6 отвечает за группировку прав доступа, упомянутых выше: 4 2. Второе значение маски прав определяет права доступа к группе: 4. Никакие другие значения не были указаны для других пользователей, поэтому она кодируется с помощью. Теперь, если пользовательский класс «другие» был оснащен правами на чтение, применим следующий код.
Чем отличаются права в Windows и Linux
Число 4 в третьей позиции восьмеричного кода определяет доступ для чтения для других пользователей на сервере. Независимо от того, используется ли символическая нотация или восьмеричная нотация, пользователь всегда будет иметь в своем распоряжении широкий спектр опций для назначения прав доступа к файлам и каталогам.
Что есть что расписано на следующей картинке
Обратите внимание, что
- drwxr-xr-x - правильные права для всех папок (тоже, что и 755)
- -rw-r-r- - правильные права для всех файлов (тоже, что и 644)
- -r-r-r- - файл настроек Joomla имеет права только на чтение (444). Выставляет сама Joomla для безопасности вашего сайта и это нормально.
Второй фрагмент кода покажет нам от чьего имени работает apache. Например на моей локальной машине это выглядит так
Некоторые примеры прав на файлы
В следующем примере показана командная строка, в которой изменение прав доступа рекурсивно ссылается на подкаталоги и файлы в папке. С небольшими усилиями можно решить сложные проблемы в многопользовательских операционных системах. Кроме того, приложение и обслуживание ваших компьютерных систем просты и интуитивно понятны.
Основные понятия о файлах
Если вы не чувствуете себя достаточно уверенно, чтобы назначать и управлять этим типом разрешений самостоятельно, у вас всегда будет внешний файловый менеджер в качестве альтернативы. Тем не менее, ситуация отличается от использования серверов. Система не накладывает никакой структуры на файлы и не присваивает смысл ее содержимому; значение байтов зависит только от программ, которые интерпретируют файл. Это верно как для файлов на диске, так и для периферийных устройств.
uid=1000(smetdenis) gid=1000(smetdenis) groups=1000(smetdenis),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),109(lpadmin),127(sambashare)
- uid - имя пользователя
- gid - группа пользователя
- groups - группы, к которым еще принадлежит пользователь.
Для нормальной работы вашего сайта важно чтобы имя и пользователь для файлов и папок совпадали с apache (в нашем случае это «smetdenis»). Это даст вам правильную работу и основу безопасности.
Каждый байт файла содержит достаточный размер для представления символа. Если в архиве осталось несколько байтов, чтение прочитало бы их. На самом деле имеет смысл не представлять конец файла с любым специальным значением, поскольку, как упоминалось выше, значение байтов зависит от того, как будет интерпретироваться файл. Но все файлы имеют окончание, и поскольку все файлы должны быть доступны с помощью чтения, возврат нуля - это способ представления конца файла без введения какого-либо специального символа.
Плоские файлы: это последовательности байтов, которые априори не имеют ни внутренней структуры, ни значительного содержимого для системы: ее значение зависит от приложений, которые интерпретируют его контент. Специальные файлы: файлы, представляющие системные устройства. блочно-ориентированные устройства, ориентированные на устройства. Каталоги: файлы, содержимое которых - другие файлы любого типа. . Примечание. Обычно, когда речь идет о файлах, мы обычно ссылаемся на все из них, если не указано иное.
Как узнать полный путь до корня своего сайта?
Создайте в корне файл php со следующим кодом и выполните его
В некоторых версиях php приведенный код может не сработать, попробуйте следующий вариант, либо обратитесь к вашему хостеру
";
Как быстро выставить права для всего сайта?
Нужно в консоли выполнить следующие команды (через SSH - узнавайте у вашего хостера)
Что обозначает данный термин?
Что касается поддерживаемых файловых систем, мы должны подчеркнуть их большое разнообразие, в настоящее время мы можем найти. В некоторых случаях он ограничен чтением, но в пространстве пользователя есть решения. Каждый файл имеет набор разрешений, связанных с ним, которые определяют, что можно сделать с файлом и кто может это сделать.
У корневого класса специального доступа есть привилегии суперпользователя: он используется системными администраторами при выполнении им обслуживания. Существует три типа разрешений для каждого файла. Чтение: проверьте его содержание: измените его содержимое. . Для каждого человека может применяться другое разрешение. Как владелец файла, у читателя есть набор разрешений на чтение, запись и выполнение. У вашей группы есть другой набор. У остальных есть третий набор.
Для изменений прав всем файлам
find <ПОЛНЫЙ ПУТЬ ДО ВАШЕГО САЙТА> -type f -exec chmod 644 {} \;
Для изменений прав всем папкам
find <ПОЛНЫЙ ПУТЬ ДО ВАШЕГО САЙТА> -type d -exec chmod 755 {} \;
Выставить верного владельца, обычно совпадает с пользователем от которого работает сайт (как узнать своего пользователя, см выше).
chown -R smetdenis:smetdenis <ПОЛНЫЙ ПУТЬ ДО ВАШЕГО САЙТА>
Файлы в Linux имеют двух владельцев
Разрешения на удаление файлов не зависят от самого файла. Если у пользователя есть разрешение на запись в каталоге, вы можете удалить файлы, содержащиеся в нем, даже те, которые защищены от записи. Схема символической нотации состоит из 10 символов, где первый символ указывает тип файла.
Тогда полная схема обозначений была бы следующей. Октальное обозначение состоит из значений от трех до четырех цифр в базе. При восьмеричной нотации из трех цифр каждый номер представляет собой другой компонент разрешений для установления: класса пользователя, класса группы и других классов соответственно. Каждая из этих цифр представляет собой сумму его составных бит. В результате конкретные биты добавляются к сумме, поскольку они представлены цифрой.
Права для Joomla
Абсолютно все что было сказано выше относится и к любому Joomla-сайту, любой версии. Если по каким то причинам не получается дать права всему сайту (а это уже намек на смену хостера), то обязательно проверьте что следующее доступно для записи
Это минимум для нормальной работы Joomla-сайта. Некоторые компоненты для Joomla могут писать в свои папки, например компонент Zoo (и JBZoo) изменяют файлы "*.config". Но с этим проблем не будет, если все права выставлены верно.
Что такое права доступа к файлам и папкам
- Бит выполнения добавляет 1 к сумме.
- Бит записи добавляет 2 к сумме.
- Бит чтения добавляет 4 к сумме.
Мы только что говорили о трехзначной форме, но есть еще одна четырехзначная. В соответствии с этой схемой предыдущий трехзначный стандарт становится последними тремя цифрами набора. Остальная цифра представляет дополнительные разрешения. В тех случаях, когда эта первая цифра не может быть пропущена, поскольку должен быть показан полный набор из четырех, для этого значения устанавливается ноль. При применении к каталогу все новые файлы, созданные в этом каталоге, наследуют группу, которая владеет этим же каталогом. Бит-липкий: пользователь может изменять и удалять подчиненные файлы и каталоги в директории, принадлежащей ему. Каталоги, к которым они были установлены, немного липкие, ограничивают модификации пользователей. Таким образом, каждый пользователь поддерживает полный контроль над своими файлами и может создавать новые файлы; однако вы можете добавлять или добавлять только файлы в файлы других пользователей. В отсутствие липкого бита применяются общие правила, и право на право доступа только позволяет пользователю создавать, изменять и удалять подчиненные файлы и каталоги в каталоге.
При работе с файлами, расположенными на веб-сервере , часто возникает необходимость установить или изменить права доступа к папкам и файлам (chmod) вида 777 . В семействе серверных операционных систем Unix, права доступа (chmod) вида 777 регламентируют такие действия: чтение, запись в папку или файл и выполнение файла.
Что такое «права доступа» в операционной системе
Права доступа к файлам или папкам - это защитная функция любой многопользовательской операционной системы или программного обеспечения от несанкционированного доступа к важной (системной) информации.
Если операционная система однопользовательская, например, как домашний вариант (home) Windows - то здесь нет смысла особо ограничивать власть юзера над его пользовательскими и системными файлами и папками. Потому что, в этом случае, один и тот же человек является - и пользователем, и администратором, одновременно.
Если же операционная система (или программа) многопользовательская и в ней может обретаться более одного юзера, то тут сначала нужно разобраться и решить - кого из пользователей можно допустить к важным системным и пользовательским файлам, а кто - «пусть постоит в сторонке». Для того, чтобы разграничить возможности и степень доступа к файлам и папкам для пользователей, в пределах операционной системы - существуют «права доступа».
Права доступа к файлам и папкам назначаются на уровне системного администратора и определяют технические возможности каждого юзера для его операций с файлами и папками, в пределах подконтрольных ему директорий
При этом, права доступа позволяют частично или полностью закрывать общий доступ к важным файлам и директориям, предотвращая тем самым несанкционированное вмешательство в работу системы (программы, сервера, сайта) или изменение пользовательских данных (базы данных, БД) на сервере .
Как работают «права доступа»
По большому счёту, работа пользователя в любой операционной системе или программе - это обычная работа с файлами или папками. Изначально, обращаясь любому файлу или папке - пользователь волен сотворить с ними что угодно - выполнить, удалить, изменить (перезаписать) или создать новый объект. Однако, операционная система бдит - она всегда начеку - при каждом обращении пользователя к файлу или папке, при каждом его действии в пределах операционной системы, она скрупулёзно проверяет, разрешено или нет юзеру работать с данным файлом или папкой. Это и есть «права доступа». Таким образом, ограничиваются возможности пользователя в тех действиях, которые он (юзер) может сотворить с файлом или папкой на подконтрольной ему компьютерной территории.
Права доступа в Unix
Как уже было сказано, права доступа к файлам и папкам есть во всех операционных системах, подразумевающих многопользовательскую работу. И в ОС Windows, и в ОС Unix, и в любой другой многопользовательской операционной системе есть функция настройки и установки прав доступа к файлам и директориям (папкам, каталогам) для различных категорий пользователей. В данной статье речь пойдёт о правах доступа для серверных ОС семейства Unix, которые ещё часто называют .
Права доступа (chmod) вида 777 для серверных ОС Unix регламентируют разрешение или запрет для пользователя на такие действия, как: чтение, запись в папку или файл и выполнение исполнительных файлов
Что такое chmod
Что такое 777
В серверных ОС Unix права доступа записываются одной строкой, состоящей из трёх цифр, где каждая цифра относится к своему типу группы пользователей. В свою очередь, все пользователи подразделяются на группы трёх типов:
- группа Owner - «Владелец папки или файла»
- группа Group - «Член группы владельца папки или файла»
- группа World или Public - «Все остальные пользователи»
Таким образом, три цифры в обозначении, вида 777 - это выставленные права доступа сразу для трёх групп пользователей папки или файла, где - каждая из трех цифр обозначает права доступа для своей группы пользователей.
Теперь осталось разобраться, кто такой «Владелец»,
что такое «Член группы владельца»
и кто это такие «Все остальные пользователи».
Владелец, член группы владельца и все остальные пользователи
Поскольку, мы здесь говорим про сервера, сайты и серверные ОС Unix, то:
Разделение всех пользователей на группы в серверных ОС Unix реализовано следующим образом - Владелец и Члены группы владельца подключаются к серверу, используя спецсвязь (FTP, SSH) (FTP, SSH-протокол), а все остальные пользователи заходят на сайт с веб-браузера (http-протокол)
Отсюда вытекает что, в зависимости от протокола обращения к файлу на сервере, серверная ОС Unix сразу делит пользователей на две части, либо - это владелец или член группы владельца, либо - все остальные пользователи. Основанием для такой «сортировки», (повторяюсь) является сетевой протокол соединения - если пользователь подключился к серверу, используя FTP-аккаунт (FTP-протокол), то это - или владелец или член его группы. А если пользователь зашёл на сервер с веб-браузера (http-протокол), то это уже третья группа - все остальные пользователи.
Таким образом, для серверной ОС Unix, между первыми двумя и третьей группами есть очень чёткое и легкопонятное разграничение - владелец и член его группы попадают на сервер, используя спецсвязь (FTP, SSH), а все остальные пользователи - через свои веб-браузеры.
А вот различия между первыми двумя группами - владельцем и членом его группы - сильно стёрты и завуалированы. Здесь уже начинаются дебри хостинг-пакета и индивидуального подхода для каждого случая.
Справка:
Все файлы в Unix (Linux) могут иметь двух владельцев: непосредственного своего владельца-создателя (user owner) и его группу (group owner). Под понятием группы владельца подразумевается некий список пользователей, который был создан самим владельцем для совместного пользования файликом или папочкой.
Таким образом, для серверной ОС Unix, владельцем файла или папки является непосредственно администратор сервера. Все остальные, кому владелец разрешит доступ к файлам на своём сервере и кто будет подключаться к этому серверу по FTP/SSH-протоколу - это члены группы владельца.
Под арендой дискового пространства понимается место на сервере, занимаемое именно файлами сайта. Как правило, это недорогие хостинг-пакеты, где их пользователи не имеют доступа к админпанели сервера (не путать с CP - контрольной панелью аккаунта). Соответственно, сидящие на таких пакетах, администраторы (владельцы) сайтов, при своём подключении по FTP-протоколу к серверу - попадают исключительно в группу владельца. Тогда как, сам владелец (администратор сервера) находится где-то там, «далеко в горах», в своём уютном рабочем кабинете технической службы хостера.
При аренде дискового пространства, владельцем всех файлов сайта является сам хостер, тогда как арендатор дискового пространства - всего лишь член группы владельца.
Для арендаторов серверов (реальных и виртуальных) - ситуация, несколько иная. При аренде сервера, арендующий сам устанавливает операционную систему, естественно, при этом - он является для этой системы непосредственным владельцем файлов. А вот создавать группу и вносить в неё других пользователей - это уже его, владельца дело.
Что из всего вышесказанного следует?
А вывод такой: - Арендаторы дискового пространства могут не заморачиваться с первой цифирькой вида (chmod) 777, поскольку они не владельцы, и никогда не будут владельцами своих файлов. Для них первая цифра - всегда должна быть семь. - Арендаторы серверов (реальных и виртуальных) могут не заморачиваться со второй цифирькой вида (chmod) 777. При условии что, они не создавали и не собираются создавать никаких пользовательских групп у себя на сервере. Здесь, как такового, ярковыраженного и сильного разграничения нет. Вернее, оно будет, если создать группу владельца и внести в неё список пользователей. Вот только создать такую группу может исключительно сам администратор сервера. Когда создаст - тогда и будет думать, что делать со второй цифрой.
Что обозначают цифры 777 или 456
Каждая цифра, для каждой группы, представляет собой
арифметическую сумму из трёх цифр,
обозначающих следующие права:
- 4 = Read (право на чтение)
- 2 = Write (право на запись)
- 1 = Execute (право на выполнение)
Например:
- 6=4+2 - Read+Write (право на чтение+ право на запись)
- 5=4+1 - Read+Execute (право на чтение+ право на выполнение)
- и т.д.
Все возможные 7 вариантов сложения для этих трёх цифр
по установке прав доступа на папку или файл для групп пользователей
выглядят так:
- 7 = 1+2+4 - Read, Write, Execute (чтение, запись и выполнение)
- 6 = 4+2 - Read, Write (чтение и запись)
- 5 = 4+1 - Read, Execute (чтение и выполнение)
- 4 = 4 - Read (только чтение)
- 3 = 1+2 - Write, Execute (запись и выполнение)
- 2 =2 - Write (только запись)
- 1 =1 - Execute (только выполнение)
Таким образом, выставив права доступа (chmod) вида 765
,
мы выставим следующие права для групп:
- Первая цифра, группа Owner, Владелец файла или папки
Первая цифра = 7
Это значит, что Владелец папки или файла имеет право на:
7=4+2+1 - Read (чтение)+Write (запись)+Execute (выполнение) - Вторая цифра, группа Group, Член группы владельца
Вторая цифра = 6
Это значит, что Член группы владельца имеет право на:
6=4+2 - Read (чтение)+Write (запись) - Третья цифра, группа World, Все остальные пользователи
Третья цифра = 6
Это значит, что Все остальные пользователи имеют право на:
5=4+1 - Read (чтение)+Execute (выполнение)
Теперь понятно, что выставив права доступа комбинацией цифр 777 (три топора), мы открываем полный доступ к файлу абсолютно для всех групп пользователей. Аналогичный результат можно получить, поместив файл в папку "Общие документы" (Public) в Windows.
Нужно отметить, что некоторые комбинации цифр могут обозначать весьма бредовые ситуации с правами доступа к файлу. Например, комбинация вида 477 будет разрешать доступ к перезаписи и исполнения файла для всех, кроме его владельца (читай - администратора). Увы, такого не бывает.
Права доступа всегда выставляются «по нисходящей» от «Владельца» к «Члену группы владельца», и дальше - к группе «Всех остальных». Но, не наоборот!
Как выставить права доступа вида 777 на сервере
Теперь, когда стало абсолютно ясно, что обозначают эти три заветные цифры - выставить права доступа (chmod) вида 777 , не составит труда. Чтобы выставить права доступа (chmod) вида 777 для папки или файла, который находится на сервере , понадобится любой файловый менеджер, который способен установить и поддерживать FTP-соединение с сервером. Это может быть Total Commander, Windows Commander, CuteFTP, Filezilla или что-либо ещё. Лично я предпочитаю простой и бесплатный FTP-файловый менеджер Filezilla, несмотря на то, что являюсь горячим поклонником Total Commander-а.
Чтобы выставить права доступа (chmod) вида 777 , заходим на сервер по FTP под правами Администратора!, через пару логин-пароль Администратора!. Дальше, находим и выделяем требуемый объект (папку или файл). После этого, вызываем правой кнопкой мыши контекстное меню «Файл - Изменить атрибуты». Дальше, указываем нужный атрибут (права доступа) и жмём «ОК». Чтобы "вбить" нужную комбинацию цифр потребуется, либо поставить-снять чекбоксы (галочки) возле нужных пунктов, либо ввести с клавиатуры нужный код вида 777 в открывшемся окне. Все FTP-файловые менеджеры поддерживают, и тот, и другой способ.
Облом вида 777 на Денвере
Как и все пришельцы из Космоса, я регулярно общаюсь с представителями различных внеземных цивилизаций, которые начинают строить свои сайты раньше, чем прилетят на Землю.
Сообщение для инопланетян:
Не нужно пытаться выставить права доступа (chmod) вида 777 при работе с широко известным пакетом , который только имитирует работу веб-сервера под управлением операционной системы Unix на локальном компьютере, на самом деле работающем под управлением операционной системы Windows. Там нет такой кнопки
.
Файлы в Linux имеют двух владельцев
Необходимо правильно выставить права на файлы и папки. Сделать это можно с помощью FileZilla. Вообще для каждого сервера нужны свои определённые настройки, которые лучше узнать у своего хостера. Но обычно права ставят такие: на файлы, которые находятся в корневой директории 444, на папки в корневой директории ставят 755, на папки tmp и logs ставят 705, на паку своего шаблона поставьте 555, на папку image/stories можно поставить 755, на папку Cache 777.
Владельцем нового файла является пользователь, который создал файл.
Файлы в Linux имеют двух владельцев: пользователя (user owner) и группу (group owner) под которой понимается определенный список пользователей и причем владелец файла не обязательно должен быть членом группы владеющей файлом. Каждый пользователь может быть членом сразу нескольких групп одна из которых называется первичной (primary), а все остальные — дополнительными (supplementary). Это дает большую гибкость в организации доступа к определенному файлу. Совместное использование некоторым ресурсом организовать очень просто, достаточно создать новую группу и включить в нее всех кому это действительно необходимо, а если человек предположим перешел в другой отдел и уже нет необходимости в использовании данного файла. А все очень просто, необходимо просто выключить его из состава данной группы. Ну а, что делать с остальными неужели они так и не смогут хотя бы прочитать содержимое файла или их прийдется каждый раз включать и исключать из группы.
А вот для всех остальных (other) которые не принадлежат ни к user owner и group owner права доступа устанавливаются отдельно и как правило самые минимальные. Обычно владельцем файла является пользователь который создал данный файл. Владелец-группа вновь создаваемого файла устанавливается равной первичной группе пользователя создавшего файл, но в некоторых версиях Unix владелец-группа наследуется от владельца-группы каталога в котором создается файл. Для изменения владельца файла используется команда chown в качестве параметров принимающая имя нового владельца и список файлов: # chown new_owner file1 file2 …Конечно же на месте названия файла может быть и имя каталога, но при этом владелец файлов внутри каталога не изменится, для того чтобы это произошло лучше всего воспользоваться флагом -R (chown -R). При использовании данной команды (впрочем как и большинства) можно пользоваться регулярными выражениями если есть необходимость отобрать файлы удовлетворяющие определенному критерию (chown — R lys *.с). Для изменения владельца группы используется команда chgrp, синтаксис использования данной команды аналогичен предыдущей: # chgrp sales /home/sales/*. Кстати команда chown позволяет сразу установить и группу-владельца для этого необходимо сразу за именем владельца без пробелов и др. знаков поставить двоеточие и написать название необходимой группы
# chown — R sergej:gljuk * , допускается и такой вариант записи # chown — R:gljuk * (т.е. аналог команды chgrp).
Владение файлом определяет те операции которые тот или иной пользователь может совершить над файлом. Самые очевидные из них это изменение владельца и группы для некоторого файла. Эти операции может проделать суперпользователь и владелец файла (в производных BSD UNIX только суперпользователь). Если с первым все понятно, то например написав программу и сделать затем ее владельцем, например суперпользователя увы не получится, и хотя вариант изменения владельцем допускается варианта такого применения я честно говоря не нашел. А вот группу, если вы являетесь владельцем файла, можно изменить только на свою первичную (по умолчанию имеет то же название, как и имя соответствующего пользователя). Эти все ограничения введены по нескольким причинам, чтобы никто не мог подсунуть какой ни будь зловредный файл и для того чтобы если на компьютере установлен лимит дискового пространства для конкретного пользователя, нельзя было просто переопределив владельца превысить его.
Следующие базовые операции которые можно совершить над файлом: это доступ на чтение (Read), доступ на запись (Write) и доступ на выполнение (eXecute). Эти операции устанавливаются для каждой из трех групп пользователей раздельно. Причем проделать это может только пользователь владелец и конечно же суперпользователь. Для установки соответствующих прав используется команда chmod. Применяется она в двух формах абсолютной — когда игнорируются старые права, а безусловно устанавливаются новые, и относительной — когда к имеющимся правам добавляются/убираются другие. Абсолютная форма предполагает задание прав доступа к файлу прямым заданием его в восьмеричной форме. Для того чтобы получить полный код необходимого режима файла, необходимо просто сложить значения кодов приведенных в таблице.