全面解析Linux数字文件权限

在刚开始接触Linux时对于文件权限的理解并不是很透彻，这里详细介绍一下数字文件权限和字母文件权限的对应关系，以帮助Linux入门初学者尽快的完成对文件权限的理解，尽快学习Linux系统更深层次内容。

Linux下，查看某路径下用(ls -l)查看所有文件的详细属性列表时，会看到文件的操作权限，类似“drwxr-xr-x”的字符串。

这串字符可以分成4段理解，结构为“d + 文件所有者操作权限 + 文件所有者所在组操作权限 + 其余人的操作权限”：

1，第一段：例子中字母“d”，表示文件所在目录

2，第二段：例子中字符串“rwx”，表示文件所有者对此文件的操作权限

3，第三段，例子中字符串“r-x”，表示文件所有者所在组对些文件的操作权限

4，第四段，例子中字符串“r-x”，表示除2、3两种外的任何人对此文件的操作权限

通常用三个数字来表示文件的读取、写入、执行权限：

读取：4

写入：2

执行：1

随便写个数字：755，这个3位数分别对应前面所说的分段：7对应第二段，5对应第三段，5对应第四段。

含义：

7：表示文件所有者的权限，4+2+1=7，即文件所有者对该文件有生杀大权，读、写、执行随便。

5：表示文件所有者所在组的权限：4+1=5，即文件所有者所在组对文件有读、执行权限，没有写权限。

5：同上，其余人对该文件只有读、执行权限，没有写权限。

具体使用——例 ：  chmod 755 文件名。(最常用)

这样就完成了Linux数字文件权限内容的讲解，希望对您有帮助。

 

 

网站文件最小权限设置方法：

 

1、假如web服务器是apache，那么用户访问web页面的时候，就是通过apache服务(httpd)的所有者的身份进行访问，所以要将 apache也就是httpd服务的所有者和所有组设为apache或者自定用户，不要用root，这个一般安装的时候就会有默认设置。

 

2、网站程序的所有者不要和apache服务的所有者一样，如果一样就相当于给了普通访问者对web文件的所有操作权！一旦web程序有漏洞，那就 over了！默认一般是root，尽量改为其他用户,比如自己建立一个daemon，切记不要和apache服务的所有者一样。 3、对于网站根目录权限，按照最小权限的原则，应设置为755

 

4、对于缓存目录或者上传目录例如缓存目录:caches目录，由于此目录必须要有写权限，也就是目录同是有rwx三个权限，这时候可以直接建立一个 caches空目录，然后chown daemon.daemon ./caches,就是把caches所有者、所有组改为自定义的daemon就ok了，这样如果访问web页面，就会以apache的身份进入  caches建立缓存目录及文件，默认系统都是以最小权限建立！

 

5、对于普通目录，最小权限为755，普通用户不给写权限

 

6、对于普通文件，最小权限为644，普通用户不给执行权限 总而言之，言而总之就是：目录不要给写权限，文件不要给执行权限（除非特殊情况，如目录要上传）

 

############################################################################### 注：Linux下文件和目录的读、写和执行权限的解析

 

对于文件来说，从字面上就可以理解，但对于目录来说，执行权限代表什么？它与读、写权限有什么不同呢？下面我们用实验说话： ### 实验数据准备 ### $ mkdir test — 创建目录test $ echo “hello” > test/f1 — 在目录test下创建文件f1 ########

 

1. 读权限

Code list：

 

# chmod 444 test — 修改目录为读权限(包括用户、组和其它)

 

# ls test — 查看目录test的文件列表

 

# f1 — 结果显示

 

# cat test/f1 — 再试下查看一下目录test中的文件f1

 

#cat: test/f1: Permission denied 由此可见，目录的读权限仅允许我们读目录，获得在该目录中所有文件名的列表，但无法查看目录中文件的内容。

2. 执行权限

Code list：

 

# chmod 111 test — 修改目录为执行权限(包括用户、组和其它)

 

# ls test — 查看目录test的文件列表

 

# ls: test/: Permission denied

 

# cat test/f1 — 查看目录test中的文件f1

 

# hello 由此可见，目录的执行权限不允许我们读取目录的文件列表，但可以查看目录中文件的内容。当一个目录是我们要访问文件的路径名的一个组成部分时，对该目录的执行权限使我们可通过该目录。

3. 写权限

Code list：

 

# chmod 222 test — 修改目录为写权限(包括用户、组和其它)

 

# echo “bye” > test/f1 — 修改目录test中的文件f1的内容

 

# -bash: test/f1: Permission denied

 

# chmod 333 test — 修改目录为执行、写权限(包括用户、组和其它) # echo “bye” > test/f1

 

# cat test/f1

 

# bye 由此可见，要修改目录中的文件内容，不仅仅需要目录的写权限，还需要目录的执行权限(这个很显然)

 

chown -R nginx:nginx css/

chown -R apache:apache css/