Linux權限管理問題

先推薦一個linux權限的影片：Linux權限管理之基本權限，講的非常好，看完後就基本明白了。

一、檔案權限及所屬

#1、檔案有三種類型的權限，為了方便期間，可以用數字來代替，這樣可以透過數字的加減，用一個數字就能標識這個檔案的權限了，例如7=4+2+1，表示讀寫執行3個權限都有，6=4+2，表示有讀寫權限沒有執行權限等等

2、聯想web應用程式的rbac權限管理等，linux下同樣有使用者權限的管理，使用者有使用者名稱和使用者群組，一般建立使用者時同時會建立同名的使用者所屬群組。

先root帳號登入隨便新建一個目錄和一個檔案

#新建目录mkdir abc
#新建文件touch abc.txt
#查看ls -all

#查看時會發現：

#d开头的为目录，-开头为文件，还有l开头的为软链接等

先看上方藍色的部分，第一位為標識符，去掉第一位，後面每三位分隔，以abc資料夾為例:d | rwx | r-x | r-x

所以abc資料夾中表示owner擁有rwx（7），group擁有rx（5），other擁有rx（5）。

同樣上方檔案中紅色的部分，依序為擁有者的名稱和所屬群組的名稱，也就是abc資料夾的擁有者為root，所屬群組為root。此時：

a、如果是root用戶來存取這個abc資料夾，相當與owner，擁有7的權限

b、如果一個新的用戶名test用戶群組為root來存取abc資料夾，則相當於group，擁有5的權限

c、如果一個新的使用者名稱test使用者群組為test的來存取abc資料夾，則相當與other，擁有5的權限

二、檔案各權限的作用

本來還想邊測試邊說，但是太麻煩了，直接說結果吧。可以自己新建一個用戶，然後修改權限來自己測試下。

1、目錄

　　a、進入目錄，即cd指令，所需要的權限為執行權限（x）

　　b、檢視目錄內的文件，即ls指令，所需的權限為讀取權限（r）

　　c、建立刪除目錄內的資料夾/文件，即mkdir/touch命名，需要的權限為寫如權限（w）

順便說下目錄只影響下一級的，隔代不影響，好比一個目錄abc/sub/，如果abc沒有w權限，但sub有w權限，則可以在sub中創建文件，當然abc也需要有x權限，否則都進不去更不用說創建了，但只要能進去（可以透過切換root管理員的方法），就不會再受abc的影響，只會受sub的影響。

一般我們目錄會給5（rx）的權限，也就是讀取和執行權限，只有圖片上傳或快取等目錄需要創建的才會給7（rwx）的權限

#2、檔案

　　a、檔案打開，可以用cat/vim指令打開，所需權限為讀取權限（r）

　　b、檔案修改，可以用cat/vim指令開啟並儲存，所需權限為寫入權限（w）

　　c、檔案執行，可以直接./abc.out等執行，所需要權限為執行權限（x）

#這裡要說明的是php無論是命令列執行（類似運行php abc.php）或是web端執行，名為執行，實際上是讀取檔到php核心取解析，所以只要有讀取權限（r ）就可以，同樣例如abc.sh，如果直接執行./abc.sh需要的是執行權限（x），但是執行sh abc.sh 指令需要的是讀取權限（r）。

一般我們檔案會給4（r）權限，也就是讀取權限，只有日誌、快取等需要寫入內容到檔案中的才會給6（rx）權限

之所以上方沒有說755，777、644權限，而只是是說單一的權限，是因為你的網站目錄所屬的權限不能確保與執行時所用的用戶什麼關係，也就是說執行時的用戶可能是owner、可能是group也可能是other

三、php執行時的權限

我們自己在ssh連接linux操作時必須要有個使用者名稱才能登入操作，同樣php要想處理php相關的文件，也是在某個使用者下操作的，而使用者是在哪裡創建或定義的呢，一般會是在安裝php環境時創建的，例如apache，nginx等環境都會預設建立使用者和使用者群組，而php的讀取時就用此使用者來讀取，可以透過檢視設定檔來確認：

#apache在配置文件httpd.conf
User www
Group www
#nginx在配置文件nginx.conf
user www www;

或是透過指令查看進程：

#查看apache进程ps -ef|grep httpd
#查看nginx进程ps -ef|grep nginx
#查看php-pfm进行ps -ef|grep php-pfm

以apache為例會顯示：

root      1663     1  0 09:14 ?        00:00:00 /www/wdlinux/apache/bin/httpd//主进程www       1697  1663  0 09:14 ?        00:00:05 /www/wdlinux/apache/bin/httpd//子进程www       1698  1663  0 09:14 ?        00:00:05 /www/wdlinux/apache/bin/httpd

第一列就是显示的哪个用户在执行它，主要看非root下的。上方说明是www用户在运行apache进程来处理php文件。一般来说apache/nginx会以root来启动主线程，然后fork出子线程来处理具体的业务，而子进程在创建时会根据配置文件中的用户名和用户组通过setuid和setgid命令来设置有效用户名和有效用户组。需要注意的是“有效”这两个字，例如，某个用户名为test，其所属组test，而apache中配置文件中设置的用户名为test，但是用户组设置为abc，这时就可能很疑惑了，那组到底是按照用户名所属的组还是配置文件中设置的组呢？答案是设置的，因为通过setgid变更了，具体谷歌百度搜索“有效用户”、“实际用户”、“setuid函数”等关键字。

这里需要注意的是，如果有安装php-pfm，则应该还需要查看php-pfm执行时的用户名及用户组。（没有安装，所以没实践过）

默认的可能是nobody或者apache等其它的用户及用户组，上方是已修改过的。此时应该在网站目录中用ls-all来确认下网站文件是属于哪个用户，分几种情况说明下吧：

a、例如网站所有者是这样：

drwxr-xr-x   2 www www 4096 Jun  6 10:23 system
drwxr-xr-x   2 www www 4096 Jun  6 10:23 tmp-rw-r--r--   1 www www    0 Jun  6 10:23 index.php
...

网站所有者为www，而php执行者也为www，那说明是具有owner权限，上方system文件夹中755中的55根本不起作用，只要是7xx就会以7（rwx）的权限来执行。

b、如果网站所有者是这样：

drwxr-xr-x   2 test www 4096 Jun  6 10:23 system
drwxr-xr-x   2 test www 4096 Jun  6 10:23 tmp
-rw-r--r--   1 test www    0 Jun  6 10:23 index.php
...

网站所有者为test，所属组为www，而php执行者为www，执行组为www，那说明是说在同一组中，具有group权限，上方system文件夹中755中的7和5不起作用，只要是x5x就会以5（rx）的权限来执行。

c、如果网站所有者是这样：

drwxr-xr-x   2 test test 4096 Jun  6 10:23 system
drwxr-xr-x   2 test test 4096 Jun  6 10:23 tmp
-rw-r--r--   1 test test    0 Jun  6 10:23 index.php
...

网站所有者为test，所属组为test，而php执行者为www，执行组为www，那说明是说根本没什么关系，具有other权限，上方system文件夹中755中的75不起作用，只要是xx5就会以5（rx）的权限来执行。

所以不能简单的说修改权限为755，644什么的，还需要确认程序的执行者和网站的所有者才能确定权限。

目前好多集成环境为了省事（嗯，lanmpv3等），将php的执行权限和网站所在目录都设置为www，此时一般创建完目录后为755，创建文件后为644，当php执行时，起作用的目录权限为7（所有目录拥有创建删除权限）和文件权限6（所有文件具有写权限），这种是不是挺不安全的？正常应该是目录为5，文件为4，当有特殊需求时才将权限设为7。如果出现上方说的这种情况，修改的方法一是修改apache/nginx的用户和用户组，二是修改网站文件的所有者和所有组这两个方向来修改，以确保网站的安全。

以上，只是基础的权限说明。

以上是Linux權限管理問題的詳細內容。更多資訊請關注PHP中文網其他相關文章！