Какие права доступа к файлам необходимо установить

Обновлено: 30.04.2024

Наверняка Вы уже не раз слышали о правах доступа к файлам и папкам сайта. Права доступа - это атрибуты файла или папки, которые указывают серверу, кто и что может делать с соответствующим файлом или папкой.

Сайтом на хостинге управляет определенная операционная система. Скорее всего Unix системы, в связи с определенными преимуществами. Сейчас мы не будем их перечислять, но операционная система Windows в качестве операционной системы сервера это скорее экзотика, чем правило. Просто отметим для себя, что в операционной системе Windows права доступа к папкам и файлам установлены с максимальным доступом. То есть все могут сделать практически любые действия с данным файлом или папкой.

В Unix-подобных операционных системах такого точно не увидите. Здесь все существенно сложнее. Именно эта сложность и обеспечивает безопасность файлов и папок сайта. Сейчас рассмотрим, что представляет собой эта система и как проходит настройка прав доступа к папкам и файлам сайта.

Если заглянуть в свойства папок или файлов сервера, то увидете, что права доступа к папкам и файлам задаются цифрами. Например, всем знакомая комбинация права доступа 777, которая позволяет все и всем. Сами права доступа делятся на три категории: права доступа к файлу, права доступа к папке или директории и права доступа для групп пользователей, что собственно и определяет цифровую комбинацию доступа.

Права доступа к файлам:

4 - право на чтение данных из файла (read);

2 - право на изменение содержимого файла (write);

1 - право на выполнение файла (execute);

0 - ничего не делать.

Немного о праве на выполнение файла. В отличие от операционной системы Windows, в Unix может быть выполнен любой файл. Будет ли он исполнительным, определяется правом доступа. Если у файла право доступа единица, то он может быть запущен на выполнение.

Права доступа к папкам (директорий):

4 - право на чтение директории (read);

2 - право на изменение содержимого директории (write);

1 - право на вход в директорию (execute).

Права доступа для групп пользователей

Права доступа для групп пользователей делятся на три категории. К какой категории будет отнесен пользователь, зависит от того, кто обратился к файлу или директории.

категория User - это непосредственно владелец файла;

категория Group - это члены группы, к которой принадлежит владелец файла;

категория World - все остальные.

Как определить, к какой группе относится тот или иной пользователь? Например, если пользователь подключается к серверу через FTP менеджер или через панель управления сайтом и входит под своим логином и паролем, то сервер присвоит ему категорию User, а пользователю, который заходит на сайт с помощью браузера - категорию World.

Следовательно, права доступа к папкам и файлам описываются с помощью трех цифр, перед которой обязательно должна быть цифра "0", но пока это опустим.

Чтобы стало еще понятнее, возьмем например, права 754, и подробно разберем их:

7 - владелец файла может читать (4), записывать (2) и выполнять (1) файл.

5 - группа владельца может читать (4) и выполнять (1) файл.

4 - все остальные пользователи могут только читать (4) файл.

Теперь посмотрим, как выполняется настройка права доступа к папкам и файлам. Обычно на сервере по умолчанию установлены права доступа для файлов 644 и для папок - 755. 755 - владелец может все, группа и другие могут только читать папку и заходить в нее без права редактирования. Права доступа 644 - владелец может читать и изменять файл, все остальные - только читать.

Для установления прав доступа используется функция Chmod. Во всех современных FTP клиентах присутствует возможность назначения прав доступа путем проставления "галочки" в чекбоксах, или просто введением цифрового кода в соответствующее поле.

Комментарии

"Просто отметим для себя, что в операционной системе Windows права доступа к папкам и файлам установлены с максимальным доступом. То есть все могут сделать практически любые действия с данным файлом или папкой".

У каждого файла и папки в Windows 10 есть атрибуты разрешений. Он дает вам право редактировать, читать, писать, выполнять и изменять его. В Windows 10 относительно легко изменить права доступа к файлам и папкам. Однако это зависит от конкретных критериев. В этом посте мы покажем, как вы можете изменить права доступа к файлам и папкам в Windows 10.

Как изменить права доступа к файлам и папкам

Я говорил об индивидуальных критериях, которым вы должны соответствовать. Этими критериями являются полномочия или полномочия пользователя. Если вы являетесь администратором, вы можете почти все изменить в Windows. Он включает в себя возможность изменять файлы, принадлежащие другим лицам. Однако если вы являетесь обычным пользователем, вы можете изменять только принадлежащие вам файлы. В этом посте мы обсудим следующее:

  1. Типы пользователей и разрешений
  2. Измените права доступа к файлам и папкам, которыми вы владеете
  3. Управление разрешениями при предоставлении доступа к файлу или папке другим пользователям
  4. Измените права доступа к файлам и папкам, которыми вы НЕ владеете.

Хотя это выглядит сложным, управлять разрешениями относительно легко. Вам нужно быть осторожным с типом разрешений.

1]Тип пользователей в Windows и разрешения

Хотя в этом нет необходимости, я думаю, что вы знаете об этом — хорошая идея. Существует два типа пользователей: локальные учетные записи пользователей и локальные системные учетные записи.

  • Учетные записи локальных пользователей включают учетные записи администраторов, обычных пользователей, детей и гостей.
  • ОС Windows управляет локальными системными учетными записями. Учетные записи с такими именами, как Система, Сетевая служба, Локальная служба, являются системными учетными записями.

Администратор также может управлять системными учетными записями или, по крайней мере, изменять права доступа к файлам вместе с другими локальными учетными записями пользователей.

Еще одна важная вещь, но вы должны это знать. Некоторые из этих разрешений будут недоступны для файлов.

  • Полный контроль
  • Изменить
  • Прочитать и выполнить
  • Список содержимого папки
  • Читать
  • Написать
  • Особые разрешения

2]Измените права доступа к файлам и папкам, которыми вы владеете в Windows 10

Изменить разрешение файла и папки Windows 10

Этот раздел применим ко всем типам пользователей. Пока вы управляете файлами и папками, которые выиграли, особой проблемы нет. Но иногда пользователи сталкивались с тем, что они не могут редактировать файлы, которые принадлежат им или созданы ими. Следуйте инструкциям по устранению этих проблем.

  • Щелкните правой кнопкой мыши любую папку или файл и нажмите Характеристики.
  • Переключиться на Вкладка Безопасность, и вы должны увидеть два раздела
    • Группы или имена пользователей, у которых есть право собственности на этот файл
    • Разрешения для выбранного пользователя

    При изменении разрешения для себя лучше всего поставить галочку напротив Полный контроль. Это убережет вас от любых проблем, которые у вас возникли с файлом или папкой.

    Как применить одно и то же разрешение к вложенным папкам и файлам

    Как изменить права доступа к файлам и папкам

    Проще говоря, независимо от разрешения, объект, то есть Пользователь, которым в данном случае являетесь вы, будет применяться ко всем файлам и подпапкам.

    3]Управление разрешениями при предоставлении доступа к файлу или папке другим пользователям.

    Здесь может быть несколько сценариев:

    • К файлу можно предоставить общий доступ, но его нельзя изменить.
    • Папки открыты для нескольких пользователей, но им не разрешено удалять файл или добавлять какие-либо файлы.
    • Некоторым пользователям разрешено изменять файлы, в то время как другие могут иметь доступ только для чтения.

    Добавить пользователей в папку в Windows с разрешением

    Когда пользователь станет доступен, выберите его и затем назначьте соответствующее разрешение. Выберите, что вы хотите разрешить, а что — запретить. Это то, как вы назначаете для себя, за исключением того, что вы делаете это для какой-то другой учетной записи.

    4]Изменение разрешений для файлов и папок, которыми вы НЕ владеете

    Вот тут-то и появляется право собственности. Если у вас нет папки или кто-то другой изменил файлы таким образом, вы можете изменить это. Однако только администратор может изменить его за вас.

    Изменение владельца файла или папки

    Следуйте нашему подробному руководству, чтобы узнать, как стать владельцем файлов и папок, которыми вы не владеете.

    На этот раз это может быть слишком сложно для понимания, но как только вы закончите, путаницы не останется. Надеюсь, вы смогли это ясно понять.

    PS: Attribute Changer позволяет легко изменять атрибуты файлов и папок в Windows 10.

    Поговорив о пользователях и группах, самое время вспомнить про права доступа, которые для них настраиваются. Общая схема прав одинакова и для файлов, и для папок. Вы уже видели, как система отображает права доступа, в выводе команды ls -l , которая показывает содержимое директории:


    Первые 10 символов содержат информацию о правах к файлу или каталогу.

    права пользователей группы-владельца

    права всех остальных пользователей

    Далее идёт имя пользователя-владельца и группы -владельца.

    файл принадлежит пользователю root

    файл принадлежит группе root

    Исходя из этого, иерархия доступа на уровне пользователей разбивается следующим образом: права пользователя-владельца, права участников группы-владельца и права всех остальных.

    Соответственно, для каждой категории указывается, какие операции с файлом ей доступны: чтение (r), запись (w) или выполнение (x) — для исполняемых файлов. Для директорий параметры те же, но обозначают немного другое: просмотр директории (r), создание папок / файлов (w) внутри директории, переход в директорию (x).

    Каждый из этих уровней доступа можно выразить в восьмеричной системе с помощью числового значения: 4 (r), 2 (w), 1 (x). Вот так мы и получаем общую схему прав:

    Для отображения уровня прав помимо формата rwxrwxrwx используется упомянутый восьмеричный формат. Для этого достаточно сложить все уровни прав по категориям:

    Теперь можно перейти к инструментам, которые позволяют управлять правами на файлы и директории.

    Смена владельца файла или директории

    Для смены владельца доступны два инструмента. Первый — chown , позволяет изменить пользователя и группу файла или папки:

    Если не указывать группу, изменится только пользователь-владелец. Если не указывать пользователя ( :[новая группа] ), изменится только группа-владелец.

    При изменении прав на директории можно использовать параметр -R . Он рекурсивно изменит владельца всех вложенных директорий и файлов. Представим, что нам нужно предоставить права на папку new-user для одноимённого пользователя и его группы. Команда для этого будет выглядеть так:

    Второй инструмент — chgrp . В отличие от первого, меняет только группу-владельца:

    Как и chown, может работать рекурсивно с помощью ключа -R .

    Смена прав доступа к файлу или директории

    Для работы непосредственно с правами используется команда chmod :

    При работе с директориями опция -R позволит изменить права на все вложенные файлы и папки.

    Настройки прав в chmod можно определять двумя способами:

    Указав категорию ( u — пользователь-владелец, g — группа-владелец, o — другие пользователи, a — все пользователи), модификатор ( + , - , = ) и, соответственно, нужные права ( r , w , x ).

    Например, представим, что у нас есть файл example.txt с максимальным уровнем прав для всех категорий пользователей:




    Если вдруг мы захотим изменить весь набор параметров для отдельной категории разом, это будет выглядеть следующим образом:

    Указав права в виде числового значения. Возможно, это не так прозрачно, но зато быстрее. В качестве параметра нам нужно передать это самое цифровое выражение уровня прав:

    В примере мы назначили максимальный уровень доступа всем категориям пользователей.

    Соответственно, для изменения уровня прав отдельной категории пользователей нужно изменить только это числовое значение. Например, запретим исполнение файла для всех пользователей:

    А потом вернём, но только пользователю-владельцу:

    Бывает, что нам нужно изменить права только на все папки или только на все файлы в определённой директории. Часто с этим можно столкнуться при настройке прав на файлы сайтов. Вот вам пара однострочников на этот случай:

    Изменение атрибутов файлов

    Помимо прав доступа и владельца каждый файл может иметь ряд атрибутов, определяемых на уровне файловой системы. Атрибуты показывают, какие операции могут или не могут проводиться с файлом в принципе, независимо от того, кто им владеет.

    Посмотреть атрибуты файлов в текущей директории можно с помощью команды lsattr . Если запустить её без аргументов, она выведет атрибуты всех файлов в текущей директории. Если указать путь к файлу или папке, она перечислит свойства указанного файла или списка файлов в указанной папке соответственно:


    Первые 20 символов в строке предназначены для отображения атрибутов файла.

    Список атрибутов может отличаться в зависимости от файловой системы. Вот список основных:

    в файл с таким атрибутом можно только добавлять новые данные. Старое содержимое изменить или удалить не получится. Это пригодится для защиты от вредоносных вставок или замен в файлах, куда постоянно записываются данные — например, в логах. Доступ к изменению старого содержимого по умолчанию есть только у суперпользователя root .

    активирует безвозвратное удаление файла. В том смысле, что после удаления файл нельзя будет восстановить с носителя — при удалении все использовавшиеся для хранения файла блоки на диске перезаписываются нулями.

    сжатый файл. Все данные, записываемые в файл, автоматически сжимаются, а данные, извлекаемые из файла — возвращаются в исходное состояние.

    настраивает для файла исключение при использовании утилиты dump . То есть файл не будет включен в архив при создании резервной копии этим способом.

    показывает, что файл в качестве указателей использует экстенты.

    в журналируемых файловых системах ( ext3 , ext4 ) указывает на то, что при сохранении файла он сначала будет записан в журнал ФС, и только потом — на диск.

    указывает, что при работе с файлом система не будет обновлять информацию о времени доступа к нему.

    атрибут для директорий. Указывает, что все изменения в папке синхронно записываются на диск, минуя кэш.

    указывает, что все изменения в файле с этим атрибутом записываются синхронно на диск, минуя кэш.

    Изменить атрибуты файла позволяет команда chattr :

    То есть, если нам нужно защитить какой-то важный файл от посягательств, можно использовать такую команду:


    Проверяем — посягательства не работают.

    Если же нам нужно вернуть файл в нормальное состояние, нужно выполнить обратную операцию:

    Для просмотра более подробной информации о файловых атрибутах, их ограничениях и правилах применения используйте команду:

    Система предусматривает возможность отключения просмотра физической структуры сайта в Административном разделе. Это может быть полезно по следующим соображениям:

    • если у какой-то группы пользователей есть такие права администрирования, которые в принципе могут привести к негативным последствиям в случае неграмотных действий;
    • если квалифицированный администратор сайта в отъезде, отпуске и т. д., то полезно скрыть физическую структуру, оберегая проект от непредвиденных случайностей;
    • чтобы контент-менеджеры не пребывали в недоумении, почему одни и те же страницы, разделы могут быть отображены дважды (в рамках физической и логической структуры): пусть работают только с логической структурой.

    Как отключить просмотр физической структуры


    Для отключения просмотра физической структуры на странице настроек модуля Управление структурой ( Настройки > Настройки продукта > Настройки модулей > Управление структурой ) установите флажок в поле Не отображать раздел "Файлы и папки" в меню "Структура сайта" .

    • либо в результате ошибки в настройках сайта ( Настройки > Настройки продукта > Сайты > Список сайтов ). Значение поля Путь к корневой папке веб-сервера для этого сайта не соответствует реальному пути к DOCUMENT_ROOT.
    • либо на корневую папку сайта (DOCUMENT_ROOT) установлены права недостаточные для чтение её содержимого. В данном случае надо установить на папку наиболее полные права.

    Как настроить права доступа к управлению структурой


    По команде Дополнительно > Показать права на доступ для > нужная группа отображается текущее право группы пользователей на доступ к папкам и файлам системы.

    Настройка прав доступа к управлению структурой сайта выполняется в Менеджере файлов ( Контент > Структура сайта ). Для настройки прав:


    • Перейдите в раздел Файлы и папки ( Контент > Структура сайта > Файлы и папки )
    • Отметьте нужные элементы в Колонке флажков;
    • Выберите действие Права на доступ продукта на панели групповых операций и нажать кнопку Применить:

    Форма настройки прав доступа

    В форме настройки прав доступа укажите уровень доступа каждой группы пользователей к выбранным файлам и папкам.

    • Запрещен: доступ группы пользователей к каталогу или файлу будет закрыт;
    • Чтение: пользователи группы смогут просмотривать информацию файла или каталога в публичном разделе сайта;
    • Запись: пользователи смогут редактировать файлы;
    • Документооборот: пользователям разрешено создавать и редактировать файлы через модуль Документооборот;
    • Полный доступ: пользователи получают права не только на изменение каталогов или файлов, но и на управление правами доступа всех групп пользователей к ним;
    • Наследовать: для настраиваемых каталогов или файлов будут назначены те же права, что и для вышележащих каталогов.

    Обратите внимание: Если установлено право доступа Наследовать […], то реальное право доступа определяется полем Все группы, для которых уровень доступа Наследовать. Иными словами, по умолчанию для всех групп установлено только право на чтение (кроме администратора сайта, который может все).

    Для настройки прав доступа к текущей директории (например, к корневой папке) нужно воспользоваться кнопкой Свойства папки, расположенной на контекстной панели:


    Права групп пользователей на доступ к директории сайта наследуются всеми вложенными папками и файлами. Иными словами, задав право, скажем, на чтение одной папки, задаются права на чтение для всех вложенных в неё папок.

    1. Установим право на доступ к корневому каталогу для группы Редакторы сайта равным Чтение;
    2. Для всех вложенных папок и файлов, кроме папки /content/ (раздел Контент), установим право доступа для группы Редакторы сайта равным Наследовать [чтение]:
    3. Установим для группы пользователей Редакторы сайта право доступа к папке /content/ (раздел Контент) равным Запись, а для всех вложенных файлов и папок каталога /content/ установим право доступа для группы Редакторы сайта равным Наследовать [запись].

    Управление доступом к файлам и папкам так же возможно и из публичного раздела Запрет на доступ к той или иной информации на сайте - достаточно частая операция. В "1С-Битрикс: Управление сайтом" создана гибкая система задачи прав на доступ к информации, вы всегда можете показать только то что хотите и кому хотите

    Чтобы пользователь мог редактировать те или иные страницы/разделы и на панели управления были соответствующие кнопки, для требуемой группы пользователей необходимо установить права на запись:

    Внимание! Для изменений контента в Публичной части сайта пользователи необходим доступ на чтение к папке /bitrix/admin . Это папка, в которой расположен визуальный HTML-редактор. Без этого редактирование будет возможно только в текстовом режиме.

    Нельзя закрыть доступ только к определенным папкам в разделе "Файлы и папки" (так, чтобы они не отображались для какой-либо группы пользователей). Чтобы группа пользователей могла работать только с конкретными папками, а остальные не видела, нужно закрывать доступ ко всему разделу "Файлы и папки" и открывать этой группе доступ к конкретным папкам, давая прямые ссылки на эти папки (группа пользователей сможет работать по прямым ссылкам, но файловой структуры не увидит).

    Пример решения проблемы

    Была правильно создана группа и к ней приписан пользователь. Группе назначены следующие права доступа к административным частям модулей:

    • Главный модуль - полный доступ;
    • Управление структурой - полный доступ.

    Решение: По умолчанию новые пользователи имеют только право чтения для всех папок сайта, кроме папки /bitrix/admin/ . Следовательно, для получения доступа вам необходимо установить права на чтение папки /bitrix/admin/ :

    Читайте также: