chmod 與 chown 權限管理實戰

chmod 與 chown 權限管理實戰

在 Linux 系統管理的世界裡，權限控制是確保系統安全與穩定運作的基石。許多初學者往往在面對 Permission denied 錯誤時感到困惑，或是因為權限設定不當導致服務無法啟動。本文將深入解析 Linux 中最核心的兩個權限管理指令：chmod（修改檔案權限模式）與 chown（修改檔案擁有者），透過實際範例幫助你建立清晰的權限管理觀念。

理解 Linux 權限架構

在深入指令之前，我們必須先釐清 Linux 的權限模型。每個檔案都有三個維度的權限：讀取（r）、寫入（w）與執行（x）。這些權限分別套用給三類使用者：檔案擁有者（Owner）、所屬群組（Group）以及其他使用者（Others）。

通常我們使用 ls -l 來查看權限，例如 -rw-r--r--。這代表檔案擁有者可讀寫，群組與其他使用者僅可讀取。理解這個基礎後，我們就能更精準地使用 chmod 與 chown 來調整這些設定。

chmod：彈性調整權限模式

chmod 指令允許我們以「符號式」或「數字式」兩種方式來修改權限。對於日常操作，數字式（八進位制）更為直觀且不易出錯。

數字式權限設定

每個權限位元對應一個數字：讀取（4）、寫入（2）、執行（1）。將這三個數字相加，即可得到該類別使用者的權限值。

假設我們建立了一個腳本檔案 script.sh，希望擁有者擁有完全控制權（讀+寫+執行 = 7），而群組與其他使用者僅能讀取與執行（讀+執行 = 5）。

$ touch script.sh
$ ls -l script.sh
-rw-r--r-- 1 user user 0 Apr 10 10:00 script.sh

# 設定擁有者 rwx (7), 群組 r-x (5), 其他 r-x (5)
$ chmod 755 script.sh
$ ls -l script.sh
-rwxr-xr-x 1 user user 0 Apr 10 10:00 script.sh

符號式權限設定

符號式則更具彈性，適合增量修改。例如，我們想讓群組使用者也能寫入 data.txt，但不想影響其他權限：

$ chmod g+w data.txt
$ ls -l data.txt
-rw-rw-r-- 1 user user 0 Apr 10 10:05 data.txt

這裡的 g 代表 group，+ 代表增加，w 代表 write。若想移除權限，則使用 -。

chown：掌控檔案歸屬權

當權限問題不是出在「讀寫執行」，而是出在「誰擁有這個檔案」時，chown 就是關鍵。通常在使用 sudo 建立檔案後，檔案的擁有者會變成 root，這會導致普通使用者無法修改該檔案。

基本語法與範例

chown 的語法為 chown [擁有者]:[群組] 檔案名稱。若只指定使用者，群組維持不變；若只指定群組，則以使用者名稱前的冒號區隔。

假設我們有一個網頁目錄 /var/www/html，希望將整個目錄的擁有者改為 www-data 使用者與群組：

# 更改檔案擁有者為 www-data，群組也改為 www-data
$ sudo chown -R www-data:www-data /var/www/html

# 確認更改結果
$ ls -ld /var/www/html
drwxr-xr-x 10 www-data www-data 4096 Apr 10 10:10 /var/www/html

注意 -R 參數代表遞迴（recursive），這對於目錄結構尤為重要，它能確保目錄內所有的子目錄與檔案都套用相同的擁有者設定。

常見問題與注意事項

1. 權限過寬的安全風險

許多管理員為了方便，習慣將重要目錄設為 777（rwxrwxrwx）。這意味著任何使用者都可以讀取、修改甚至刪除該檔案，極易引發資安漏洞。在生產環境中，應嚴格遵循最小權限原則。例如，網頁伺服器目錄通常建議設定為 755（目錄）與 644（檔案），並確保擁有者為 www-data 或對應的服務使用者。

2. chown 的 sudo 需求

普通使用者無法將檔案擁有者改為其他使用者，這是 Linux 的核心安全機制。只有 root 使用者或具有 sudo 權限的使用者才能執行 chown。若嘗試執行 chown 卻未加 sudo，系統會回報 Operation not permitted。此外，修改檔案擁有者後，原有的 ACL（存取控制清單）權限可能會受到影響，建議在大型系統中操作前備份權限設定。

小結

chmod 與 chown 是 Linux 系統管理不可或缺的工具。chmod 負責決定「誰可以做什麼」（讀、寫、執行），而 chown 則決定「檔案屬於誰」。掌握這兩者的數字式與符號式用法，並謹記安全原則，能有效避免絕大多數的權限相關錯誤。建議在實際操作中，先使用 ls -l 確認當前狀態，並謹慎使用 sudo 進行變更，以確保系統環境的安全與穩定。