What is chmod command in linux

Linux chmod command

In Unix-like operating systems, the chmod command sets the permissions of files or directories.

This page describes the GNU/Linux version of chmod.


On Unix-like operating systems, a set of flags associated with each file determines who can access that file, and how they can access it. These flags are called file permissions or modes, as in «mode of access.» The command name chmod stands for «change mode.» It restricts the way a file can be accessed.

For more information about file modes, see: What are file permissions, and how do they work? in our documentation of the umask command. It contains a comprehensive description of how to define and specify file permissions.

In general, chmod commands take the form:

If no options are specified, chmod modifies the permissions of the file specified by file name to the permissions specified by permissions.

permissions defines the permissions for the owner of the file (the «user»), members of the group who owns the file (the «group»), and anyone else («others»). There are two ways to represent these permissions: with symbols (alphanumeric characters), or with octal numbers (the digits through 7).

Let’s say you are the owner of a file named myfile, and you want to set its permissions so that:

  1. the user can read, write, and execute it;
  2. members of your group can read and execute it; and
  3. others may only read it.

This command does the trick:

This example uses symbolic permissions notation. The letters u, g, and o stand for «user«, «group«, and «other«. The equals sign («=«) means «set the permissions exactly like this,» and the letters «r«, «w«, and «x» stand for «read», «write», and «execute», respectively. The commas separate the different classes of permissions, and there are no spaces between them.

Here is the equivalent command using octal permissions notation:

Here the digits 7, 5, and 4 each individually represent the permissions for the user, group, and others, in that order. Each digit is a combination of the numbers 4, 2, 1, and :

  • 4 stands for «read»,
  • 2 stands for «write»,
  • 1 stands for «execute», and
  • stands for «no permission.»

So 7 is the combination of permissions 4+2+1 (read, write, and execute), 5 is 4++1 (read, no write, and execute), and 4 is 4++ (read, no write, and no execute).



-c, —changes Like —verbose, but gives verbose output only when a change is actually made.
-f, —silent, —quiet Quiet mode; suppress most error messages.
-v, —verbose Verbose mode; output a diagnostic message for every file processed.
—no-preserve-root Do not treat ‘/‘ (the root directory) in any special way, which is the default setting.
—preserve-root Do not operate recursively on ‘/‘.
—reference=RFILE Set permissions to match those of file RFILE, ignoring any specified MODE.
-R, —recursive Change files and directories recursively.
—help Display a help message and exit.
—version Output version information and exit.

Technical description

chmod changes the file mode of each specified FILE according to MODE, which can be either a symbolic representation of changes to make, or an octal number representing the bit pattern for the new mode bits.

The format of a symbolic mode is:

where perms is either zero or more letters from the set r, w, x, X, s and t, or a single letter from the set u, g, and o. Multiple symbolic modes can be given, separated by commas.

A combination of the letters u, g, o, and a controls which users’ access to the file will be changed: the user who owns it (u), other users in the file’s group (g), other users not in the file’s group (o), or all users (a). If none of these are given, the effect is as if a were given, but bits that are set in the umask are not affected.

The operator + causes the selected file mode bits to be added to the existing file mode bits of each file; causes them to be removed; and = causes them to be added and causes unmentioned bits to be removed except that a directory’s unmentioned set user and group ID bits are not affected.

The letters r, w, x, X, s and t select file mode bits for the affected users: read (r), write (w), execute (x), execute only if the file is a directory or already has execute permission for some user (X), set user or group ID on execution (s), restricted deletion flag or sticky bit (t). For directories, the execute options X and X define permission to view the directory’s contents.

Читайте также:  Как узнать графический интерфейс linux

Instead of one or more of these letters, you can specify exactly one of the letters u, g, or o: the permissions granted to the user who owns the file (u), the permissions granted to other users who are members of the file’s group (g), and the permissions granted to users that are in neither of the two preceding categories (o).

A numeric mode is from one to four octal digits (7), derived by adding up the bits with values 4, 2, and 1. Omitted digits are assumed to be leading zeros. The first digit selects the set user ID (4) and set group ID (2) and restricted deletion or sticky (1) attributes. The second digit selects permissions for the user who owns the read (4), write (2), and execute (1); the third selects permissions for other users in the file’s group, with the same values; and the fourth for other users not in the file’s group, with the same values.

chmod never changes the permissions of symbolic links; the chmod system call cannot change their permissions. However, this is not a problem since the permissions of symbolic links are never used. However, for each symbolic link listed on the command line, chmod changes the permissions of the pointed-to file. In contrast, chmod ignores symbolic links encountered during recursive directory traversals.

Setuid and setgid bits

chmod clears the set-group-ID bit of a regular file if the file’s group ID does not match the user’s effective group ID or one of the user’s supplementary group IDs, unless the user has appropriate privileges. Additional restrictions may cause the set-user-ID and set-group-ID bits of MODE or RFILE to be ignored. This behavior depends on the policy and functionality of the underlying chmod system call. When in doubt, check the underlying system behavior.

chmod preserves a directory’s set-user-ID and set-group-ID bits unless you explicitly specify otherwise. You can set or clear the bits with symbolic modes like u+s and g-s, and you can set (but not clear) the bits with a numeric mode.

Restricted deletion flag (or «sticky bit»)

The restricted deletion flag or sticky bit is a single bit, whose interpretation depends on the file type. For directories, it prevents unprivileged users from removing or renaming a file in the directory unless they own the file or the directory; this is called the restricted deletion flag for the directory, and is commonly found on world-writable directories like /tmp. For regular files on some older systems, the bit saves the program’s text image on the swap device so it loads quicker when run; this is called the sticky bit.

Viewing permissions in the file listing

A quick and easy way to list a file’s permissions are with the long listing (-l) option of the ls command. For example, to view the permissions of file.txt, you could use the command:

. which displays output that looks like the following:

Here’s what each part of this information means:

The first character represents the file type: «» for a regular file, «d» for a directory, «l» for a symbolic link.
rwx The next three characters represent the permissions for the file’s owner: the owner may read from, write to, ore xecute the file.
rw- The next three characters represent the permissions for members of the file group. Any member of the file’s owning group may read from or write to the file. The final dash is a placeholder; group members do not have permission to execute this file.
r— The permissions for «others» (everyone else). Others may only read this file.
1 The number of hard links to this file.
hope The file’s owner.
hopestaff The group to whom the file belongs.
123 The size of the file in blocks.
Feb 03 15:36 The file’s mtime (date and time when the file was last modified).
file.txt The name of the file.


Set the permissions of file.htm to «owner can read and write; group can read only; others can read only».

Recursively (-R) Change the permissions of the directory myfiles, and all folders and files it contains, to mode 755. User can read, write, and execute; group members and other users can read and execute, but cannot write.

Change the permissions for the owner of example.jpg so that the owner may read and write the file. Do not change the permissions for the group, or for others.

Set the «Set-User-ID» bit of comphope.txt, so that anyone who attempts to access that file does so as if they are the owner of the file.

The opposite of the command above; un-sets the SUID bit.

Читайте также:  Изменение вида шаблона joomla

Set the permissions of file.cgi to «read, write, and execute by owner» and «read and execute by the group and everyone else».

Set the permission of file.txt to «read and write by everyone.».

Accomplishes the same thing as the command above, using symbolic notation.

chown — Change the ownership of files or directories.
getfacl — Display file access control lists.
ls — List the contents of a directory or directories.


Команда Chmod в Linux (Права доступа к файлам)

Chmod Command in Linux (File Permissions)

В этом руководстве рассказывается, как использовать chmod команду для изменения прав доступа к файлам и каталогам.

В Linux доступ к файлам управляется через права доступа, атрибуты и владение файлами. Это обеспечивает доступ к файлам и каталогам только авторизованным пользователям и процессам.

Linux File Permissions

Прежде чем идти дальше, давайте объясним основную модель разрешений Linux.

В Linux каждый файл связан с владельцем и группой и ему назначены права доступа для трех разных классов пользователей:

  • Владелец файла.
  • Участники группы.
  • Другие (все остальные).

Собственности файла можно изменить с помощью chown и chgrp команды.

Существует три типа прав доступа к файлам, которые применяются к каждому классу:

  • Разрешение на чтение.
  • Разрешение на запись.
  • Разрешение на выполнение.

Эта концепция позволяет вам указать, каким пользователям разрешено читать файл, записывать в файл или выполнять файл.

Права доступа к файлам можно просмотреть с помощью ls команды:

Первый символ показывает тип файла. Это может быть обычный файл ( — ), каталог ( d ), символическая ссылка ( l ) или любой другой тип файла.

Следующие девять символов представляют права доступа к файлу, три тройки по три символа в каждом. Первый триплет показывает разрешения владельца, второй — разрешения группы, а последний триплет — разрешения всех остальных. Разрешения могут иметь различное значение в зависимости от типа файла.

В приведенном выше примере ( rw-r—r— ) означает, что владелец файла имеет права на чтение и запись ( rw- ), группа и другие пользователи имеют только права на чтение ( r— ).

Каждая из трех разрешений может состоять из следующих символов и иметь разные эффекты в зависимости от того, заданы они для файла или для каталога:

Влияние разрешений на файлы

разрешение символ Значение в файле
Read Файл не читается. Вы не можете просматривать содержимое файла.
r Файл доступен для чтения.
Write Файл не может быть изменен или изменен.
w Файл может быть изменен или изменен.
Execute Файл не может быть выполнен.
x Файл может быть выполнен.
s Если он найден в user триплете, он устанавливает setuid бит. Если он найден в group триплете, он устанавливает setgid бит. Это также означает, что x флаг установлен.
Когда в исполняемом файле установлены флаги setuid или setgid , файл исполняется с правами владельца и / или группы.
S То же самое, s но x флаг не установлен. Этот флаг редко используется в файлах.
t Если он найден в others триплете, он устанавливает sticky бит.
Это также означает, что x флаг установлен. Этот флаг бесполезен для файлов.
T То же самое, t но x флаг не установлен. Этот флаг бесполезен для файлов.

Влияние разрешений на каталоги (папки)

В Linux каталоги — это специальные типы файлов, которые содержат другие файлы и каталоги.

разрешение символ Значение в каталоге
Read Содержимое каталога не может быть показано.
r Содержимое каталога может быть показано.
(Например, вы можете перечислить файлы внутри каталога с помощью ls .)
Write Содержимое каталога не может быть изменено.
w Содержимое каталога может быть изменено.
(Например, вы можете создавать новые файлы , удалять файлы .. и т. д.)
Execute Каталог не может быть изменен на.
x Каталог может быть перемещен с помощью cd .
s Если он найден в user триплете, он устанавливает setuid бит. Если он найден в group триплете, он устанавливает setgid бит. Это также означает, что x флаг установлен. Когда в setgid каталоге установлен флаг, новые файлы, созданные в нем, наследуют идентификатор группы каталогов (GID) вместо идентификатора основной группы пользователя, создавшего файл.
setuid не влияет на каталоги.
S То же самое, s но x флаг не установлен. Этот флаг бесполезен для каталогов.
t Если он найден в others триплете, он устанавливает sticky бит.
Это также означает, что x флаг установлен. Если для каталога установлен бит закрепления, только владелец файла, владелец каталога или пользователь с правами администратора могут удалять или переименовывать файлы в каталоге.
T То же самое, t но x флаг не установлен. Этот флаг бесполезен для каталогов.

С помощью chmod

Команда chmod принимает следующую общую форму:

Только root, владелец файла или пользователь с привилегиями sudo могут изменять права доступа к файлу. Будьте особенно осторожны при использовании chmod , особенно при рекурсивном изменении разрешений.

Символьный (текстовый) метод

Синтаксис chmod команды при использовании символьного режима имеет следующий формат:

Первый набор флагов ( [ugoa…] ), флаги пользователей, определяет, для каких классов пользователей изменяются права доступа к файлу.

  • u — Владелец файла.
  • g — Пользователи, которые являются членами группы.
  • o — Все остальные пользователи.
  • a — Все пользователи, идентичные ugo .

Если флаг пользователя опущен, то по умолчанию используется флаг, a и разрешения, установленные umask , не затрагиваются.

Второй набор флагов ( [-+=] ), флагов операций, определяет, следует ли удалять, добавлять или устанавливать разрешения:

  • — Удаляет указанные разрешения.
  • + Добавляет указанные разрешения.
  • = Изменяет текущие разрешения на указанные разрешения. Если после = символа не указано никаких разрешений , все разрешения из указанного пользовательского класса будут удалены.

Разрешения ( perms. ) можно явно задать с помощью либо ноль , либо один или несколько из следующих букв: r , w , x , X , s , и t . Используйте одну букву из набора u , g и o при копировании разрешений от одного к другому классу пользователей.

При настройке разрешений для нескольких пользовательских классов ( [,…] ) используйте запятые (без пробелов) для разделения символьных режимов.

Ниже приведены некоторые примеры использования chmod команды в символическом режиме:

Дайте членам группы разрешение на чтение файла, но не на запись и выполнение:

Удалить разрешение на выполнение для всех пользователей:

Отвратительно удалите разрешение на запись для других пользователей:

Удалите права на чтение, запись и выполнение для всех пользователей, кроме владельца файла:

То же самое можно сделать с помощью следующей формы:

Дайте разрешение на чтение, запись и выполнение владельцу файла, разрешения на чтение для группы файла и никаких разрешений для всех остальных пользователей:

Добавьте разрешения владельца файла к разрешениям, которые имеют члены группы файла:

Добавьте липкий бит в данный каталог:

Численный метод

Синтаксис chmod команды при использовании числового метода имеет следующий формат:

При использовании числового режима вы можете установить разрешения для всех трех пользовательских классов (владелец, группа и все остальные) одновременно.

NUMBER Может быть 3 или 4-значное число.

Когда используется 3-значное число, первая цифра представляет права владельца файла, вторая — группу файла, а последняя — всех остальных пользователей.

Каждое разрешение на запись, чтение и выполнение имеет следующее числовое значение:

  • r (читай) = 4
  • w (запись) = 2
  • x (выполнить) = 1
  • нет разрешений = 0

Число разрешений для определенного пользовательского класса представлено суммой значений разрешений для этой группы.

Чтобы узнать права доступа к файлу в числовом режиме, просто рассчитайте итоги для всех классов пользователей. Например, чтобы дать разрешение на чтение, запись и выполнение владельцу файла, разрешения на чтение и выполнение для группы файла и только разрешения на чтение для всех остальных пользователей, вы должны сделать следующее:

  • Владелец: rwx = 4 + 2 + 1 = 7
  • Группа: rx = 4 + 0 + 1 = 5
  • Другие: rx = 4 + 0 + 0 = 4

Используя метод выше, мы подходим к числу 754 , которое представляет желаемые разрешения.

Для того, чтобы настроить setuid , setgid и sticky bit флаги используют четыре цифры номера.

Когда используется 4-значный номер, первая цифра имеет следующее значение:

  • УИП = 4
  • setgid = 2
  • липкий = 1
  • без изменений = 0

Следующие три цифры имеют то же значение, что и при использовании трехзначного числа.

Если первая цифра равна 0, ее можно опустить, а режим можно представить тремя цифрами. Числовой режим 0755 такой же, как 755 .

Для вычисления числового режима вы также можете использовать другой метод (двоичный метод), но он немного сложнее. Знание того, как рассчитать числовой режим с использованием 4, 2 и 1, достаточно для большинства пользователей.

Вы можете проверить права доступа к файлу в числовой записи, используя stat команду:

Вот несколько примеров использования chmod команды в числовом режиме:

Дайте владельцу файла права на чтение и запись, а также права на чтение только для членов группы и всех остальных пользователей:

Дайте владельцу файла права на чтение, запись и выполнение, права на чтение и выполнение для членов группы и никаких разрешений для всех остальных пользователей:

Дайте разрешения на чтение, запись и выполнение, а также прикрепите бит к указанному каталогу:

Рекурсивно установите разрешения на чтение, запись и выполнение для владельца файла и никаких разрешений для всех других пользователей в данном каталоге:

Использование справочного файла

—reference=ref_file Опция позволяет установить права доступа к файлу , чтобы быть таким же , как и у указанного эталонного файла ( ref_file ).

Например, следующая команда назначит права file1 на file2

Рекурсивно изменить права доступа к файлу

Чтобы рекурсивно работать со всеми файлами и каталогами в данном каталоге, используйте параметр -R ( —recursive ):

Например, чтобы изменить права доступа ко всем файлам и подкаталогам в /var/www каталоге, 755 вы должны использовать:

Работа с символическими ссылками

Символьные ссылки всегда имеют 777 разрешения.

По умолчанию при изменении разрешений символической ссылки chmod изменяются разрешения для файла, на который указывает ссылка.

Скорее всего, вместо изменения целевого владельца вы получите сообщение об ошибке «невозможно получить доступ к символической ссылке: отказано в доступе».

Ошибка возникает из-за того, что по умолчанию в большинстве дистрибутивов Linux символические ссылки защищены, и вы не можете работать с целевыми файлами. Эта опция указана в /proc/sys/fs/protected_symlinks . 1 значит включен и 0 отключен. Рекомендуется не отключать защиту символической ссылки.

Изменение прав доступа к файлам навалом

Иногда возникают ситуации, когда вам нужно массово изменить разрешения для файлов и каталогов.

Наиболее распространенным сценарием является рекурсивное изменение разрешений для файла веб-сайта и разрешений для 644 каталога 755 .

Используя числовой метод:

Используя символический метод:

Команда выполнит find поиск файлов и каталогов в папке /var/www/my_website и передаст каждый найденный файл и каталог chmod команде для установки разрешений.


Команда chmod изменяет права доступа к файлу. Разрешения могут быть установлены с использованием символьного или числового режима.


Поделиться с друзьями