Управление ACL (setfacl, getfacl) в Linux
Изменение и просмотр настроек ACL с помощью setfacl и getfacl
setfaclgetfaclls -lgetfaclls -ldgetfacl
getfacl setfacl -m g:sales:rx /dir-mg:sales:rxrxg
setfacl -m u:linda:rwx /datasetfacl -R
Пример управления расширенными правами с использованием ACL
- Откройте терминал.
- Выполните setfacl -m g:account:rx /data/sales и setfacl -m g:sales:rx /data/account.
- Выполните getfacl, чтобы убедиться, что права доступа были установлены так, как вы хотели.
- Выполните setfacl -m d:g:account:rwx,g:sales:rx /data/sales, чтобы установить ACL по умолчанию для каталога sales.
- Добавьте ACL по умолчанию для каталога /data/account, используя setfacl -m d:g:sales:rwx,g:account:rx /data/account.
- Убедитесь, что настройки ACL действуют, добавив новый файл в /data/sales. Выполните touch /data/sales/newfile и выполните getfacl /data/sales/newfile для проверки текущих разрешений.
Дополнительные параметры команды, перечень основных
Ранее уже упоминалось, что операционная система Linux оснащена большим количеством встроенных инструментов, которые имеют дополнительные параметры. Операция «chmod» оснащена следующими параметрами:
- -c, —changes – предназначен для выдачи подробного вывода лишь в том случае, если изменение было действительно осуществлено.
- -f, —silent, —quiet — бесшумный режим, предназначенный для подавления большинства сообщений о системных ошибках.
- -v, —verbose – носит название «подробный режим», предназначен для выведения на экран диагностического уведомления для каждой обработанной директории.
- —version – используется для выведения на экран информации о версии, затем по истечении небольшого промежутка времени окно исчезает самостоятельно.
- —no-preserve-root – не затрагивать (обрабатывать) корневой каталог, в котором заданы параметры по умолчанию.
- —help – отобразить на экране электронный справочник, после чего в случае отсутствия активности он закроется самостоятельно.
- —preserve-root – запрет на то, чтобы работать рекурсивно в корневом каталоге.
- -R, —recursive – рекурсивная замена каталогов и файлов на компьютере с операционной системой Линукс.
- —reference=RFILE – присвоить директории RFILE соответствующие разрешения, в независимости от используемого режима.
Команда chmod и примеры ее использования
Связанные команды
chown – Изменить владельца файлов или каталогов.getfacl – Показать списки контроля доступа к файлам.ls – список содержимого каталога или каталогов.
Инструкции <хедер class=”author-хедер”>
Запись прав доступа числом
Пример:
chmod 764 myfile
В данном формате права доступа задаются не символами rwx, как описано выше, а трехзначным числом. Каждая цифра числа означает определенный набор прав доступа.
- Первая цифра используется для указания прав доступа для пользователя.
- Вторая цифра для группы.
- Третья для всех остальных.
В таблице ниже приводятся все возможные комбинации разрешений rwx и соответсвующие им числа (которые используются в команде chmod):
разрешения отсутствуют | — | |
1 | x — запуск | –x |
2 | w — изменение | -w- |
3 | x+w — запуск+изменение | -wx |
4 | r — чтение | r– |
5 | r+x — чтение+запуск | r-x |
6 | r+w — чтение+изменение | rw- |
7 | r+w+x — чтение+изменение+запуск | rwx |
Рассмотрим использование команды chmod с записью прав доступа числом на примере. Установим для файла права доступа 764:
chmod 764 myfile
Это означает (см. таблицу выше), что для файла myfile мы устанавливаем права доступа 764, которые означают:
- 7 — права для владельца-пользователя. Владелец файла может читать, изменять и запускать файл (r+w+x).
- 6 — права для группы. Пользователи, которые принадлежат группе могут читать и изменять файл (r+w).
- 4 — права для всех остальных. Все остальные могут только читать файл (r).
Если записать 764 с помощью символов (см. таблицу), то мы получим: «rwxrw-r-».
В таблице ниже приведены некоторые часто используемые значения числовых значений прав доступа:
400 | -r——– | Владелец файла может только читать файл. Для всех остальных все действия с файлом запрещены. |
644 | -rw-r–r– | Все пользователи могут читать файл. Владелец может изменять файл. |
660 | -rw-rw—- | Владелец и группа могут читать и изменять файл. Для всех остальных все действия с файлом запрещены. |
664 | -rw-rw-r– | Все могут читать файл. Владелец и группа могут изменять. |
666 | -rw-rw-rw- | Все могут читать и изменять файл. |
700 | -rwx—— | Владелец может читать, изменять и запускать файл. Для всех остальных все действия с файлом запрещены. |
744 | -rwxr–r– | Все могут читать файл. Владелец может также изменять и запускать файл. |
755 | -rwxr-xr-x | Все могут читать и запускать файл. Владелец может также изменять файл. |
777 | -rwxrwxrwx | Все пользователи могут читать, изменять и редактировать файл. |
Запись прав доступа символами
Примеры:
chmod +x myfile1
chmod g=rw myfile2
chmod u-w myfile3
Как вы можете видеть, в данном формате права доступа задаются символами rwx, но в синтаксисе используются и другие вспомогательные символы, например, математические операции «+» и «-» и такие символы как, например, «g» или «u».
Общий синтаксис можно записать примерно так:
chmod (владелец)(математическая операция)(разрешения) имя_файла
Обозначения для владельцев файла следующие:
u | Владелец-пользователь. |
g | Группа. |
o | Все остальные. |
a | Вообще все. |
Математические операции означают следующее:
+ | Добавляет к текущим правам доступа новое разрешение. |
– | Удаляет из текущих прав доступа определенное разрешение. |
= | Устанавливает полностью новые разрешения (предыдущие перезаписываются новыми). |
В одной команде можно перечислять владельцев и их разрешения через запятую (см. пример ниже).
Рассмотрим примеры:
- chmod +x myfile1
В данном случае мы не используем обозначения для владельцев, а значит разрешения устанавливаются для всех пользователей. «+x» означает — установить разрешение на запуск (x) файла для всех пользователей. Это эквивалентно выполнению команды: chmod a+x myfile1.
- chmod g=rw myfile2
Здесь используется обозначение g и символ равенства «=». Это означает, что для группы мы устанавливаем права доступа на чтение и запись файла (rw).
- chmod u-w myfile3
Для владельца файла (u) мы удаляем разрешение на изменение (w) файла.
- chmod ug+x myfile2
Разрешаем владельцу (u) и группе (g) запускать файл (x).
- chmod u+x,g-w,o-r myfile3
Это как раз тот случай, когда мы перечисляем владельцев через запятую и устанавливаем для них разрешения. Для владельца файла (u) мы разрешаем запуск файла, для группы (g) мы запрещаем изменять файл, для всех остальных (o) мы запрещаем читать файл.
Рекурсивное изменение прав доступа
Если необходимо изменить права доступа на все файлы в директории, включая вложенные директории, то для этого существует опция -R, что означает рекурсивное изменение прав доступа для директорий и их содержимого. Например, изменим права доступа у всех файлов в директории Mydir:
chmod -R 644 Mydir
И еще один момент. Если пользователь не является владельцем файла, но ему нужно изменить права доступа у данного файла, то команду chmod необходимо выполнять с использованием sudo, например:
sudo chmod 644 file
Примеры команд Chmod в Linux
Использование команды chmod очень просто, если вы знаете, какие права доступа вы должны установить для файла.
Например, если вы хотите, чтобы владелец имел все разрешения и не имел разрешений для группы и публики, вам нужно установить разрешение 700 в абсолютном режиме:
Вы можете сделать то же самое в символическом режиме.
Если вам нужен простой способ узнать разрешение файла Linux в числовом или символьном режиме, вы можете использовать этот калькулятор chmod. Просто выберите соответствующие разрешения, и они сообщат вам разрешения как в абсолютном, так и в символическом режиме.
chmod 777: все для всех
Возможно, вы слышали о chmod 777. Эта команда предоставит права на чтение, запись и выполнение владельцу, группе и общедоступным.
Если вы хотите изменить режим на 777, вы можете использовать следующую команду:
chmod 777 считается потенциально опасным, поскольку вы даете разрешение на чтение, запись и выполнение файла/каталога всем (кто находится в вашей системе). Вы должны полностью избежать этого.
chmod + x или chmod a + x: выполнение для всех
Вероятно, один из наиболее часто используемых случаев chmod — дать файлу бит выполнения. Часто после загрузки исполняемого файла вам необходимо добавить это разрешение перед его использованием. Чтобы дать владельцу, группе и всем остальным разрешение на выполнение файла:
chmod +x /path/to/file
CHMOD 755: только владелец может писать, читать и выполнять для всех
Эта следующая команда установит следующее разрешение для файла: rwxr-xr-x. Только владельцу будет разрешено писать в файл. Владелец, члены группы и все остальные будут иметь разрешение на чтение и выполнение.
chmod 755 /path/to/file
chmod 700: все только для владельца
Эта команда предоставит владельцу права на чтение, запись и выполнение. Группа и другие не будут иметь никаких разрешений, даже читать.
Чтобы дать владельцу, группе и всем остальным права на чтение и запись в файл.
chmod -c 666 /path/to/file
CHMOD 644: каждый может читать, только владелец может писать
С этим следующим, владелец будет иметь право на чтение и запись, в то время как группа и все остальные имеют разрешение на чтение.
chmod 644 /path/to/file
CHMOD 600: владелец может читать и писать, больше ни для кого
С этим следующим, владелец будет читать и писать, в то время как группа и все остальные не будут иметь никаких разрешений вообще.
chmod 600 /path/to/file
Примеры команд chmod в символическом режиме
В приведенных выше примерах мы использем битовую маску для установки нового РЕЖИМА. Это легко рассчитать. Требуется простое дополнение. Учтите следующее:
- X = 1
- W = 2
- R = 4
Теперь вы можете легко увидеть, откуда у нас 755, 666, 640 . Вам не нужно использовать битовую маску для установки нового разрешения. Доступен более читабельный способ. Этот второй формат выглядит так:
chmod OPTIONS {u,g,o}{+,-,=}{r,w,x} /path/to/file
Хотя это может показаться сложным, это довольно просто. Сначала вы набираете chmod и нужные вам ОПЦИИ. Затем спросите себя: для кого я меняю права доступа? Пользователь, Группа, Другие. Это даст вам первый раздел команды:
chmod OPTIONS {u,g,o}
На следующем шаге для завершения команды вы решаете добавить биты прав доступа (+), удалить права доступа (-) или установить разрешение (=). Последнее добавит или удалит разрешения по мере необходимости, чтобы установить разрешение по вашему запросу.
chmod -v u+
В следующем разделе вы решаете РЕЖИМ разрешения применить (+), удалить (-) или сопоставить (=). Вы можете указать любую комбинацию RWX.
chmod -v u+rw
В следующем примере будет применено разрешение на чтение/запись для файла для владельца. Подробная опция заставит chmod сообщать о действии.
chmod -v u+rw /path/to/file
Следующим будет установлено разрешение на запись группы в каталог и все его содержимое рекурсивно. Он будет сообщать только об изменениях.
chmod -cR g+w /path/to/directory
Вы можете объединить несколько операций, которые будут выполнены с разрешения, как в следующем примере. Он убедится, что владелец имеет права на чтение/запись/выполнение, а также добавит разрешение на запись для группы и удалит выполнение для всех остальных:
chmod u=rwx,g+w,o-x /path/to/file
Этот последний будет использовать rFile в качестве ссылки для установки разрешения на файл . После завершения разрешение файла будет точно таким же, как и для rFile.
chmod --reference=/path/to/rFile /path/to/file
Есть больше опций и режимов, которые можно использовать с chmod, которые не описаны или не упомянуты здесь. Мы хотели сохранить это в общих чертах и, надеюсь, помочь нескольким новым пользователям Linux.
Базовые понятия прав доступа к файлам и папкам
Если же все пустить это дело на самотек и не заморачиваться с установкой нужных привилегий, то вероятность взлома вашего ресурса или заражения его вредоносным кодом будет очень велика. Хорошо, если вы осуществляли всех ваших данных, а если нет?!
Поэтому лучше сразу же, не откладывая в долгий ящик, произвести настройку и изменение Чмод для всех важных объектов вашего движка, исходя из принципа минимализма. Т.е. давать объектам минимально необходимые для корректной работы вебсайта права
.
Давайте сначала разберемся в сути вопроса, чтобы понимать, что именно и каким образом мы настраиваем. Итак, приступим. Права доступа разделяются по отношению к файлам и к директориям. Обозначаются они одинаково, но означают немного разное.
В свою очередь, по отношению к файлам возможно:
- r — право на чтение данных.
- w — на изменение содержимого (запись – только изменение содержимого, но не удаление).
- x — на исполнение файла.
Остановимся чуть подробнее на возможности исполнения файла. Дело в том, что в linux любой файлик может быть исполнен. Является ли он исполнительным — определяется не по его расширению (понятие расширение отсутствует в файловой системе Unix), а по правам доступа Chmod. Если у какого-либо файлика установлено право на исполнение “X”, то это означает, что его можно запустить на выполнение.
По отношению к директориям возможно:
- r — право на чтение директории (можно прочитать содержимое директории, т.е. получить список объектов, находящихся в ней)
- w — на изменение содержимого директории (можно создавать и удалять объекты в ней, причем, если вы имеете право на запись, то удалять вы сможете даже те файлы, которые вам не принадлежат)
- x — на вход в директорию (оно всегда проверяется в первую очередь, и даже если вы имеете все нужные привилегии на объект, который закопан глубоко в цепочке каталогов, но не имеете атрибут “X” для доступа хотя бы к одной директории на пути к этому файлике, то к нему вы так и не пробьетесь)
Привилегии для групп пользователей
Сами привилегии подразделяются на три категории в зависимости от того, кто обращается к объекту:
- «user» — u (непосредственно владелец файлика)
- «group» — g (член той же группы, к которой принадлежит владелец)
- «world» — o (все остальные)
Сервер определяет, к какой группе пользователей вас отнести в момент подключения вас к серверу. Когда вы, например, подключаетесь к серверу по протоколу FTP, то вы входите под своим именем пользователя (и паролем), и тогда сервер относит вас к группе «user» («u)».
Прочие пользователи, которые тоже подключаются по FTP к серверу, будут отнесены к группе «group» («g»), а посетитель, который приходит к вам на вебсайт, используя свой браузер, попадает в группу «world» («o»).
Вариации трех возможных значений «r», «w» и «x» для трех категорий «u», «g» и «o» и определяют Chmod к файлам
. Если не задана какая-то категория, то она заменяется знаком дефисом «-». Привилегии указываются последовательно в заданном порядке:
- сначала права для владельца — «u»
- затем для группы — «g»
- и в конце — для всех остальных — «o»
После того, как сервер отнесет посетителя к определенной группе, он предоставляет ему права на действия с объектами, после чего посетитель сможет прочитать, записать или выполнить файл (в зависимости от того, что разрешено делать с данным объектом его группе).
Чтобы посмотреть содержимое каталога, он должен иметь атрибут чтения «r» (для той группы, к которой сервер отнес посетителя). Чтобы создать файлик или папку в уже существующей необходимо, чтобы этот существующий каталог имел атрибут на запись «w».
Для наглядности давайте разберем пример, где владелец файла («user» — «u») имеет все права: на чтение, запись в него и исполнение, а все остальные пользователи только привилегию на чтение. Запись таких Chmod будет выглядеть так: «rwx r— r—».
Рассмотрим ее в деталях: «rwx» (эта запись задает права на объект для владельца — «u»), «r—» (эта запись задает права на тот же объект, но в случае, если посетитель отнесен сервером к группе — «g»), «r—» (эта запись задает привилегии на объект для всех остальных пользователей — «o»).
Чем отличаются права файлов и папок
Получается, что существует три группы пользователей и три возможных действия с объектами. Еще не запутались? Разложим все сказанное выше по полочкам в виде табличек. Сначала наглядно посмотрим, чем они отличаются:
А так же табличка, показывающая разнообразные комбинации Chmod для разных типов объектов:
Ничего нельзя делать |
Доступ к каталогу и его подкаталогам запрещен |
|
Можно видеть и изменять содержимое |
Можно добавить, удалить, изменить файл каталога |
|
Выполнить, если файлик двоичный |
Пользователь может выполнить двоичный файл о существовании которого ему известно, зайти или прочитать каталог запрещено |
Общая информация о правах доступа
Всего предусмотрено три варианта прав:
- чтение, обозначаемое буквой ,
- запись, используется (w),
- запуск файла (x).
Но это касается только файлов. Если речь идет о каталогах, то под правом доступа подразумевается, что пользователь сможет его открыть и просмотреть содержимое.
Администратор сервера может разделять пользователей по группам и давать каждой из них (либо же индивидуально каждому по имени) отдельные права доступа. При этом нужно понимать, что root админа не касаются эти права, он имеет неограниченный доступ на просмотр и изменение файлов.
Узнать Linux права пользователя на папку очень просто. Для этого используется команда:
ls -l имя каталога
Наглядно её использование можно увидеть на следующем примере:
ls -l certs.xml
После введения такой команды вы получите в ответ:
-r-r-- 1 denis 2115693 Jun 11 12:11 certs.xml
Расшифровывается написанное так:
- — (1 символ) — символьное обозначение файла, если каталог, то буква d;
- r-(максимально 3 символа) — отображают непосредственно права доступа, то есть — чтение, запись и запуск на выполнение, в данном примере пользователь может лишь читать файл, внесение изменений и запуск запрещены;
- r- (максимум 3 символа) — аналогично предыдущему, но показывают права уже группы владельцев, куда входит данный пользователь, соответственно, они могут читать файл, но не могут его отправлять на выполнение или изменять;
- — (еще 3 символа) — показывают права доступа для других пользователей, то есть данный файл никто кроме администратора не сможет даже прочитать, при попытке зайти в него будет выведено на экран сообщение Access denied.
В операционной системе Linux права пользователя на папку можно задать при помощи команды chmod. Это можно сделать одним из двух способов — символьным или абсолютным. В первом случае задаются символы, которые обозначают для пользователя возможности работы с файлами — r, w, x (чтение, редактирование и запись). Но в UNIX намного практичнее использовать абсолютный метод. В чем он заключается можно детально разобраться на примере:
rw-r--
Этот набор символов означает, что пользователь может лишь читать и изменять файл (r и w). При этом члены его группы могут лишь открывать его для просмотра, а посторонние и вовсе не имеют к данным доступа.
Теперь давайте возьмем лишь права только владельца файла: rw-. Ему разрешено чтение, держим в памяти 1, а также редактирование, запоминаем ещё 1. Поскольку запуск запрещен, то добавляем 0 и получаем в итоге цифру 110. Если её перевести из двоичной системы в восьмеричную, то выйдет 6. Для перевода других чисел вы всегда сможете воспользоваться приведенной ниже таблицей.
Таблица 1. Преобразование из двоичной в восьмеричную систему
Двоичная система | Восьмеричная система | Двоичная система | Восьмеричная система |
000 | 100 | 4 | |
001 | 1 | 101 | 5 |
010 | 2 | 110 | 6 |
011 | 3 | 111 | 7 |
Если по подобию разобрать на числа права группы владельца, то выйдет 100. При его переводе в восьмеричную систему останется 4. У посторонних набор и вовсе прост — 000. При переводе останется просто 0. Итак, общие права доступа для данного файла — 640 и чтобы их установить, требуется лишь внести команду следующего формата:
chmod 640 имя_файла
Чаще всего в практике применяются следующие варианты чисел для команды:
- 644 — владелец читает и редактирует файл, в то время как другие лишь могут просмотреть содержимое;
- 666 — доступ для чтения и перезаписи для всех;
- 777 — полный допуск, включая запуск для выполнения, имеющийся у любого пользователя.
Если облака для вас
не просто теория
Широкий спектр услуг
по выделенным северам
и мультиклауд-решениям
Конфигурация VPS и бесплатный тест уже через 2 минуты
Сконфигурировать VPS
Организация вашей IT-инфраструктуры на основе мультиклауд-решения
Запросить КП
Символьный метод оптимальнее только в одном случае, если необходимо быстро сделать файл скрипта (script) исполнимым. Например, для этого потребуется лишь прописать команду:
chmod +x script
А если нужно запретить выполнение, то просто укажите -х, это будет выглядеть так:
chmod -x script
Получить все необходимые детали относительно применения символьного метода можно, вызвав инструкцию с помощью команды
man chmod.
Практические задания
Задание 1
Файл hello.txt доступен вам только для чтения. Не изменяя прав доступа к файлу, допишите в него строку world. Попробуйте сделать это несколькими способами.
$ sudo echo "hello" >>log.txt
Задание 2
Вам даётся bash-скрипт script.sh.
- Выведите права доступа к этому файлу.
- Можете ли вы запустить скрипт на выполнение? Проверьте.
- Может ли root запустить скрипт на выполнение? Проверьте.
- Снимите x-бит для пользователя. Сможет ли root теперь запустить скрипт на выполнение? Проверьте.
- Используя числовое кодирование, выставьте файлу права a) owner: read, write, execute, b) group: read, execute, c) other: execute.
- Используя числовое кодирование, выставьте файлу права a) owner: write, execute, b) group: execute, c) other: none. Можете ли вы запустить скрипт теперь? А root может? Можно ли открыть файл в vim?
- Используя символьное кодирование, выставьте файлу права a) owner: read, execute, b) group: read, c) other: none. Попробуйте поредактировать файл в текстовом редакторе и сохранить.
Задание 3
Вам даётся файл subdir/edc715389af2498a.txt. Сделайте так, чтобы к нему можно было получить доступ, только зная полный путь, а в листинге каталога subdir никакие имена файлов бы не показывались.
Задание 4
Задано дерево каталогов ./games/.
$ tree games games ├── cars │ ├── f1 │ │ └── readme.txt │ ├── rally │ └── readme.txt ├── readme.md ├── sim │ ├── city │ │ ├── key.txt │ │ └── readme.txt │ ├── company │ │ └── crack.txt │ ├── readme.txt │ └── train │ └── license.txt └── war ├── doom │ └── readme.txt ├── quake │ └── readme.txt └── readme.txt 10 directories, 11 files
- Выведите владельцев и права доступа для всех каталогов и файлов.
- Рекурсивно передайте владение пользователю sobols и группе sobols.
- Рекурсивно снимите со всех файлов бит исполнимости.
Chmod, выраженные в цифрах (777, 400, 666, 755, 444)
Вы видите, что здесь для описания прав доступа применяются записи с использованием латинских букв и дефисов, но вы, наверное, уже сталкивались с тем, что обычно Chmod задают в цифровом виде
, например, всем известная комбинации: 777, разрешающая все и всем.
Действительно, привилегии так же обозначают и цифрами:
- r (читать) заменяют на 4
- w (запись) заменяют на 2
- x (исполнение) заменяют на 1
- 0 означает – ничего не делать (то, что в буквенной записи обозначается дефисом)
Давайте опять вернемся к примеру записи, приведенному мною чуть ранее: rwx r— r— . Если заменить в ней буквы и дефисы на цифры, в соответствии с только что описанным правилом и при этом сложить цифры в каждой тройке, то получим цифровой вид этой записи: 744 .
Т.е. получается, что сумма этих цифр и показывает Чмод по отношению к файлам или папке. Например:
- 7 (rwx) = 4 + 2 +1 (полные права)
- 5 (r-x)= 4 + 0 + 1 (чтение и выполнение)
- 6 (rw-) = 4 + 2 + 0 (чтение и запись)
- 4 (r—) =4 + 0 + 0 (только чтение)
- и т.д.
В этой таблицы приведены все возможные комбинации привилегий записанные в цифровом виде:
А теперь давайте рассмотрим различные комбинации записи в цифрах, применительно к группам пользователей:
«Владелец» |
«Группа» |
«Остальные» |
|
исполнять |
|||
исполнять |
исполнять |
||
Вы сами (кроме того случая, когда получаете доступ к сайту по FTP) и все остальные посетители вашего ресурса, относитесь к группе “word” (все остальные), поэтому для работы с вебсайтом нам нужно в первую очередь смотреть на последнюю (третью) цифру данной записи.
Для того, чтобы при работе пользователя с сайтом «запускался файл» скрипта, достаточно будет, чтобы на него были установлены права, начиная от «4» (r— – только чтение) (5,6,7 тоже подойдут, но это будет лишнее в плане безопасности).
Для каталога же, в котором лежит файлик этого скрипта, нужно выставить минимум «5» (r-x — можно зайти в каталог и прочитать его содержимое, удалять или добавлять нельзя). 7 тоже подойдет, но тоже будет уже лишним в плане безопасности.
Если нужно, чтобы скрипт не только читался, но и «записывал» какие-то данные (например, введенные посетителем), то минимальные права на «папку» по-прежнему будут «5», но для «файлика» уже понадобится «6» (читать и записывать).
Скорей всего на сервере, куда вы скопировали содержимое движка вашего сайта, будут установлены следующие Chmod к объектам:
Если бы у вас был ресурс, состоящий из одних html страниц, то можно было бы все так и оставить. Но современные сайты построены на движках, и там могут быть объекты, в которые нужно производить запись от имени посетителей из группы «world» — o (все остальные). Это могут быть каталоги, используемые для кэширования страниц или те, в которые по ходу работы с сайтом будут загружаться картинки и др.
Само собой, что если вы зайдете на сайт по FTP, то сможете произвести запись в эти файлики или директории, но работая с вебинтерфейсом как обычный пользователь у вас могут возникнуть проблемы. Поэтому к установке тех или иных прав надо подходить избирательно:
для всех директорий, в которых должны записываться файлики, но не надо регулярно их стирать
для папок, в которые должны записываться и стираться файлы (например, для кеша)
для простых файлов, используемых только для чтения (.html, .php и др.)
для файлов, в которые может понадобится осуществлять запись (например, с базами данных.dat)