วิธีจัดการ Permission ใน Linux (chmod/chown) สำหรับผู้ดูแลระบบและผู้เริ่มต้น

---

การเข้าใจระบบสิทธิ์การเข้าถึงหรือ Permission Linux ถือเป็นพื้นฐานสำคัญของการดูแลระบบเซิร์ฟเวอร์ โดยเฉพาะผู้ที่ทำงานกับโฮสติ้ง, VPS หรือ Cloud Server เช่นทีมงานด้านโครงสร้างพื้นฐานอย่าง ShopNet Design การใช้ คำสั่ง Linux พื้นฐาน อย่าง chmod และ chown อย่างถูกต้อง จะช่วยให้ระบบปลอดภัย ลดความเสี่ยงไฟล์รั่วไหล หรือเว็บไซต์โดนแฮ็กได้อย่างมาก

บทความนี้จัดทำขึ้นในรูปแบบคลังความรู้ (Knowledge Hub) เพื่ออธิบายวิธีจัดการ Permission ใน Linux แบบลงลึก แต่เล่าให้ง่าย สามารถนำไปใช้จริงได้ทันทีทั้งบนเซิร์ฟเวอร์ส่วนตัวและระบบโฮสติ้งทั่วไป

ประเด็นสำคัญ: หากเข้าใจโครงสร้าง Permission, เจ้าของไฟล์ (owner), กลุ่ม (group) และการใช้คำสั่ง chmod, chown อย่างถูกต้อง จะช่วยลดช่องโหว่ด้านความปลอดภัยของระบบ Linux ได้อย่างมีนัยสำคัญ

---

ภาพรวมของ Permission Linux และบทบาทต่อความปลอดภัย

ในระบบปฏิบัติการ Linux ทุกไฟล์และโฟลเดอร์จะมีสิทธิ์การเข้าถึงกำกับอยู่เสมอ สิทธิ์เหล่านี้กำหนดว่าใครทำอะไรกับไฟล์นั้นได้บ้าง เช่น อ่านได้หรือไม่ เขียนได้หรือไม่ หรือรันเป็นโปรแกรมได้หรือไม่ การตั้งค่าที่เหมาะสมจึงเป็นหัวใจของการป้องกันปัญหาด้านความปลอดภัย เช่น

• ไฟล์ Config สำคัญของระบบถูกอ่านโดยผู้ใช้ที่ไม่เกี่ยวข้อง
• โฟลเดอร์เว็บเปิดสิทธิ์มากเกินไปจนแฮ็กเกอร์อัปโหลดไฟล์อันตรายได้
• ผู้ใช้คนหนึ่งสามารถแก้ไขไฟล์ของอีกคนได้โดยไม่ตั้งใจ

การเข้าใจ Permission จึงไม่ได้มีประโยชน์เฉพาะผู้เชี่ยวชาญด้าน Security เท่านั้น แต่เป็นพื้นฐานที่ผู้ดูแลเว็บ, DevOps, และผู้ใช้ Linux ทั่วไปควรรู้

---

โครงสร้าง Permission Linux: อ่านค่าอย่างไรให้เข้าใจ

---

ส่วนประกอบของ Permission ในมุมมองของคำสั่ง ls -l

เมื่อใช้คำสั่ง ls -l บน Linux คุณจะเห็นข้อมูลคล้ายตัวอย่างนี้:

-rw-r--r--  1 user  www-data  2048 Feb 10 12:00 index.php

ข้อมูลชุดนี้สามารถแบ่งความหมายได้ดังนี้

• -rw-r–r– = ค่า Permission
• user = เจ้าของไฟล์ (owner)
• www-data = กลุ่ม (group)
• 2048 = ขนาดไฟล์ (ไบต์)
• index.php = ชื่อไฟล์

แยกส่วนของ Permission: owner, group, others

ส่วนของ Permission -rw-r--r-- แบ่งได้เป็น 4 กลุ่มหลัก

• ตัวแรก: ประเภทไฟล์
  • - = ไฟล์ปกติ
  • d = ไดเรกทอรี (directory)
  • l = symbolic link
• 3 ตัวต่อมา: สิทธิ์ของเจ้าของไฟล์ (owner)
• 3 ตัวถัดไป: สิทธิ์ของกลุ่ม (group)
• 3 ตัวสุดท้าย: สิทธิ์ของผู้ใช้อื่นทั้งหมด (others)

โครงสร้างโดยรวมจึงเป็น:

[ประเภทไฟล์][owner][group][others]
-rw-        r--    r--

ประเภทสิทธิ์: r, w, x หมายถึงอะไร

• r (read) = อ่านไฟล์ได้ หรือ list ไฟล์ในโฟลเดอร์ได้
• w (write) = เขียน/แก้ไข/ลบไฟล์ หรือสร้าง/ลบไฟล์ในโฟลเดอร์ได้
• x (execute) = รันไฟล์เป็นโปรแกรมได้ หรือเข้า (cd) เข้าไปในโฟลเดอร์ได้

เช่น

• rw- = อ่านและเขียนได้ แต่รันไม่ได้
• r-x = อ่านและรันได้ แต่เขียนไม่ได้
• r-- = อ่านได้อย่างเดียว

แนวคิดสำคัญ: สิทธิ์เดียวกัน (เช่น r, w, x) แต่เมื่อใช้กับไฟล์และโฟลเดอร์จะให้ผลต่างกัน เช่น x สำหรับไฟล์คือ permission ในการรัน แต่ x สำหรับโฟลเดอร์คือ permission ในการเข้าใช้งานไดเรกทอรีนั้น

---

Permission แบบตัวเลข (Numeric Mode) และการแปลงค่า

---

แปลง r, w, x เป็นตัวเลขอย่างไร

ในการใช้ คำสั่ง Linux พื้นฐาน อย่าง chmod เรามักจะเห็นค่าตัวเลข 3 หลัก เช่น 644, 755 โครงสร้างจะเป็น

[owner][group][others]

แต่ละหลักคำนวณจากค่า

• r = 4
• w = 2
• x = 1

ตัวอย่าง:

• rw- = 4 + 2 = 6
• r-x = 4 + 1 = 5
• rwx = 4 + 2 + 1 = 7

ตัวอย่างค่า Permission ที่พบบ่อย

• 644 = rw-r--r--
  • owner: อ่าน/เขียนได้
  • group: อ่านอย่างเดียว
  • others: อ่านอย่างเดียว
  • เหมาะกับไฟล์ทั่วไป เช่นไฟล์ HTML, PHP, config ที่เจ้าของต้องแก้ไขได้แต่คนอื่นอ่านอย่างเดียว
• 600 = rw-------
  • owner: อ่าน/เขียนได้
  • group/others: ไม่มีสิทธิ์ใดๆ
  • นิยมใช้กับไฟล์สำคัญ เช่น private key (SSH key)
• 755 = rwxr-xr-x
  • owner: อ่าน/เขียน/รันได้
  • group/others: อ่านและรันได้
  • เหมาะกับโฟลเดอร์ของเว็บ และไฟล์ script ที่ต้องรันได้
• 700 = rwx------
  • owner: มีสิทธิ์เต็ม
  • group/others: ไม่มีสิทธิ์
  • เหมาะกับโฟลเดอร์ส่วนตัวหรือ script ส่วนตัวของ root

คำเตือนสำคัญ: การตั้งค่า 777 (rwxrwxrwx) ให้ทุกคนมีสิทธิ์เต็ม อาจแก้ปัญหาชั่วคราว แต่เปิดช่องโหว่ด้านความปลอดภัยอย่างรุนแรง ควรหลีกเลี่ยงในระบบจริง

---

คำสั่ง Linux พื้นฐาน: การใช้ chmod ปรับ Permission

---

รูปแบบคำสั่ง chmod แบบ Numeric

รูปแบบทั่วไป:

chmod [ค่า permission] [ไฟล์หรือโฟลเดอร์]

ตัวอย่างการใช้งาน:

• กำหนดสิทธิ์ไฟล์ให้เป็น 644

  chmod 644 index.php

• กำหนดสิทธิ์โฟลเดอร์

  chmod 755 /var/www/html

• กำหนดสิทธิ์แบบ recursive (ทุกไฟล์และโฟลเดอร์ย่อย)

  chmod -R 755 /var/www/html

chmod แบบสัญลักษณ์ (Symbolic Mode)

นอกจากตัวเลขแล้ว chmod ยังรองรับรูปแบบเชิงสัญลักษณ์ที่อ่านง่าย เหมาะเมื่อจะเพิ่ม/ลดสิทธิ์บางอย่างโดยไม่ต้องคำนวณตัวเลขใหม่

• ตัวระบุผู้ใช้
  • u = owner (user)
  • g = group
  • o = others
  • a = all (u+g+o)
• เครื่องหมาย
  • + = เพิ่มสิทธิ์
  • - = ลบสิทธิ์
  • = = กำหนดใหม่ทับทั้งหมด

ตัวอย่าง:

• เพิ่มสิทธิ์รันให้ owner:

  chmod u+x script.sh

• ลบสิทธิ์เขียนของ group:

  chmod g-w config.php

• ตั้งให้ทุกคนอ่านได้ แต่เขียนไม่ได้:

  chmod a=r file.txt

การใช้โหมดสัญลักษณ์ช่วยลดโอกาสตั้งค่าผิด เมื่อคุณต้องแก้ไขเฉพาะบางสิทธิ์ โดยไม่ลบสิทธิ์อื่นที่มีอยู่เดิม

---

คำสั่ง chown และ chgrp: จัดการเจ้าของและกลุ่ม

---

ทำความเข้าใจกับ owner และ group ใน Linux

ทุกไฟล์ใน Linux จะมีทั้งเจ้าของ (user) และกลุ่ม (group) กำกับอยู่ การตั้งค่า Permission จะผูกกับสองสิ่งนี้ ดังนั้นหากต้องการควบคุมว่าใครทำอะไรกับไฟล์ได้ การใช้ chown และ chgrp จึงสำคัญไม่แพ้ chmod

• owner: ผู้ใช้งานหลักที่มีสิทธิ์เหนือกว่า group/others
• group: กลุ่มผู้ใช้หลายคนที่แชร์สิทธิ์ร่วมกัน

รูปแบบคำสั่ง chown

โครงสร้างพื้นฐานของ chown คือ:

chown [ตัวเลือก] user:group file_or_directory

ตัวอย่างการใช้งาน:

• เปลี่ยนเจ้าของไฟล์เป็น user ชื่อ webadmin:

  chown webadmin index.php

• เปลี่ยนเจ้าของและกลุ่ม:

  chown webadmin:www-data index.php

• เปลี่ยนแบบ recursive ทั้งโฟลเดอร์:

  chown -R webadmin:www-data /var/www/html

คำสั่ง chgrp ใช้เปลี่ยนเฉพาะ group รูปแบบคล้ายกัน แต่ในหลายกรณี chown user:group จะสะดวกกว่าเพราะเปลี่ยนได้ทั้งคู่ในครั้งเดียว

การตั้ง owner และ group ให้ถูกต้องจะทำให้ไม่ต้องเปิด Permission กว้างเกินไป เช่น ไม่จำเป็นต้องใช้ 777 หากกำหนดให้เว็บเซิร์ฟเวอร์เป็นเจ้าของไฟล์ที่ต้องเขียนข้อมูล

---

แนวทางปฏิบัติที่ดีในการตั้ง Permission สำหรับเว็บและเซิร์ฟเวอร์

---

โครงสร้างสิทธิ์พื้นฐานสำหรับเว็บ (LAMP/LEMP)

สำหรับการใช้งานเว็บเซิร์ฟเวอร์ เช่น Apache หรือ Nginx ร่วมกับ PHP แนวทางที่ปลอดภัยและใช้ได้จริงมักจะอยู่ประมาณนี้:

• ไฟล์เว็บทั่วไป (HTML, PHP, CSS, JS):
  • owner: user ที่ใช้ deploy code (เช่น webadmin)
  • group: user ของเว็บเซิร์ฟเวอร์ (เช่น www-data บน Debian/Ubuntu)
  • permission: 644 (ไฟล์)
• โฟลเดอร์เว็บ:
  • permission: 755
• โฟลเดอร์อัปโหลด (ที่เว็บต้องเขียนได้):
  • อาจตั้ง owner เป็น user ของเว็บเซิร์ฟเวอร์
  • หรือใช้ group แล้วกำหนด permission เป็น 775

ตัวอย่างคำสั่งที่ใช้บ่อย:

chown -R webadmin:www-data /var/www/html
find /var/www/html -type d -exec chmod 755 {} \;
find /var/www/html -type f -exec chmod 644 {} \;

ตัวอย่างกรณี Permission ผิดพลาดที่พบได้บ่อย

• ตั้ง 777 ให้โฟลเดอร์เว็บทั้งหมด
  • ความเสี่ยง: ใครก็ตามที่เข้าถึงระบบได้ สามารถเขียน/แก้ไข/ลบไฟล์ได้ทุกไฟล์
  • ผลลัพธ์ที่พบได้จริง: ไฟล์ถูกแทรกโค้ดอันตราย, แบ็กดอร์, shell script
• ไฟล์ config ของระบบเว็บ (เช่น wp-config.php) เปิดให้อ่านกว้างเกินไป
  • หากมีผู้ใช้คนอื่นในระบบเดียวกัน อาจอ่าน credential ของฐานข้อมูลได้
• โฟลเดอร์ .ssh มีสิทธิ์กว้างเกินไป
  • อาจทำให้ SSH key ถูกปฏิเสธ หรือเสี่ยงต่อการถูกอ่านโดยผู้อื่น

ตัวอย่างการตั้ง Permission สำหรับ SSH key

chmod 700 ~/.ssh
chmod 600 ~/.ssh/id_rsa
chmod 644 ~/.ssh/id_rsa.pub
chmod 644 ~/.ssh/authorized_keys

---

เทคนิคและคำสั่ง Linux พื้นฐานที่ช่วยตรวจสอบ Permission

---

ใช้ ls และ stat ตรวจสอบสิทธิ์อย่างละเอียด

• ใช้ ls -l เพื่อดู Permission แบบสรุป:

  ls -l /var/www/html

• ใช้ stat เพื่อดูรายละเอียดเชิงลึก:

  stat index.php

ค้นหาไฟล์ที่ Permission เสี่ยงในระบบ

• ค้นหาไฟล์ที่เป็น 777 ทั้งระบบ (ควรตรวจสอบเป็นระยะบนเซิร์ฟเวอร์ที่ให้บริการจริง):

  find / -type f -perm 777 2>/dev/null

• ค้นหาโฟลเดอร์ที่เป็น 777:

  find / -type d -perm 777 2>/dev/null

• ค้นหาไฟล์ที่ไม่มี owner หรือ group (เช่น หลังย้ายระบบหรือเปลี่ยน user):

  find / -nouser -o -nogroup 2>/dev/null

การใช้คำสั่งตรวจสอบ Permission เป็นประจำ ช่วยให้คุณพบไฟล์ที่ถูกตั้งค่าไม่เหมาะสมก่อนที่จะกลายเป็นช่องโหว่ด้านความปลอดภัย

---

แนวคิดเพิ่มเติม: Special Permissions (setuid, setgid, sticky bit)

---

setuid และ setgid (อย่างย่อ)

แม้จะไม่ใช่ คำสั่ง Linux พื้นฐาน สำหรับผู้เริ่มต้น แต่ควรรู้จักในระดับเบื้องต้น:

• setuid:
  • ตั้งค่าให้โปรแกรมรันด้วยสิทธิ์ของ owner แทนที่จะเป็นสิทธิ์ของผู้ที่รัน
  • มักใช้กับโปรแกรมของระบบ เช่น passwd
• setgid:
  • กับไฟล์: คล้าย setuid แต่ใช้ group
  • กับโฟลเดอร์: ไฟล์ที่ถูกสร้างในโฟลเดอร์นั้นจะได้ group ตามโฟลเดอร์อัตโนมัติ

Sticky bit สำหรับโฟลเดอร์สาธารณะ

Sticky bit มักใช้กับโฟลเดอร์ที่อนุญาตให้ทุกคนสร้างไฟล์ได้ เช่น /tmp เพื่อป้องกันไม่ให้ผู้ใช้ลบไฟล์ของกันและกัน

ตัวอย่างการตั้ง sticky bit:

chmod 1777 /some/public/dir

ตัวเลข 1 ด้านหน้า 777 คือค่า sticky bit ทำให้โฟลเดอร์เป็นของสาธารณะได้ แต่ยังจำกัดการลบไฟล์ให้เฉพาะเจ้าของไฟล์หรือ root เท่านั้น

---

สรุปแนวทางใช้งาน Permission Linux ให้ปลอดภัยและใช้งานได้จริง

---

Permission Linux เป็นพื้นฐานสำคัญที่เกี่ยวข้องโดยตรงกับความปลอดภัยและเสถียรภาพของเซิร์ฟเวอร์ การใช้ คำสั่ง Linux พื้นฐาน อย่าง chmod, chown และเครื่องมือตรวจสอบอย่าง ls, stat, find อย่างเข้าใจ จะช่วยให้คุณจัดการสิทธิ์ได้อย่างมั่นใจ ทั้งในระบบพัฒนา (dev), ทดสอบ (staging) และระบบจริง (production)

การตั้ง Permission ที่ “พอดี” ไม่เปิดกว้างเกินไป และไม่จำกัดจนระบบทำงานไม่ได้ คือสมดุลที่ผู้ดูแลระบบ Linux ทุกคนควรมุ่งไปให้ถึง

ด้านล่างนี้คือประเด็นสรุปที่สามารถนำไปใช้ได้ทันที

📌 สรุปประเด็นนำไปใช้ได้จริง

• ใช้ ls -l อ่านโครงสร้าง Permission ให้คล่อง แยกแยะ owner, group, others ให้ได้
• จำค่าพื้นฐาน:
  • ไฟล์ทั่วไป: 644
  • โฟลเดอร์ทั่วไป: 755

  <liาไฟล์สำคัญ (key, config บางประเภท): 600 หรือเคร่งครัดกว่า

• ใช้ chmod แบบ numeric เมื่อกำหนดค่าชัดเจน และใช้แบบ symbolic เมื่อปรับเพียงบางสิทธิ์
• ตั้ง owner และ group ด้วย chown ให้ถูกต้อง เพื่อลดความจำเป็นในการเปิด Permission กว้าง
• หลีกเลี่ยงการใช้ 777 ยกเว้นในสภาพแวดล้อมทดสอบเฉพาะกิจ และต้องตรวจสอบความเสี่ยงให้รอบด้าน
• ใช้ find ช่วยค้นหาไฟล์ที่ Permission เสี่ยง เช่น 777, ไม่มี owner หรือ group
• สำหรับเว็บเซิร์ฟเวอร์: ไฟล์ 644, โฟลเดอร์ 755 และกำหนดโฟลเดอร์ที่ต้องเขียนได้ให้ชัดเจนเท่าที่จำเป็น

หากบทความนี้ช่วยให้คุณเข้าใจการจัดการ Permission ใน Linux มากขึ้น ขอเชิญกลับมาติดตามเนื้อหาคลังความรู้ด้านระบบเซิร์ฟเวอร์, เว็บไซต์ และโซลูชันโฮสติ้งเพิ่มเติมได้เสมอ และหากเห็นว่าเนื้อหานี้เป็นประโยชน์ กรุณาส่งต่อให้เพื่อนหรือทีมงานที่ทำงานด้านเดียวกัน เพื่อช่วยกันยกระดับความปลอดภัยและคุณภาพของระบบในองค์กรอย่างยั่งยืน