إدارة الصلاحيات والملكية (Chmod, Chown, Sudo)

1 min read Aldawsari
دقائق القراءة: 6

إدارة الصلاحيات والملكية (Chmod, Chown, Sudo)

تُعد إدارة الصلاحيات والملكية في لينكس من أهم الأسس التي تحكم أمان النظام واستقراره، لأنها تحدد من يستطيع قراءة الملفات أو تعديلها أو تنفيذها. وأي خطأ بسيط في هذه الطبقة قد يؤدي إلى كشف بيانات حساسة، أو تعطيل خدمة، أو منح مستخدم صلاحيات لا يجب أن يمتلكها.

إذا كنت قد قرأت سابقاً مقدمة إلى عالم لينكس: التاريخ، الفلسفة، وفهم النواة (Kernel) فستعرف أن فلسفة لينكس تقوم على تعدد المستخدمين والفصل الدقيق بين الأدوار. ومن هنا تظهر أهمية فهم أوامر chmod وchown وsudo كأدوات يومية لأي مدير نظام أو مطور يعمل على خادم لينكس.

في هذا الدليل سنبني فهماً عملياً وعميقاً لهذه المفاهيم، مع أمثلة حقيقية تساعدك على إدارة الملفات والمجلدات والخدمات بطريقة احترافية وآمنة، خصوصاً على الخوادم المستضيفة لمواقع الويب والتطبيقات.

ما المقصود بالملكية والصلاحيات في لينكس؟

كل ملف أو مجلد في لينكس له مالك Owner ومجموعة Group وصلاحيات وصول Permissions. هذه البنية هي التي تضمن أن المستخدمين لا يتدخلون في ملفات بعضهم أو في ملفات النظام إلا ضمن حدود واضحة.

لفهم هذه البنية جيداً، يفيد الرجوع إلى هيكلية ملفات لينكس (Filesystem Hierarchy Standard – FHS) لأن مواقع الملفات داخل النظام ترتبط غالباً بطبيعة صلاحياتها وحساسيتها. فملفات الإعدادات في /etc ليست كملفات المستخدم داخل /home.

قراءة مخرجات ls -l

أبسط طريقة لفحص الصلاحيات هي استخدام الأمر ls -l. ستشاهد سطراً مشابهاً لما يلي:

-rwxr-x--- 1 ahmed developers 2048 Jan 10 12:00 deploy.sh

هذا السطر يُقرأ كالتالي:

  • الرمز الأول يحدد النوع: ملف عادي أو مجلد.
  • الثلاثة أحرف الأولى بعده تخص المالك.
  • الثلاثة التالية تخص المجموعة.
  • الثلاثة الأخيرة تخص بقية المستخدمين.

الحروف نفسها تمثل أنواع الصلاحيات:

  • r = قراءة
  • w = كتابة
  • x = تنفيذ

أمر chmod: تعديل الصلاحيات باحتراف

يُستخدم chmod لتغيير صلاحيات الملفات والمجلدات. وهو من أكثر الأوامر استخداماً، لكنه أيضاً من أكثرها تسبباً بالأخطاء عندما يُستخدم بلا فهم، خاصة عند تنفيذ تغييرات جماعية على مجلدات المشاريع أو ملفات الويب.

الطريقة الرمزية

الطريقة الرمزية تعتمد على تحديد الجهة ونوع التعديل. مثال عملي:

chmod u+x deploy.sh
chmod g-w config.php
chmod o-r secret.txt
  • u ترمز للمالك.
  • g ترمز للمجموعة.
  • o ترمز للآخرين.
  • + لإضافة صلاحية، و- لإزالتها.

الطريقة الرقمية

في البيئات الاحترافية تُستخدم الطريقة الرقمية كثيراً لأنها أسرع وأكثر وضوحاً عند الأتمتة والسكربتات.

  • 4 للقراءة
  • 2 للكتابة
  • 1 للتنفيذ

بجمع القيم نحصل على أرقام شهيرة مثل:

  • 755 = للمالك كل الصلاحيات، وللآخرين قراءة وتنفيذ.
  • 644 = للمالك قراءة وكتابة، وللآخرين قراءة فقط.
  • 700 = وصول كامل للمالك فقط.
chmod 755 deploy.sh
chmod 644 index.php
chmod 700 ~/.ssh

لا تمنح الملفات صلاحية 777 إلا في حالات نادرة جداً ومدروسة، لأنها تفتح القراءة والكتابة والتنفيذ للجميع، وغالباً ما تكون مؤشراً على معالجة خاطئة لمشكلة صلاحيات.

تطبيق الصلاحيات على المجلدات

عند العمل على مشروع كامل قد تحتاج إلى تعديل الصلاحيات باستخدام الخيار -R:

chmod -R 755 /var/www/myapp

لكن هذه الخطوة تحتاج حذراً، لأن المجلدات والملفات لا يجب أن تتشارك دائماً نفس الصلاحيات. من الأفضل غالباً استخدام البحث المتقدم في النظام باستخدام (find, locate, grep) لتطبيق إعدادات منفصلة:

find /var/www/myapp -type d -exec chmod 755 {} \;
find /var/www/myapp -type f -exec chmod 644 {} \;

أمر chown: تغيير المالك والمجموعة

إذا كانت الصلاحيات صحيحة لكن المستخدم الخاطئ يملك الملف، فلن تُحل المشكلة بواسطة chmod. هنا يأتي دور chown الذي يغير الملكية الفعلية للملف أو المجلد.

هذا مهم جداً في بيئات الاستضافة وتطبيقات PHP وNode.js وPython، حيث يجب أن تتوافق ملكية الملفات مع مستخدم الخدمة مثل www-data أو nginx.

أمثلة أساسية

chown ahmed report.txt
chown ahmed:developers report.txt
chown -R www-data:www-data /var/www/html
  • الأمر الأول يغير المالك فقط.
  • الثاني يغير المالك والمجموعة معاً.
  • الثالث يطبق التغيير على مشروع كامل.

إذا كنت تتعامل كثيراً مع إنشاء الملفات ونقلها، فقد تحتاج لمراجعة التعامل مع الملفات والمجلدات (Navigation, CRUD Operations) لأن الملكية والصلاحيات ترتبطان مباشرة بدورة حياة الملف داخل النظام.

أمر sudo: تنفيذ الأوامر بامتيازات مرتفعة

ليس كل مستخدم في لينكس يملك حق تعديل ملفات النظام أو تغيير ملكية الملفات الحساسة. لذلك يُستخدم sudo لتنفيذ أمر محدد بصلاحيات مستخدم أعلى، غالباً المستخدم الجذر root.

بدلاً من تسجيل الدخول الدائم كجذر، يسمح sudo بتطبيق مبدأ أقل الامتيازات، وهو من أفضل ممارسات الأمن في الخوادم الإنتاجية.

أمثلة عملية على sudo

sudo chmod 644 /etc/nginx/nginx.conf
sudo chown -R www-data:www-data /var/www/html
sudo systemctl restart nginx

في هذه الأمثلة لا يمكن للمستخدم العادي غالباً تنفيذ الأوامر دون رفع الصلاحيات. لذلك يظهر sudo كطبقة تحكم وتدقيق، لأنه يسجل العمليات الحساسة في السجلات الأمنية.

استخدم sudo مع أوامر مفهومة بالكامل فقط. تنفيذ أمر خاطئ بامتيازات مرتفعة قد يغيّر ملفات النظام أو يكسر خدمات حيوية خلال ثوانٍ.

سيناريو عملي شائع على خادم ويب

لنفترض أنك رفعت مشروع ووردبريس أو تطبيق PHP جديداً إلى المسار /var/www/site، لكن الموقع يعرض أخطاء تتعلق بعدم القدرة على الكتابة أو قراءة الملفات.

المعالجة الاحترافية غالباً تمر بهذه الخطوات:

  1. فحص الملكية الحالية عبر ls -l.
  2. إسناد الملكية إلى مستخدم خدمة الويب.
  3. ضبط صلاحيات المجلدات والملفات بشكل منفصل.
  4. اختبار التطبيق دون اللجوء إلى صلاحيات مفتوحة بشكل مفرط.
sudo chown -R www-data:www-data /var/www/site
find /var/www/site -type d -exec chmod 755 {} \;
find /var/www/site -type f -exec chmod 644 {} \;

هذا النمط يحقق توازناً جيداً بين التشغيل السليم والأمان. وفي حال احتجت إلى تحليل المخرجات أو تصفية النتائج، ستفيدك مهارات الأنابيب وإعادة التوجيه (Pipes and Redirections: |, >, >>) عند التعامل مع السجلات والأوامر المركبة.

أخطاء شائعة يجب تجنبها

  • استخدام chmod -R 777 كحل سريع لأي مشكلة.
  • تغيير ملكية ملفات النظام دون معرفة الجهة الصحيحة المالكة لها.
  • تنفيذ أوامر sudo من حسابات متعددة دون سياسات واضحة.
  • الخلط بين مشكلة صلاحيات ومشكلة مسار أو إعداد خدمة.
  • تطبيق نفس الصلاحيات على الملفات التنفيذية وملفات النصوص وملفات التهيئة.

أفضل الممارسات الأمنية

  • امنح أقل قدر ممكن من الصلاحيات اللازمة فقط.
  • افصل بين صلاحيات الملفات وصلاحيات المجلدات.
  • استخدم المجموعات لتسهيل الإدارة الجماعية بدلاً من فتح الصلاحيات للجميع.
  • راجع الملكية بعد عمليات النسخ أو النشر الآلي.
  • اختبر التعديلات أولاً في بيئة تجريبية، خاصة على الخوادم الإنتاجية.

كما أن الإلمام بالأوامر الأساسية من خلال الدخول الأول إلى الطرفية (Terminal): الأوامر الأساسية والمساعدة (man, help) يساعدك على قراءة التوثيق الرسمي لكل أمر قبل استخدامه في بيئة حساسة.

خلاصة

فهم chmod وchown وsudo ليس مجرد مهارة تشغيلية، بل هو جزء أساسي من بناء بيئة لينكس آمنة ومنظمة. عندما تدير الملكية والصلاحيات بدقة، فإنك تقلل الأخطاء، وتحسن أمان التطبيقات، وتمنع الكثير من المشكلات الشائعة قبل ظهورها.

الاحتراف الحقيقي لا يعني حفظ الأوامر فقط، بل معرفة متى تستخدم كل أمر، وعلى أي ملف، وبأي مستوى من الامتيازات. هذه هي النقطة التي تميز المستخدم العادي عن مدير النظام الواعي أو المطور الذي يفهم البنية الأمنية للنظام الذي يعمل عليه.

← الدرس السابق📑 فهرس الدورةالدرس التالي →

32 comments

  1. تنبيه: إدارة المستخدمين والمجموعات (Users and Groups Management) - قيد
  2. تنبيه: إدارة الخدمات باستخدام (systemd) و (systemctl) - قيد
  3. تنبيه: إدارة الحزم البرمجية وتحديث النظام (APT, YUM/DNF, Pacman) - قيد
  4. تنبيه: التحكم في الوصول الإلزامي (MAC) باستخدام SELinux أو AppArmor - قيد
  5. تنبيه: مقدمة إلى Bash Scripting: المتغيرات، الشروط، والحلقات - قيد
  6. تنبيه: إدارة الشهادات الرقمية وتشفير البيانات (OpenSSL, GPG) - قيد
  7. تنبيه: تحسين أداء النظام (Performance Tuning) وحل المشكلات المتقدمة (Troubleshooting) - قيد
  8. تنبيه: أساسيات شبكات لينكس: العناوين، المنافذ، والبروتوكولات (IP, SSH, DNS) - قيد
  9. تنبيه: تخصيص النواة (Kernel Tuning) عبر ملفات /proc و /sys - قيد
  10. تنبيه: أساسيات الحاويات (Docker) والعمل مع Linux Images - قيد
  11. تنبيه: التعامل مع الأقراص والتخزين (Storage, Partitions, LVM) - قيد
  12. تنبيه: بروتوكولات التخزين الشبكي: إعداد NFS و Samba لتبادل الملفات - قيد
  13. تنبيه: جدولة المهام التلقائية باستخدام (Cron Jobs) - قيد
  14. تنبيه: كتابة سكربتات أتمتة لمهام النسخ الاحتياطي والصيانة - قيد
  15. تنبيه: النقل الآمن للملفات وإدارة الاتصال عن بُعد (SSH, SCP, SFTP) - قيد
  16. تنبيه: تحليل حركة المرور عبر الشبكة باستخدام tcpdump و Wireshark CLI (TShark) - قيد
  17. تنبيه: تقنية eBPF: الثورة الجديدة في مراقبة أداء النواة والشبكات دون تعديل الكود - قيد
  18. تنبيه: مراقبة السجلات (Logs) وتحليل الأخطاء (journalctl, /var/log) - قيد
  19. تنبيه: مقدمة إلى Terraform لإدارة موارد لينكس في البيئات السحابية - قيد
  20. تنبيه: استراتيجيات النسخ الاحتياطي الكارثي (Disaster Recovery Planning) - قيد
  21. تنبيه: الأتمتة باستخدام Ansible: إدارة مئات السيرفرات بملف واحد - قيد
  22. تنبيه: بناء وتجميع النواة (Compiling the Kernel) من المصدر: متى ولماذا نفعل ذلك؟ - قيد
  23. تنبيه: إدارة الأجهزة الوهمية عبر سطر الأوامر باستخدام KVM و QEMU - قيد
  24. تنبيه: إعداد سحابة تخزين خاصة باستخدام Nextcloud - قيد
  25. تنبيه: التعامل مع منافذ العتاد (GPIO/Serial) للأتمتة الفيزيائية - قيد
  26. تنبيه: تهيئة بيئات الذكاء الاصطناعي: تثبيت تعريفات NVIDIA CUDA أو AMD ROCm على لينكس - قيد
  27. تنبيه: فهم استدعاءات النظام (System Calls): استخدام strace و ltrace لتتبع سلوك البرامج - قيد
  28. تنبيه: جدار الحماية (Firewall) وتأمين النظام (UFW, Firewalld, Iptables) - قيد
  29. تنبيه: الأنابيب وإعادة التوجيه (Pipes and Redirections: |, >, >>) - قيد
  30. تنبيه: إدارة ملفات الإعدادات (Dotfiles): كيف تنقل بيئة عملك بين السيرفرات عبر GitHub - قيد
  31. تنبيه: فهم العمليات (Processes) ومراقبة استهلاك الموارد (top, htop, ps, kill) - قيد
  32. تنبيه: اكتشاف التطفل (Intrusion Detection) باستخدام أدوات مثل Fail2Ban و AIDE - قيد

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *