Linux 权限设置错误，服务器直接变肉鸡？这 5

知识分享

2026-05-24 23:00

15 阅读

刚搬上线的 Linux 服务器，不到半天就被挖矿程序占满 CPU，后台一查，原来是某个目录的权限被顺手设成了 777。
这不是段子——Linux 权限设置错误，服务器直接变肉鸡 是真实反复发生的低级事故。
本文不讲大道理，直接带你从排查到加固，一步步把危险挡在门外。

第一步：记住一个原则，避免 90% 的权限错误

所有文件和目录的权限应该遵循最小够用原则：业务进程用哪个用户运行，就只给那个用户读写执行权限，其他用户一律拒绝。

核心命令：修改权限用 chmod，修改属主用 chown。

登录服务器，切换到 root 或 sudo 用户，执行以下命令扫描：

find / -type f -perm /o+w -exec ls -l {} \; 2>/dev/null

这条命令会列出所有其他用户可写入的文件（即 777、666 等权限）。
攻击者最常利用的入口就是这些文件——直接写入后门脚本。

同样，检查目录：

find / -type d -perm /o+w -exec ls -ld {} \; 2>/dev/null

如果结果里出现了业务目录（如 /var/www/html、/home/user/public_html），赶紧记录下来。

注意：系统目录 /sys、/proc、/dev 下的结果可忽略，那是内核虚拟文件系统。

确定危险目录后，用以下命令批量修正：

find /var/www/html -type f -exec chmod 644 {} \;
find /var/www/html -type f -name "*.sh" -exec chmod 755 {} \;

find /var/www/html -type d -exec chmod 755 {} \;

chown -R www-data:www-data /var/www/html/uploads
chmod -R 755 /var/www/html/uploads

不要对整个网站递归 777，这是最常犯的错误。
很多新手为了“解决上传失败”，直接 chmod -R 777 整个目录，结果整个站点就成了肉鸡培养皿。

上传目录不执行脚本：在 Nginx 或 Apache 配置中禁止解析 PHP 文件。例如 Nginx 的 location ~ \.php$ { deny all; } 放在 uploads 目录的 location 里。
使用粘滞位：对于多人共享的临时目录（如 /tmp），设置 chmod 1777 防止用户删除对方文件。
定期审计：每周执行一次第二步的 find 命令，配合脚本输出报告。
不要用 root 运行业务进程：Web 服务用 www-data，数据库用 mysql，用最小权限运行。

完成权限修正后，检查服务器有没有已被入侵的迹象：

如果有异常进程或文件，先隔离服务器（断网），再根据 /var/log/secure 或 auth.log 排查入侵来源。

Q：不小心把 /usr 目录权限改成 777 了怎么办？
A：用系统自带的 RPM（CentOS）或 DEB（Ubuntu）包管理器重新安装相关包。或者从另一台同版本服务器拷贝权限配置。更简单的方法是重装系统——权限错误影响系统命令执行，修复代价极高。

Q：chmod 777 只用了 1 秒，为什么这么危险？
A：777 代表所有用户（包括网站访问者通过 Web 服务进程）都可以写文件。攻击者只要找到一个上传点或注入点，就能写一个 shell 脚本进去，直接控制服务器。

Q：我用了面板（如宝塔），还需要手动检查权限吗？
A：需要。面板只管理它自己创建的文件，你手动上传的目录、程序自身生成的临时文件，权限可能不规范。建议在宝塔的“文件”功能里，选中目录 → 权限 → 设为 755。

如果你正在处理 Linux 权限设置错误，服务器直接变肉鸡 的问题，建议先按本文步骤完整执行，再根据自己的环境做微调；
遇到异常时优先回看避坑和高频问题部分。权限不对，安全白费——养成每次上线前检查一遍权限的习惯，服务器才能睡得安稳。