常见错误现象识别

在CentOS7系统操作中，当尝试执行程序、编辑文件或访问目录时，可能遭遇以下提示：

-bash: ./script.sh: 权限不够
cp: 无法创建普通文件'/target/file': 权限被拒绝
httpd: (13)Permission denied: access to /var/www denied

核心排查流程

1. 权限属性验证

执行 ls -l /path/to/file 查看权限标记：

-rw-r--r--. 1 root root 1024 Mar 1 10:00 example.txt
drwxr-x---. 2 mysql mysql 4096 Mar 1 10:00 database/

验证用户是否具备对应操作权限（读r、写w、执行x）

2. 所有权关系确认

通过 ls -l 检查文件所属用户和组，对比当前操作用户身份

六种修复方案

方案一：权限模式调整

使用八进制赋权法：

chmod 755 script.sh  # 所有者完全权限，其他用户读执行

或符号赋权法：

chmod u+x,g-w,o=r file.conf

方案二：所有权变更

chown apache:apache /var/www/html  # 修改文件所属用户和组

方案三：SELinux上下文管理

临时检测：

setenforce 0  # 切换为宽容模式

永久配置：

semanage fcontext -a -t httpd_sys_content_t "/webroot(/.*)?"
restorecon -Rv /webroot

方案四：特权执行模式

sudo -u tomcat ./startup.sh  # 指定用户身份执行

高级调试技巧

• 查看系统日志：tail -f /var/log/audit/audit.log | grep avc
• 生成SELinux策略建议：audit2allow -a
• 检查文件系统挂载属性：mount | grep noexec

安全操作规范

1. 生产环境避免使用chmod 777或chown -R root:root
2. 关键系统目录保持默认权限（如/etc应为755）
3. 通过ACL实现精细控制：setfacl -m u:user:rwx /data