權限簡介

• Linux系統上對文件的權限有着嚴格的控制，用於如果相對某個文件執行某種操作，必須具有對應的權限方可執行成功。
• Linux下文件的權限類型一般包括讀，寫，執行。對應字母爲 r、w、x。
  Python系列教程,免費獲取,遇到bug及時反饋,討論交流可加扣裙<60 61 15 02 7>
• Linux下權限的粒度有 擁有者 、羣組 、其它組 三種。每個文件都可以針對三個粒度，設置不同的rwx(讀寫執行)權限。通常情況下，一個文件只能歸屬於一個用戶和組， 如果其它的用戶想有這個文件的權限，則可以將該用戶加入具備權限的羣組，一個用戶可以同時歸屬於多個組。
• Linux上通常使用chmod命令對文件的權限進行設置和更改。

一、快速入門

更改文件權限 （chmod命令）

一般使用格式

chmod [可選項] <mode> <file...>


 

範例：

• 設置所有用戶可讀取文件 a.conf
  
• 設置 c.sh 只有 擁有者可以讀寫及執行
  
   
• 設置文件 a.conf 與 b.xml 權限爲擁有者與其所屬同一個羣組 可讀寫，其它組可讀不可寫
  
   
• 設置當前目錄下的所有檔案與子目錄皆設爲任何人可讀寫
  

  數字權限使用格式

  在這種使用方式中，首先我們需要了解數字如何表示權限。 首先，我們規定 數字 4 、2 和 1表示讀、寫、執行權限（具體原因可見下節權限詳解內容），即 r=4，w=2，x=1 。此時其他的權限組合也可以用其他的八進制數字表示出來，如： rwx = 4 + 2 + 1 = 7 rw = 4 + 2 = 6 rx = 4 +1 = 5 即

  若要同時設置 rwx (可讀寫運行） 權限則將該權限位 設置 爲 4 + 2 + 1 = 7 若要同時設置 rw- （可讀寫不可運行）權限則將該權限位 設置 爲 4 + 2 = 6 若要同時設置 r-x （可讀可運行不可寫）權限則將該權限位 設置 爲 4 +1 = 5

  上面我們提到，每個文件都可以針對三個粒度，設置不同的rwx(讀寫執行)權限。即我們可以用用三個8進制數字分別表示 擁有者 、羣組 、其它組( u、 g 、o)的權限詳情，並用chmod直接加三個8進制數字的方式直接改變文件權限。語法格式爲 ：

  chmod <abc> file...
  

  範例：

• 設置所有人可以讀寫及執行
  
   
• 設置擁有者可讀寫，其他人不可讀寫執行
  

  更改文件擁有者（chown命令）

  linux/Unix 是多人多工作業系統，每個的文件都有擁有者（所有者），如果我們想變更文件的擁有者（利用 chown 將文件擁有者加以改變），一般只有系統管理員(root)擁有此操作權限，而普通用戶則沒有權限將自己或者別人的文件的擁有者設置爲別人。

  語法格式：

  chown [可選項] user[:group] file...

  

  範例：

• 設置文件 d.key、e.scrt的擁有者設爲 users 羣體的 tom
  
• 設置當前目錄下與子目錄下的所有文件的擁有者爲 users 羣體的 James
  

  二、Linux權限詳解

  Linux系統上對文件的權限有着嚴格的控制，用於如果相對某個文件執行某種操作，必須具有對應的權限方可執行成功。這也是Linux有別於Windows的機制，也是基於這個權限機智，Linux可以有效防止病毒自我運行，因爲運行的條件是必須要有運行的權限，而這個權限在Linux是用戶所賦予的。

  Linux的文件權限有以下設定：

• Linux下文件的權限類型一般包括讀，寫，執行。對應字母爲 r、w、x。
• Linux下權限的屬組有 擁有者 、羣組 、其它組 三種。每個文件都可以針對這三個屬組（粒度），設置不同的rwx(讀寫執行)權限。
• 通常情況下，一個文件只能歸屬於一個用戶和組， 如果其它的用戶想有這個文件的權限，則可以將該用戶加入具備權限的羣組，一個用戶可以同時歸屬於多個組。

• 如果我們要表示一個文件的所有權限詳情，有兩種方式：

• 第一種是十位二進制表示法，(三個屬組每個使用二進制位，再加一個最高位共十位)，可簡化爲三位八進制形式
• 另外一種十二位二進制表示法(十二個二進制位)，可簡化爲四位八進制形式

• 十位權限表示

  常見的權限表示形式有：
  

  後九位解析： 我們知道Linux權限總共有三個屬組，這裏我們給每個屬組使用三個位置來定義三種操作（讀、寫、執行）權限，合起來則是權限的後九位。 上面我們用字符表示權限，其中 -代表無權限，r代表讀權限，w代表寫權限，x代表執行權限。

  實際上，後九位每個位置的意義（代表某個屬組的某個權限）都是固定的，如果我們將各個位置權限的有無用二進制數 1和 0來代替，則只讀、只寫、只執行權限，可以用三位二進制數表示爲
  

  轉換成八進制數，則爲 r=4, w=2, x=1, -=0（這也就是用數字設置權限時爲何是4代表讀，2代表寫，1代表執行）

  實際上，我們可以將所有的權限用二進制形式表現出來，並進一步轉變成八進制數字：
  

  由上可以得出，每個屬組的所有的權限都可以用一位八進制數表示，每個數字都代表了不同的權限（權值）。如 最高的權限爲是7，代表可讀，可寫，可執行。

  故 如果我們將每個屬組的權限都用八進制數表示，則文件的權限可以表示爲三位八進制數
  
  關於第一位最高位的解釋： 上面我們說到了權限表示中後九位的含義，剩下的第一位代表的是文件的類型，類型可以是下面幾個中的一個：
  

  十二位權限（Linux附加權限）

  附加權限相關概念

  linux除了設置正常的讀寫操作權限外，還有關於一類設置也是涉及到權限，叫做Linxu附加權限。包括 SET位權限（suid，sgid）和粘滯位權限（sticky）。

  SET位權限：

  suid/sgid是爲了使「沒有取得特權用戶要完成一項必須要有特權纔可以執行的任務」而產生的。 一般用於給可執行的程序或腳本文件進行設置，其中SUID表示對屬主用戶增加SET位權限，SGID表示對屬組內用戶增加SET位權限。執行文件被設置了SUID、SGID權限後，任何用戶執行該文件時，將獲得該文件屬主、屬組賬號對應的身份。在許多環境中，suid 和 sgid 很管用，但是不恰當地使用這些位可能使系統的安全遭到破壞。所以應該儘量避免使用SET位權限程序。（passwd 命令是爲數不多的必須使用「suid」的命令之一）。

• suid(set User ID,set UID)的意思是進程執行一個文件時通常保持進程擁有者的UID。然而，如果設置了可執行文件的suid位，進程就獲得了該文件擁有者的UID。
• sgid(set Group ID,set GID)意思也是一樣，只是把上面的進程擁有者改成進程組就好了。

• 如果一個文件被設置了suid或sgid位，會分別表現在所有者或同組用戶的權限的可執行位上；如果文件設置了suid還設置了x（執行）位，則相應的執行位表示爲s(小寫)。但是，如果沒有設置x位，它將表示爲S(大寫)。如：
   

  SET位權限表示形式（10位權限）：

  設置方式：

  SET位權限可以通過chmod命令設置，給文件加suid和sgid的命令如下(類似於上面chmod賦予一般權限的命令)：
  

  粘滯位權限：

  粘滯位權限即sticky。一般用於爲目錄設置特殊的附加權限，當目錄被設置了粘滯位權限後，即便用戶對該目錄有寫的權限，也不能刪除該目錄中其他用戶的文件數據。設置了粘滯位權限的目錄，是用ls查看其屬性時，其他用戶權限處的x將變爲t。 使用chmod命令設置目錄權限時，+t、-t權限模式可分別用於添加、移除粘滯位權限。

  粘滯位權限表示形式（10位權限）：

  一個文件或目錄被設置了粘滯位權限，會表現在其他組用戶的權限的可執行位上。如果文件設置了sticky還設置了x（執行）位，其他組用戶的權限的可執行位爲t(小寫)。但是，如果沒有設置x位，它將表示爲T(大寫)。如：
  
   

  設置方式：

  sticky權限同樣可以通過chmod命令設置：

  chmod +t <文件列表..>
   

  十二位的權限表示方法 

  附加權限除了用十位權限形式表示外，還可以用用十二位字符表示。
  

  SGT分別表示SUID權限、SGID權限、和 粘滯位權限，這十二位分別對應關係如下：

  第11位爲SUID位，第10位爲SGID位，第9位爲sticky位，第8-0位對應於上面的三組rwx位（後九位）。

  在這十二位的每一位上都置值。如果有相應的權限則爲1， 沒有此權限則爲0。
  

  如果將則前三位SGT也轉換成一個二進制數，則

• suid 的八進制數字是4
• sgid 的代表數字是 2
• sticky 位代表數字是1

• 這樣我們就可以將十二位權限三位三位的轉化爲4個八進制數。其中

• 最高的一位八進制數就是suid，sgdi，sticky的權值。
• 第二位爲 擁有者的權值
• 第三位爲 所屬組的權值
• 最後一位爲 其他組的權值

  附加權限的八進制形式

  通過上面，我們知道，正常權限和附加權限可以用4位八進制數表示。類似於正常權限的數字權限賦值模式（使用三位八進制數字賦值）

• chmod <abc> file...

  我們可以進一步使用4位八進制數字同時賦值正常權限和附加權限。

  chmod <sabc> file...

  其中s是表示附加權限的把八進制數字，abc與之前一致，分別是對應User、Group、及Other（擁有者、羣組、其他組）的權限。因爲SUID對應八進制數字是4，SGID對於八進制數字是2，則「4755」表示設置SUID權限，「6755」表示同時設置SUID、SGID權限。

  我們進一步將上小節的例子中的二進制數轉變爲八進制表示形式，則
  
   

  對比範例：

• 設置 netlogin 的權限爲擁有者可讀寫執行，羣組和其他權限爲可讀可執行
  
   
• 設置 netlogin 的權限爲擁有者可讀寫執行，羣組和其他權限爲可讀可執行，並且設置suid
  

  chmod 4755與chmod 755對比多了附加權限值4，這個4表示其他用戶執行文件時，具有與所有者同樣的權限（設置了SUID）。

  爲什麼要設置4755 而不是 755？  假設netlogin是root用戶創建的一個上網認證程序，如果其他用戶要上網也要用到這個程序，那就需要root用戶運行chmod 755 netlogin命令使其他用戶也能運行netlogin。但假如netlogin執行時需要訪問一些只有root用戶纔有權訪問的文件，那麼其他用戶執行netlogin時可能因爲權限不夠還是不能上網。這種情況下，就可以用 chmod 4755 netlogin 設置其他用戶在執行netlogin也有root用戶的權限，從而順利上網。

  在 Linux 命令中，chmod用於修改文件或者目錄的權限。對於文件或者目錄的普通權限，共有 3 種，分別爲：

• r：讀取；
• w：寫入；
• x：執行。

• 此外，還有 3 種特殊權限，分別爲：

• suid：Set User ID；
• sgid：Set Group ID；
• sticky：粘滯位。

• 在此，我們僅介紹如何利用chmod修改文件及目錄的普通權限。

  權限範圍及代號

  文件及目錄的權限範圍，包括：

• u：User，即文件或目錄的擁有者；
• g：Group，即文件或目錄的所屬羣組；
• o：Other，除了文件或目錄擁有者或所屬羣組之外，其他用戶皆屬於這個範圍；
• a：All，即全部的用戶，包含擁有者、所屬羣組以及其他用戶。

• 權限的代號包括：

• r：讀取權限，數字代號爲4；
• w：寫入權限，數字代號爲2；
• x：執行或切換權限，數字代號爲1；
• -：不具任何權限，數字代號爲0；
• s：當文件被執行時，根據who參數指定的用戶類型設置文件的setuid或者setgid權限。

• 語法及選項說明

• chmod語法：
  • chmod [-cfRv][--help][--version][<權限範圍>+/-/=<權限設置...>][文件或目錄...]
  • chmod [-cfRv][--help][--version][數字代號][文件或目錄...]
  • chmod [-cfRv][--help][--reference=<參考文件或目錄>][--version][文件或目錄...]
• 選項說明:
  • -c或--changes：效果類似-v參數，但僅返回更改的部分；
  • -f或--quiet或--silent：不顯示錯誤信息；
  • -R或--recursive：遞歸處理，將指定目錄下的所有文件及子目錄一併處理；
  • -v或--verbose：顯示指令執行過程；
  • --help：顯示在線幫助信息；
  • --reference=<參考文件或目錄>：把指定文件或目錄的權限全部設成和參考文件或目錄的權限相同；
  • --version：顯示版本信息；
  • <權限範圍>+<權限設置>：開啓權限範圍的文件或目錄的該項權限設置；
  • <權限範圍>-<權限設置>：關閉權限範圍的文件或目錄的該項權限設置；
  • <權限範圍>=<權限設置>：指定權限範圍的文件或目錄的該項權限設置。

• 示例

  首先，我們通過ls -l命令來看看文件及目錄的相關信息：
  

   

  如上圖所示，以其爲例，我們依次來分析各內容代表的含義，

• 第 1 行：total 16，表示所列出內容的磁盤佔用空間總和值，單位爲KB；
• 第 1 列：dr-xr-x-r-x，表示文件或目錄的類型及權限；
• 第 2 列： 4，表示文件或目錄的鏈接個數；
• 第 3 列：bin.guo，表示文件或目錄的所有者；
• 第 4 列：staff，表示文件或目錄的所在羣組；
• 第 5 列：136，表示文件或目錄本身的大小；
• 第 6 列：Nov 24 11:26，表示文件或目錄的最後更新時間；
• 第 7 列：a，表示文件或目錄的名稱。

• 其中 第 1 列 的內容（除total外）特別豐富，以dr-xr-x-r-x爲例（共 10 個字符），我們對其進一步分析：

• 第 1 個字符d，表示文件或目錄的類型，其類型包括
  • p，表示命名管道文件；
  • d，表示目錄文件；
  • l，表示符號連接文件；
  • -，表示普通文件；
  • s，表示 Socket 文件；
  • c，表示字符設備文件；
  • b，表示塊設備文件。
• 第 2 ~ 4 個字符r-x，表示文件或目錄的所有者權限；
• 第 5 ~ 7 個字符r-x，表示文件或目錄的所有者同組用戶權限；
• 第 8 ~ 10 個字符r-x，表示文件或目錄的其他用戶權限。

• 此外，大家可能還注意到有些文件或目錄在其顯示的權限後面還跟着一個字符，或者爲.或者爲@，具體：

• 在 Mac 終端中顯示爲@
• 在 Linux 系統中顯示爲.

• 這表示其所屬的文件或目錄開啓了SELinux安全上下文標籤，如果沒有，則表示未開啓。

  接下來，演示一些具體的操作示例：

• 示例 1：添加所有用戶對test-one的執行權限
  
   
• 示例 2：取消test-one所有者羣組用戶的執行權限及其他用戶的寫入權限
  
   
• 示例 3：遞歸取消文件夾a的所有用戶的執行權限
  
   
• 示例 4：添加所有用戶對test-one的所有權限
  
   
• 示例 5：取消test-one所有者的執行權限及其他用戶的所有權限