Linux系統上對文件的權限有著嚴格的控制,用於如果相對某個文件執行某種操作,必須具有對應的權限方可執行成功。
Linux下文件的權限類型一般包括讀,寫,執行。對應字母為 r、w、x。
Linux下權限的粒度有 擁有者 、群組 、其它組 三種。每個文件都可以針對三個粒度,設置不同的rwx(讀寫執行)權限。通常情況下,一個文件只能歸屬於一個用戶和組, 如果其它的用戶想有這個文件的權限,則可以將該用戶加入具備權限的群組,一個用戶可以同時歸屬於多個組。
Linux上通常使用chmod命令對文件的權限進行設置和更改。
一、快速入門更改文件權限 (chmod命令)一般使用格式chmod [可選項] <mode> <file...>
可選項:
-c, --changes like verbose but report only when a change is made (若該檔案權限確實已經更改,才顯示其更改動作)
-f, --silent, --quiet suppress most error messages (若該檔案權限無法被更改也不要顯示錯誤訊息)
-v, --verbose output a diagnostic for every file processed(顯示權限變更的詳細資料)
--no-preserve-root do not treat '/' specially (the default)
--preserve-root fail to operate recursively on '/'
--reference=RFILE use RFILE's mode instead of MODE values
-R, --recursive change files and directories recursively (以遞歸的方式對目前目錄下的所有檔案與子目錄進行相同的權限變更)
--help 顯示此幫助信息
--version 顯示版本信息
mode :權限設定字串,詳細格式如下:
[ugoa...][[+-=][rwxX]...][,...],其中
[ugoa...]
u 表示該檔案的擁有者,g 表示與該檔案的擁有者屬於同一個群體(group)者,o 表示其他以外的人,a 表示所有(包含上面三者)。
[+-=]
+ 表示增加權限,- 表示取消權限,= 表示唯一設定權限。
[rwxX]
r 表示可讀取,w 表示可寫入,x 表示可執行,X 表示只有當該檔案是個子目錄或者該檔案已經被設定過為可執行。
file...
文件列表(單個或者多個文件、文件夾)
範例:
chmod ugo+r a.sh
或
chmod a+r a.conf
chmod u+rwx c.sh
chmod a+r,ug+w,o-w a.conf b.xml
chmod -R a+rw *
數字權限使用格式在這種使用方式中,首先我們需要了解數字如何表示權限。首先,我們規定 數字 4 、2 和 1表示讀、寫、執行權限(具體原因可見下節權限詳解內容),即 r=4,w=2,x=1 。此時其他的權限組合也可以用其他的八進位數字表示出來,如:rwx = 4 + 2 + 1 = 7 rw = 4 + 2 = 6 rx = 4 +1 = 5 即
若要同時設置 rwx (可讀寫運行) 權限則將該權限位 設置 為 4 + 2 + 1 = 7 若要同時設置 rw- (可讀寫不可運行)權限則將該權限位 設置 為 4 + 2 = 6 若要同時設置 r-x (可讀可運行不可寫)權限則將該權限位 設置 為 4 +1 = 5
上面我們提到,每個文件都可以針對三個粒度,設置不同的rwx(讀寫執行)權限。即我們可以用用三個8進位數字分別表示 擁有者 、群組 、其它組( u、 g 、o)的權限詳情,並用chmod直接加三個8進位數字的方式直接改變文件權限。語法格式為 :
chmod <abc> file...
其中
a,b,c各為一個數字,分別代表User、Group、及Other的權限。
相當於簡化版的
chmod u=權限,g=權限,o=權限 file...
而此處的權限將用8進位的數字來表示User、Group、及Other的讀、寫、執行權限
範例:
chmod 777 file (等價於 chmod u=rwx,g=rwx,o=rwx file 或 chmod a=rwx file)
chmod 600 file (等價於 chmod u=rw,g=---,o=--- file 或 chmod u=rw,go-rwx file )
更改文件擁有者(chown命令)linux/Unix 是多人多工作業系統,每個的文件都有擁有者(所有者),如果我們想變更文件的擁有者(利用 chown 將文件擁有者加以改變),一般只有系統管理員(root)擁有此操作權限,而普通用戶則沒有權限將自己或者別人的文件的擁有者設置為別人。
語法格式:
chown [可選項] user[:group] file...
使用權限:root
說明:
[可選項] : 同上文chmod
user : 新的文件擁有者的使用者
group : 新的文件擁有者的使用者群體(group)
範例:
chown tom:users file d.key e.scrt
chown -R James:users *
二、Linux權限詳解Linux系統上對文件的權限有著嚴格的控制,用於如果相對某個文件執行某種操作,必須具有對應的權限方可執行成功。這也是Linux有別於Windows的機制,也是基於這個權限機智,Linux可以有效防止病毒自我運行,因為運行的條件是必須要有運行的權限,而這個權限在Linux是用戶所賦予的。
Linux的文件權限有以下設定:
Linux下文件的權限類型一般包括讀,寫,執行。對應字母為 r、w、x。
Linux下權限的屬組有 擁有者 、群組 、其它組 三種。每個文件都可以針對這三個屬組(粒度),設置不同的rwx(讀寫執行)權限。
通常情況下,一個文件只能歸屬於一個用戶和組, 如果其它的用戶想有這個文件的權限,則可以將該用戶加入具備權限的群組,一個用戶可以同時歸屬於多個組。
如果我們要表示一個文件的所有權限詳情,有兩種方式:
十位權限表示常見的權限表示形式有:
-rw-- (600) 只有擁有者有讀寫權限。
-rw-r--r-- (644) 只有擁有者有讀寫權限;而屬組用戶和其他用戶只有讀權限。
-rwx- (700) 只有擁有者有讀、寫、執行權限。
-rwxr-xr-x (755) 擁有者有讀、寫、執行權限;而屬組用戶和其他用戶只有讀、執行權限。
-rwx--x--x (711) 擁有者有讀、寫、執行權限;而屬組用戶和其他用戶只有執行權限。
-rw-rw-rw- (666) 所有用戶都有文件讀、寫權限。
-rwxrwxrwx (777) 所有用戶都有讀、寫、執行權限。
後九位解析: 我們知道Linux權限總共有三個屬組,這裡我們給每個屬組使用三個位置來定義三種操作(讀、寫、執行)權限,合起來則是權限的後九位。上面我們用字符表示權限,其中 -代表無權限,r代表讀權限,w代表寫權限,x代表執行權限。
實際上,後九位每個位置的意義(代表某個屬組的某個權限)都是固定的,如果我們將各個位置權限的有無用二進位數 1和 0來代替,則只讀、只寫、只執行權限,可以用三位二進位數表示為
r-- = 100
-w- = 010
--x = 001
--- = 000
轉換成八進位數,則為 r=4, w=2, x=1, -=0(這也就是用數字設置權限時為何是4代表讀,2代表寫,1代表執行)
實際上,我們可以將所有的權限用二進位形式表現出來,並進一步轉變成八進位數字:
rwx = 111 = 7
rw- = 110 = 6
r-x = 101 = 5
r-- = 100 = 4
-wx = 011 = 3
-w- = 010 = 2
--x = 001 = 1
--- = 000 = 0
由上可以得出,每個屬組的所有的權限都可以用一位八進位數表示,每個數字都代表了不同的權限(權值)。如 最高的權限為是7,代表可讀,可寫,可執行。
故 如果我們將每個屬組的權限都用八進位數表示,則文件的權限可以表示為三位八進位數
-rw-- = 600
-rw-rw-rw- = 666
-rwxrwxrwx = 777
關於第一位最高位的解釋: 上面我們說到了權限表示中後九位的含義,剩下的第一位代表的是文件的類型,類型可以是下面幾個中的一個:
d代表的是目錄(directroy)
-代表的是文件(regular file)
s代表的是套字文件(socket)
p代表的管道文件(pipe)或命名管道文件(named pipe)
l代表的是符號連結文件(symbolic link)
b代表的是該文件是面向塊的設備文件(block-oriented device file)
c代表的是該文件是面向字符的設備文件(charcter-oriented device file)
linux除了設置正常的讀寫操作權限外,還有關於一類設置也是涉及到權限,叫做Linxu附加權限。包括 SET位權限(suid,sgid)和粘滯位權限(sticky)。
SET位權限:
suid/sgid是為了使「沒有取得特權用戶要完成一項必須要有特權才可以執行的任務」而產生的。一般用於給可執行的程序或腳本文件進行設置,其中SUID表示對屬主用戶增加SET位權限,SGID表示對屬組內用戶增加SET位權限。執行文件被設置了SUID、SGID權限後,任何用戶執行該文件時,將獲得該文件屬主、屬組帳號對應的身份。在許多環境中,suid 和 sgid 很管用,但是不恰當地使用這些位可能使系統的安全遭到破壞。所以應該儘量避免使用SET位權限程序。(passwd 命令是為數不多的必須使用「suid」的命令之一)。
suid(set User ID,set UID)的意思是進程執行一個文件時通常保持進程擁有者的UID。然而,如果設置了可執行文件的suid位,進程就獲得了該文件擁有者的UID。
sgid(set Group ID,set GID)意思也是一樣,只是把上面的進程擁有者改成進程組就好了。
SET位權限表示形式(10位權限):
如果一個文件被設置了suid或sgid位,會分別表現在所有者或同組用戶的權限的可執行位上;如果文件設置了suid還設置了x(執行)位,則相應的執行位表示為s(小寫)。但是,如果沒有設置x位,它將表示為S(大寫)。如:
1、-rwsr-xr-x 表示設置了suid,且擁有者有可執行權限
2、-rwSr--r-- 表示suid被設置,但擁有者沒有可執行權限
3、-rwxr-sr-x 表示sgid被設置,且群組用戶有可執行權限
4、-rw-r-Sr-- 表示sgid被設置,但群組用戶沒有可執行權限
設置方式:
SET位權限可以通過chmod命令設置,給文件加suid和sgid的命令如下(類似於上面chmod賦予一般權限的命令):
chmod u+s filename 設置suid位
chmod u-s filename 去掉suid設置
chmod g+s filename 設置sgid位
chmod g-s filename 去掉sgid設置
粘滯位權限即sticky。一般用於為目錄設置特殊的附加權限,當目錄被設置了粘滯位權限後,即便用戶對該目錄有寫的權限,也不能刪除該目錄中其他用戶的文件數據。設置了粘滯位權限的目錄,是用ls查看其屬性時,其他用戶權限處的x將變為t。使用chmod命令設置目錄權限時,+t、-t權限模式可分別用於添加、移除粘滯位權限。
粘滯位權限表示形式(10位權限):
一個文件或目錄被設置了粘滯位權限,會表現在其他組用戶的權限的可執行位上。如果文件設置了sticky還設置了x(執行)位,其他組用戶的權限的可執行位為t(小寫)。但是,如果沒有設置x位,它將表示為T(大寫)。如:
1、-rwsr-xr-t 表示設置了粘滯位且其他用戶組有可執行權限
2、-rwSr--r-T 表示設置了粘滯位但其他用戶組沒有可執行權限
設置方式:
sticky權限同樣可以通過chmod命令設置:
chmod +t <文件列表..>
十二位的權限表示方法附加權限除了用十位權限形式表示外,還可以用用十二位字符表示。
11 10 9 8 7 6 5 4 3 2 1 0
S G T r w x r w x r w x
SGT分別表示SUID權限、SGID權限、和 粘滯位權限,這十二位分別對應關係如下:
第11位為SUID位,第10位為SGID位,第9位為sticky位,第8-0位對應於上面的三組rwx位(後九位)。
在這十二位的每一位上都置值。如果有相應的權限則為1, 沒有此權限則為0。
-rw-r-sr-- 的值為:0 1 0 1 1 0 1 0 0 1 0 0
-rwsr-xr-x 的值為:1 0 0 1 1 1 1 0 1 1 0 1
-rwsr-sr-x 的值為:1 1 0 1 1 1 1 0 1 1 0 1
-rwsr-sr-t 的值為:1 1 1 1 1 1 1 0 1 1 0 1
如果將則前三位SGT也轉換成一個二進位數,則
suid 的八進位數字是4
sgid 的代表數字是 2
sticky 位代表數字是1
這樣我們就可以將十二位權限三位三位的轉化為4個八進位數。其中
附加權限的八進位形式通過上面,我們知道,正常權限和附加權限可以用4位八進位數表示。類似於正常權限的數字權限賦值模式(使用三位八進位數字賦值)
chmod <abc> file...
我們可以進一步使用4位八進位數字同時賦值正常權限和附加權限。
chmod <sabc> file...
其中s是表示附加權限的把八進位數字,abc與之前一致,分別是對應User、Group、及Other(擁有者、群組、其他組)的權限。因為SUID對應八進位數字是4,SGID對於八進位數字是2,則「4755」表示設置SUID權限,「6755」表示同時設置SUID、SGID權限。
我們進一步將上小節的例子中的二進位數轉變為八進位表示形式,則
-rw-r-sr-- = 0 1 0 1 1 0 1 0 0 1 0 0 = 2644
-rwsr-xr-x = 1 0 0 1 1 1 1 0 1 1 0 1 = 4755
-rwsr-sr-x = 1 1 0 1 1 1 1 0 1 1 0 1 = 6755
-rwsr-sr-t = 1 1 1 1 1 1 1 0 1 1 0 1 = 7755
對比範例:
chmod 755 netlogin
chmod 4755 netlogin
chmod 4755與chmod 755對比多了附加權限值4,這個4表示其他用戶執行文件時,具有與所有者同樣的權限(設置了SUID)。
為什麼要設置4755 而不是 755? 假設netlogin是root用戶創建的一個上網認證程序,如果其他用戶要上網也要用到這個程序,那就需要root用戶運行chmod 755 netlogin命令使其他用戶也能運行netlogin。但假如netlogin執行時需要訪問一些只有root用戶才有權訪問的文件,那麼其他用戶執行netlogin時可能因為權限不夠還是不能上網。這種情況下,就可以用 chmod 4755 netlogin 設置其他用戶在執行netlogin也有root用戶的權限,從而順利上網。
在 Linux 命令中,chmod用於修改文件或者目錄的權限。對於文件或者目錄的普通權限,共有 3 種,分別為:
此外,還有 3 種特殊權限,分別為:
suid:Set User ID;
sgid:Set Group ID;
sticky:粘滯位。
在此,我們僅介紹如何利用chmod修改文件及目錄的普通權限。
權限範圍及代號文件及目錄的權限範圍,包括:
權限的代號包括:
語法及選項說明chmod語法:
chmod [-cfRv][--help][--version][<權限範圍>+/-/=<權限設置...>][文件或目錄...]
chmod [-cfRv][--help][--version][數字代號][文件或目錄...]
chmod [-cfRv][--help][--reference=<參考文件或目錄>][--version][文件或目錄...]
選項說明:
-c或--changes:效果類似-v參數,但僅返回更改的部分;
-f或--quiet或--silent:不顯示錯誤信息;
-R或--recursive:遞歸處理,將指定目錄下的所有文件及子目錄一併處理;
-v或--verbose:顯示指令執行過程;
--help:顯示在線幫助信息;
--reference=<參考文件或目錄>:把指定文件或目錄的權限全部設成和參考文件或目錄的權限相同;
--version:顯示版本信息;
<權限範圍>+<權限設置>:開啟權限範圍的文件或目錄的該項權限設置;
<權限範圍>-<權限設置>:關閉權限範圍的文件或目錄的該項權限設置;
<權限範圍>=<權限設置>:指定權限範圍的文件或目錄的該項權限設置。
示例首先,我們通過ls -l命令來看看文件及目錄的相關信息:
如上圖所示,以其為例,我們依次來分析各內容代表的含義,
第 1 行:total 16,表示所列出內容的磁碟佔用空間總和值,單位為KB;
第 1 列:dr-xr-x-r-x,表示文件或目錄的類型及權限;
第 2 列:4,表示文件或目錄的連結個數;
第 3 列:bin.guo,表示文件或目錄的所有者;
第 4 列:staff,表示文件或目錄的所在群組;
第 5 列:136,表示文件或目錄本身的大小;
第 6 列:Nov 24 11:26,表示文件或目錄的最後更新時間;
第 7 列:a,表示文件或目錄的名稱。
其中 第 1 列 的內容(除total外)特別豐富,以dr-xr-x-r-x為例(共 10 個字符),我們對其進一步分析:
第 1 個字符d,表示文件或目錄的類型,其類型包括
p,表示命名管道文件;
d,表示目錄文件;
l,表示符號連接文件;
-,表示普通文件;
s,表示 Socket 文件;
c,表示字符設備文件;
b,表示塊設備文件。
第 2 ~ 4 個字符r-x,表示文件或目錄的所有者權限;
第 5 ~ 7 個字符r-x,表示文件或目錄的所有者同組用戶權限;
第 8 ~ 10 個字符r-x,表示文件或目錄的其他用戶權限。
此外,大家可能還注意到有些文件或目錄在其顯示的權限後面還跟著一個字符,或者為.或者為@,具體:
在 Mac 終端中顯示為@
在 Linux 系統中顯示為.
這表示其所屬的文件或目錄開啟了SELinux安全上下文標籤,如果沒有,則表示未開啟。
接下來,演示一些具體的操作示例:
在 Linux 的眾多命令中,chmod命令算是比較簡單的一個了。以此為始,讓我們一起感受 Linux 的魅力吧!
文章轉自: https://cloud.tencent.com/developer/article/1172549