如何修改Linux内核设备驱动文件权限？

在Linux系统中,设备驱动文件通常位于/dev目录下，这些文件是内核与用户空间程序交互的接口，其权限直接影响用户或程序对设备的访问能力，修改Linux内核设备驱动文件权限需结合文件系统权限管理、设备管理机制（如udev）及内核模块参数，以下是详细操作步骤和注意事项。

设备驱动文件权限基础

设备驱动文件分为字符设备（如/dev/ttyS0）和块设备（如/dev/sda），权限由9位基本权限位（用户、组、其他用户的读/写/执行）和3位特殊权限（SetUID、SetGID、Sticky Bit）组成，权限-rw-rw-r--表示用户和组可读写，其他用户只读。
需注意，设备文件的“执行”权限（x）对普通文件无意义，但对设备文件表示可访问（如字符设备的打开权限）。

修改权限的常用方法

临时修改：chmod命令

通过chmod命令可直接修改设备文件权限，但重启后失效（因设备节点由内核或udev重新创建，恢复默认权限）。
操作步骤：

• 查看当前权限：ls -l /dev/设备名（如ls -l /dev/ttyUSB0）。
• 修改权限：chmod [权限模式] /dev/设备名。
  • 权限模式可为数字（如666表示读写读写rw-rw-rw-）或符号（如u+rw为用户添加读写权限）。
    示例：chmod 666 /dev/ttyUSB0（允许所有用户读写）。

适用场景：临时调试或测试，无需持久化权限。

永久修改：udev规则

udev是Linux的设备管理器,可在设备插入时自动创建/修改设备节点并应用权限规则，重启后仍生效。
操作步骤：

• 创建udev规则文件：在/etc/udev/rules.d/目录下创建规则文件（建议命名格式数字-描述.rules，如10-mydevice.rules，数字越小优先级越高）。

• 编写规则语法：规则通常包含匹配条件（设备属性）和动作（设置权限）。
  关键字说明：
  | 关键字 | 作用 | 示例 |
  |————–|——————————-|——————————-|
  | SUBSYSTEM | 匹配设备子系统（如”tty”、”block”） | SUBSYSTEM=="tty" |
  | KERNEL | 匹配设备内核名称（如”ttyUSB“） | `KERNEL==”ttyUSB[0-9]“ATTR| 匹配设备属性（如/dev下的文件属性） |ATTR{idVendor}==”1234″MODE| 设置权限（八进制） |MODE=”0666″OWNER| 设置所有者（用户名/UID） |OWNER=”root”GROUP| 设置所属组（组名/GID） |GROUP=”dialout”SYMLINK| 创建符号链接 |SYMLINK+=”mydevice”` |

  

• 示例规则：
  为所有/dev/ttyUSB*设备设置权限666，所属组为dialout：

  SUBSYSTEM=="tty", KERNEL=="ttyUSB[0-9]*", MODE="0666", GROUP="dialout"  

  通过设备ID（如USB设备的Vendor ID和Product ID）精确匹配（需通过lsusb或udevadm info查询设备属性）：

  SUBSYSTEM=="usb", ATTR{idVendor}=="0403", ATTR{idProduct}=="6001", MODE="0666"  

• 加载规则并触发设备事件：

  • 重新加载udev规则：sudo udevadm control --reload-rules
  • 触发设备事件（使新规则对已连接设备生效）：sudo udevadm trigger
  • 拔插设备或重启系统,验证权限：ls -l /dev/ttyUSB0

内核模块参数：驱动加载时指定权限

部分驱动模块支持在加载时通过参数指定设备节点权限,需修改模块的配置文件或通过modprobe命令传参。
操作步骤：

• 查看模块参数：modinfo 模块名（如modinfo cdc_acm，查看是否支持dev_mode等参数）。
• 设置参数：
  • 临时生效：sudo modprobe 模块名 dev_mode=0666
  • 永久生效：在/etc/modprobe.d/目录下创建.conf文件（如mydriver.conf），添加：

    options 模块名 dev_mode=0666  

  • 重新加载模块：sudo rmmod 模块名 && sudo modprobe 模块名

适用场景：驱动原生支持权限参数，且无需通过udev管理。

systemd设备管理（适用于systemd系统）

systemd可通过设备单元（.device）管理设备权限，但较少直接用于权限设置，更多用于设备依赖和启动控制，若需结合systemd，可在设备单元文件中添加[Device]段设置属性，但优先级通常低于udev规则。

注意事项

1. 最小权限原则：避免过度开放权限（如777），仅开放必要的读写权限，降低安全风险。
2. 规则优先级：udev规则按文件名数字前缀排序（如10-规则优先于20-），冲突时优先级高的规则生效。
3. 权限验证：修改后需通过ls -l或stat /dev/设备名确认权限，并测试用户/程序访问是否正常。
4. 安全风险：错误权限可能导致普通用户越权访问设备（如直接操作硬盘），需谨慎操作。

相关问答FAQs

Q1：为什么用chmod修改设备权限后重启又变回原来的权限？
A：设备文件由内核或udev动态创建，chmod仅修改当前已存在文件的权限，重启后udev根据默认规则重新生成设备节点，覆盖临时修改的权限，需通过udev规则或内核模块参数实现永久权限设置。

Q2：如何为特定用户组设置设备驱动权限，避免普通用户访问？
A：在udev规则中使用GROUP字段指定目标组（如GROUP="mygroup"），并将需要访问的用户加入该组（sudo usermod -aG mygroup $USER），为/dev/snd/pcmC0D0c设置权限为640（组读写，其他用户无权限）：

SUBSYSTEM=="sound", KERNEL=="pcmC0D0c", MODE="0640", GROUP="audio"  

完成后执行udevadm control --reload-rules && udevadm trigger，并确保用户属于audio组（groups $USER查看）。