Linux权限管理是系统安全的核心,通过控制用户对文件和目录的访问权限,保障数据不被未授权操作,Linux将权限分为三类:文件所有者(User)、所属组(Group)和其他用户(Others),每类权限又包含读(r)、写(w)、执行(x)三种基本操作,理解这些权限的设置与管理,是高效使用Linux系统的关键。
权限的表示方法
Linux权限通过字符或数字表示,字符表示中,r、w、x分别对应读、写、执行权限,-表示无权限,例如-rw-r--r--表示文件所有者有读写权限,所属组和其他用户只有读权限,数字表示中,r=4、w=2、x=1,三者相加得到权限值,如6(4+2)表示读写权限,5(4+1)表示读和执行权限,下表展示了数字与权限的对应关系:
| 数字 | 权限组合 | 说明 |
|---|---|---|
| 0 | 无权限 | |
| 1 | –x | 执行权限 |
| 2 | -w- | 写权限 |
| 3 | -wx | 写和执行权限 |
| 4 | r– | 读权限 |
| 5 | r-x | 读和执行权限 |
| 6 | rw- | 读和写权限 |
| 7 | rwx | 读、写、执行权限 |
修改权限:chmod命令
chmod(change mode)是修改文件或目录权限的核心命令,支持数字法和符号法两种操作方式。
数字法
直接通过数字组合设置权限,格式为chmod [权限数字] [文件/目录],为文件test.txt设置所有者读写执行(7)、所属组读执行(5)、其他用户读执行(5),命令为chmod 755 test.txt,若要递归修改目录及其子目录下所有文件的权限,需添加-R选项,如chmod -R 755 /path/to/dir。
符号法
通过符号表示用户类型(u=所有者,g=所属组,o=其他用户,a=所有用户)和操作(+添加权限,-移除权限,=设置权限),为所有用户添加执行权限:chmod a+x script.sh;仅移除所属组的写权限:chmod g-w document.txt;设置所有者拥有读写权限,其他用户无权限:chmod u=rw,go= file.log。
修改所有者和所属组:chown与chgrp
权限不仅与权限位相关,还与文件所有者和所属组绑定。chown(change owner)用于修改文件所有者,chgrp(change group)用于修改所属组。
chown命令
格式为chown [所有者][:][所属组] [文件/目录],将文件data.txt的所有者改为user1:chown user1 data.txt;同时修改所有者和所属组为user1:group1:chown user1:group1 data.txt;递归修改目录所有者:chown -R user1 /path/to/dir。
chgrp命令
格式为chgrp [所属组] [文件/目录],将文件report.doc的所属组改为dev:chgrp dev report.doc;递归修改目录所属组:chgrp -R dev /project。
特殊权限:SUID、SGID、Sticky Bit
除基本权限外,Linux还支持三种特殊权限,用于实现更精细化的控制。
SUID(Set User ID)
作用于可执行文件,执行时临时获取文件所有者的权限,典型场景是passwd命令,普通用户执行时需以root权限修改/etc/passwd文件,设置方式:chmod 4755 filename或chmod u+s filename。
SGID(Set Group ID)
作用于可执行文件或目录,对文件执行时,临时获取文件所属组的权限;对目录设置后,该目录下新建的文件自动继承目录的所属组,常用于团队共享目录,如chmod 2775 /shared或chmod g+s /shared。
Sticky Bit
仅作用于目录,确保只有文件所有者或root才能删除或重命名目录中的文件,即使其他用户有写权限,典型场景是/tmp目录,设置方式:chmod 1777 /tmp或chmod +t /tmp。
权限掩码:umask
umask用于控制新建文件和目录的默认权限,由3位八进制数字组成,表示需要从默认权限中移除的权限位,文件默认权限为666(所有者、组、其他用户读写),目录为777(所有者、组、其他用户读、写、执行)。umask值从默认权限中减去,得到实际权限。umask=022时,新建文件权限为666-022=644(rw-r–r–),目录为777-022=755(rwxr-xr-x),查看当前umask:umask;修改临时umask:umask 002;永久修改需在~/.bashrc或/etc/profile中配置。
权限检查与问题排查
使用ls -l查看文件权限详情,stat命令可查看权限、所有者、修改时间等详细信息,若遇到权限不足错误,可通过sudo提权执行命令,或使用chmod、chown调整权限,需注意,目录的执行权限(x)是进入目录的前提,写权限(w)允许创建或删除目录内文件,读权限(r)允许列出目录内容。
相关问答FAQs
Q1:为什么目录需要执行权限才能进入?
A1:目录的执行权限(x)标识为“可进入”(searchable),当用户尝试进入目录时,系统需要遍历目录的索引节点(inode),执行权限允许系统访问目录的内部结构,否则即使有读权限也无法使用cd命令进入,若目录权限为drwxr--r--(755),所有者可进入,组和其他用户仅可查看内容;若移除执行权限(drw-r--r--,744),所有者也无法进入。
Q2:SUID和SGID有什么区别?
A2:SUID(Set User ID)作用于可执行文件,执行时进程以文件所有者的身份运行,常用于需要提升权限的程序(如passwd);SGID(Set Group ID)可作用于可执行文件或目录,对文件执行时进程以文件所属组的身份运行,对目录设置后,新建文件自动继承目录所属组,常用于共享目录(如项目开发目录),两者均需谨慎使用,可能带来安全风险,如SUID被滥用可导致权限提升。
原创文章,发布者:酷番叔,转转请注明出处:https://cloud.kd.cn/ask/35927.html
