Linux 文件权限相关知识

文件权限说明

Linux中的文件能否被访问和工具（程序）无关，和访问的用户身份有关（谁去运行这个程序）

进程的发起者（谁去运行这个程序）。

• 进程的发起者若是文件的所有者： 拥有文件的属主权限
• 进程的发起者若属于文件属组：拥有文件的属组权限
• 应用文件“其它”权限
  
  

修改文件所有者、组

默认谁创建或传送的文件，所有者所属组默认是创建文件的时候从当前用户继承下来的

设置文件的所有者或所属组：chown

chown 命令可以修改属主也可以修改属组

选项：

-R：更改一个目录文件以及目录中的所有文件的属性

chown范例：

• 只修改文件所有者： chown 所有者 file
• 只修改文件所属组： chown （:）或（.）组名 file
• 两者都修改： chown 所有者（：）或（.）所有组 file

设置文件所属组： chgrp

chgrp：只修改文件的属组

文件权限管理

将访问文件的用户分为三类：

• owner 属主, u
• group 属组, g
• other 其他, o
  
  用户权限的匹配规则：从左到右匹配，匹配到了就不匹配了

三种权限类型：

• r Readable
• w Writable
• x eXcutable

文件权限：

• r：表示可以读取里面的内容
• w：可以往文件里修改信息
• x：可以执行这个文件（包括二进制程序、shell脚本等）

目录权限：

• r：读取目录文件中的文件列表
• w：能否在目录文件中删除和创建文件
• x： 获取目录下文件的列表，和进入目录
• X 只给目录x权限，不给无执行权限的文件x权限
  
  目录文件的最小权限： 执行权限x

文件能否被删除和文件权限无关，而是和该文件所在目录文件的写（w）权限有关（因为目录文件的数据块部分是一个文件列表，这个文件列表记录该目录下的文件和该文件的inode number之间的映射关系）

目录的执行权限：可以获取目录中文件的列表，和进入目录。要对目录下存在的文件进行读取和修改，必须要进入目录，所以必须要目录有执行权限。

例如：要访问apache服务器上的某个目录下的文件，此目录必须要有执行权限。

1、目录的可执行权限是表示可否在目录下执行命令。如果目录没有-x权限，则无法对目录执行任何命令，甚至无法cd 进入目录。即使目录仍然有-r 读权限（这个地方很容易犯错，认为有读权限就可以进入目录读取目录下的文件）。

所以创建目录文件的时候给了x权限，也要给r权限

2、而如果目录具有-x权限，但没有-r权限，则用户可以执行命令，可以cd进入目录。但由于没有目录的读权限，所以在目录下，即使可以执行ls命令，但仍然没有权限读出目录下的文档。

目录可执行权限

实现获取文件列表和进入目录

进入目录： 要对目录中的文件进行读取和修改操作就必须要进入目录

可执行权限标识是否可以对目录执行命令或者在目录下执行命令

只有执行权限，没有可读权限 -- 可以进入目录但是无法读取文件列表

修改文件权限： chomod

文件的执行权限对root起作用，读和写对root用户无效

文件的所有者和文件所属组里面的用户、root用户可以修改文件的权限。

选项：

-R：同时更改目录文件以及目录文件下的所有文件的权限

X 只给目录x权限，不给无执行权限的文件x权限

方法一：模式法

who opt permission（谁对谁做什么操作）

who:u,g,o,a （a：all，所有）

opt:+,-,= （=：会修改用户的所有权限）

permission:r,w,x

例如：取消a文件的执行权限

chmod a-x file

方法二：数字法

数字法：用数字来描述文件的权限

chomod 数字 file

八进制数字：

• --- 000 0
• --x 001 1
• -w- 010 2
• -wx 011 3
• r-- 100 4
• r-x 101 5
• rw- 110 6
• rwx 111 7
  
  只要有奇数就肯定有执行权限

十进制数字法

范例：执行 cp /etc/issue /data/dir/ 所需要的最小权限？

/bin/cp 需要x权限

/etc/ 需要x权限

/etc/issue 需要r权限

/data 需要x权限

/data/dir 需要w,x权限

默认权限和特殊权限（root不受限）

新建文件的默认权限：

• 文件：644
• 目录文件：755
  
  默认权限是由 umask命令来影响的（显示的值是一个八进制）

非特权用户umask默认是 002



root的umask 默认是 022



最前面的0代表这是一个八进制数字

更改umask的值： umask number

文件默认权限的计算方法：

新建文件夹的默认权限： 666 - umask --- 得到的结果如果有执行权限（奇数），就将这一位+1

更改umask的值是临时生效的

使用666不使用777的原因：

使用666的原因是，如果使用777，umask设置成000，那么新建的文件就会有执行权限，默认带执行权限的文件很危险

加1的原因：

因为某一位是奇数的话就是带有执行权限了，默认创建的文件是要求不带执行权限的，所以要加1

目录文件默认权限计算方法：

新建目录文件的默认权限： 777- umask

Linux文件系统上的特殊权限

设置了特殊权限，可执行权限这个位置由x或者空变成s或S

• SUID 作用于二进制可执行文件上,用户将继承此程序所有者的权限
• SGID ：
  
  若作用于二进制可执行文件上,用户将继承此程序所有组的权限
  
  若作于于目录上, 此目录中新建的文件的所属组将自动从此目录继承
• STICKY 作用于目录上,此目录中的文件只能由所有者自已来删除

SUID

当我们的可执行文件具有suid权限以后，一个用户去运行这个可执行程序，他的身份就临时变成了这个可执行程序的所有者的身份

添加suid的方法：

• 模式法：u+s
  
  chmod u+s filename
• 数字法： 先写出传统权限 然后再加4
  
  比如： 传统权限是755 加suid权限后： 4755 --- rwsr-xr-x
  
  示例：chomod 4755 filename

SGID

作用一：用户运行这个程序的时候临时拥有所属组的权限

作用二： sgid加到一个目录文件上面，在这个目录文件里面创建的文件会继承这个目录文件得到所属组

添加SGID的方法：

• 模式法：g+s
  
  chmod g+s filename
• 数字法： 2
  
  chmod 2xxx filename

STICKY

此目录中的文件只能所有者来删除

添加STICKY的方法：

• 模式法：o+t
  
  chmod o+t filename
• 数字法： 1
  
  chmod 1xxx filename
  
  注意：一个文件能否访问和程序没有关系，和执行这个程序的用户身份有关系