- Linux系統上對文件的權限有着嚴格的控制,用於若是相對某個文件執行某種操做,必須具備對應的權限方可執行成功。
- Linux下文件的權限類型通常包括讀,寫,執行。對應字母爲 r、w、x。
- Linux下權限的粒度有 擁有者 、羣組 、其它組 三種。每一個文件均可以針對三個粒度,設置不一樣的rwx(讀寫執行)權限。一般狀況下,一個文件只能歸屬於一個用戶和組, 若是其它的用戶想有這個文件的權限,則能夠將該用戶加入具有權限的羣組,一個用戶能夠同時歸屬於多個組。
- Linux上一般使用chmod命令對文件的權限進行設置和更改。
1、快速入門
更改文件權限 (chmod命令)
通常使用格式
chmod [可選項] <mode> <file...>html
可選項: -c, --changes like verbose but report only when a change is made (若該檔案權限確實已經更改,才顯示其更改動做) -f, --silent, --quiet suppress most error messages (若該檔案權限沒法被更改也不要顯示錯誤訊息) -v, --verbose output a diagnostic for every file processed(顯示權限變動的詳細資料) --no-preserve-root do not treat '/' specially (the default) --preserve-root fail to operate recursively on '/' --reference=RFILE use RFILE's mode instead of MODE values -R, --recursive change files and directories recursively (以遞歸的方式對目前目錄下的全部檔案與子目錄進行相同的權限變動) --help 顯示此幫助信息 --version 顯示版本信息 mode :權限設定字串,詳細格式以下: [ugoa...][[+-=][rwxX]...][,...],其中 [ugoa...] u 表示該檔案的擁有者,g 表示與該檔案的擁有者屬於同一個羣體(group)者,o 表示其餘之外的人,a 表示全部(包含上面三者)。 [+-=] + 表示增長權限,- 表示取消權限,= 表示惟一設定權限。 [rwxX] r 表示可讀取,w 表示可寫入,x 表示可執行,X 表示只有當該檔案是個子目錄或者該檔案已經被設定過爲可執行。 file... 文件列表(單個或者多個文件、文件夾)
範例:linux
- 設置全部用戶可讀取文件 a.conf
chmod ugo+r a.sh
或
chmod a+r a.conf
- 設置 c.sh 只有 擁有者能夠讀寫及執行
chmod u+rwx c.sh
- 設置文件 a.conf 與 b.xml 權限爲擁有者與其所屬同一個羣組 可讀寫,其它組可讀不可寫
chmod a+r,ug+w,o-w a.conf b.xml
- 設置當前目錄下的全部檔案與子目錄皆設爲任何人可讀寫
chmod -R a+rw *
數字權限使用格式
在這種使用方式中,首先咱們須要瞭解數字如何表示權限。 首先,咱們規定 數字 4 、2 和 1表示讀、寫、執行權限(具體緣由可見下節權限詳解內容),即 r=4,w=2,x=1 。此時其餘的權限組合也能夠用其餘的八進制數字表示出來,如: rwx = 4 + 2 + 1 = 7 rw = 4 + 2 = 6 rx = 4 +1 = 5 即安全
若要同時設置 rwx (可讀寫運行) 權限則將該權限位 設置 爲 4 + 2 + 1 = 7 若要同時設置 rw- (可讀寫不可運行)權限則將該權限位 設置 爲 4 + 2 = 6 若要同時設置 r-x (可讀可運行不可寫)權限則將該權限位 設置 爲 4 +1 = 5ruby
上面咱們提到,每一個文件均可以針對三個粒度,設置不一樣的rwx(讀寫執行)權限。即咱們能夠用用三個8進制數字分別表示 擁有者 、羣組 、其它組( u、 g 、o)的權限詳情,並用chmod直接加三個8進制數字的方式直接改變文件權限。語法格式爲 :markdown
chmod <abc> file...app
其中
a,b,c各爲一個數字,分別表明User、Group、及Other的權限。
至關於簡化版的
chmod u=權限,g=權限,o=權限 file...
而此處的權限將用8進制的數字來表示User、Group、及Other的讀、寫、執行權限
範例:socket
- 設置全部人能夠讀寫及執行
chmod 777 file (等價於 chmod u=rwx,g=rwx,o=rwx file 或 chmod a=rwx file)
- 設置擁有者可讀寫,其餘人不可讀寫執行
chmod 600 file (等價於 chmod u=rw,g=---,o=--- file 或 chmod u=rw,go-rwx file )
更改文件擁有者(chown命令)
linux/Unix 是多人多工做業系統,每一個的文件都有擁有者(全部者),若是咱們想變動文件的擁有者(利用 chown 將文件擁有者加以改變),通常只有系統管理員(root)擁有此操做權限,而普通用戶則沒有權限將本身或者別人的文件的擁有者設置爲別人。post
語法格式:ui
chown [可選項] user[:group] file...spa
使用權限:root
說明:
[可選項] : 同上文chmod user : 新的文件擁有者的使用者 group : 新的文件擁有者的使用者羣體(group)
範例:
- 設置文件 d.key、e.scrt的擁有者設爲 users 羣體的 tom
chown tom:users file d.key e.scrt
- 設置當前目錄下與子目錄下的全部文件的擁有者爲 users 羣體的 James
chown -R James:users *
2、Linux權限詳解
Linux系統上對文件的權限有着嚴格的控制,用於若是相對某個文件執行某種操做,必須具備對應的權限方可執行成功。這也是Linux有別於Windows的機制,也是基於這個權限機智,Linux能夠有效防止病毒自我運行,由於運行的條件是必需要有運行的權限,而這個權限在Linux是用戶所賦予的。
Linux的文件權限有如下設定:
- Linux下文件的權限類型通常包括讀,寫,執行。對應字母爲 r、w、x。
- Linux下權限的屬組有 擁有者 、羣組 、其它組 三種。每一個文件均可以針對這三個屬組(粒度),設置不一樣的rwx(讀寫執行)權限。
- 一般狀況下,一個文件只能歸屬於一個用戶和組, 若是其它的用戶想有這個文件的權限,則能夠將該用戶加入具有權限的羣組,一個用戶能夠同時歸屬於多個組。
若是咱們要表示一個文件的全部權限詳情,有兩種方式:
- 第一種是十位二進制表示法,(三個屬組每一個使用二進制位,再加一個最高位共十位),可簡化爲三位八進制形式
- 另一種十二位二進制表示法(十二個二進制位),可簡化爲四位八進制形式
十位權限表示
常見的權限表示形式有:
-rw------- (600) 只有擁有者有讀寫權限。 -rw-r--r-- (644) 只有擁有者有讀寫權限;而屬組用戶和其餘用戶只有讀權限。 -rwx------ (700) 只有擁有者有讀、寫、執行權限。 -rwxr-xr-x (755) 擁有者有讀、寫、執行權限;而屬組用戶和其餘用戶只有讀、執行權限。 -rwx--x--x (711) 擁有者有讀、寫、執行權限;而屬組用戶和其餘用戶只有執行權限。 -rw-rw-rw- (666) 全部用戶都有文件讀、寫權限。 -rwxrwxrwx (777) 全部用戶都有讀、寫、執行權限。
後九位解析: 咱們知道Linux權限總共有三個屬組,這裏咱們給每一個屬組使用三個位置來定義三種操做(讀、寫、執行)權限,合起來則是權限的後九位。 上面咱們用字符表示權限,其中 -表明無權限,r表明讀權限,w表明寫權限,x表明執行權限。
實際上,後九位每一個位置的意義(表明某個屬組的某個權限)都是固定的,若是咱們將各個位置權限的有無用二進制數 1和 0來代替,則只讀、只寫、只執行權限,能夠用三位二進制數表示爲
r-- = 100
-w- = 010
--x = 001
--- = 000
轉換成八進制數,則爲 r=4, w=2, x=1, -=0(這也就是用數字設置權限時爲什麼是4表明讀,2表明寫,1表明執行)
實際上,咱們能夠將全部的權限用二進制形式表現出來,並進一步轉變成八進制數字:
rwx = 111 = 7
rw- = 110 = 6
r-x = 101 = 5
r-- = 100 = 4
-wx = 011 = 3
-w- = 010 = 2
--x = 001 = 1
--- = 000 = 0
由上能夠得出,每一個屬組的全部的權限均可以用一位八進制數表示,每一個數字都表明了不一樣的權限(權值)。如 最高的權限爲是7,表明可讀,可寫,可執行。
故 若是咱們將每一個屬組的權限都用八進制數表示,則文件的權限能夠表示爲三位八進制數
-rw------- = 600 -rw-rw-rw- = 666 -rwxrwxrwx = 777
關於第一位最高位的解釋: 上面咱們說到了權限表示中後九位的含義,剩下的第一位表明的是文件的類型,類型能夠是下面幾個中的一個:
d表明的是目錄(directroy)
-表明的是文件(regular file)
s表明的是套字文件(socket)
p表明的管道文件(pipe)或命名管道文件(named pipe)
l表明的是符號連接文件(symbolic link)
b表明的是該文件是面向塊的設備文件(block-oriented device file)
c表明的是該文件是面向字符的設備文件(charcter-oriented device file)
十二位權限(Linux附加權限)
附加權限相關概念
linux除了設置正常的讀寫操做權限外,還有關於一類設置也是涉及到權限,叫作Linxu附加權限。包括 SET位權限(suid,sgid)和粘滯位權限(sticky)。
SET位權限:
suid/sgid是爲了使「沒有取得特權用戶要完成一項必需要有特權才能夠執行的任務」而產生的。 通常用於給可執行的程序或腳本文件進行設置,其中SUID表示對屬主用戶增長SET位權限,SGID表示對屬組內用戶增長SET位權限。執行文件被設置了SUID、SGID權限後,任何用戶執行該文件時,將得到該文件屬主、屬組帳號對應的身份。在許多環境中,suid 和 sgid 很管用,可是不恰當地使用這些位可能使系統的安全遭到破壞。因此應該儘可能避免使用SET位權限程序。(passwd 命令是爲數很少的必須使用「suid」的命令之一)。
- suid(set User ID,set UID)的意思是進程執行一個文件時一般保持進程擁有者的UID。然而,若是設置了可執行文件的suid位,進程就得到了該文件擁有者的UID。
- sgid(set Group ID,set GID)意思也是同樣,只是把上面的進程擁有者改爲進程組就行了。
SET位權限表示形式(10位權限):
若是一個文件被設置了suid或sgid位,會分別表如今全部者或同組用戶的權限的可執行位上;若是文件設置了suid還設置了x(執行)位,則相應的執行位表示爲s(小寫)。可是,若是沒有設置x位,它將表示爲S(大寫)。如:
1、-rwsr-xr-x 表示設置了suid,且擁有者有可執行權限
2、-rwSr--r-- 表示suid被設置,但擁有者沒有可執行權限
3、-rwxr-sr-x 表示sgid被設置,且羣組用戶有可執行權限
4、-rw-r-Sr-- 表示sgid被設置,但羣組用戶沒有可執行權限
設置方式:
SET位權限能夠經過chmod命令設置,給文件加suid和sgid的命令以下(相似於上面chmod賦予通常權限的命令):
chmod u+s filename 設置suid位
chmod u-s filename 去掉suid設置
chmod g+s filename 設置sgid位
chmod g-s filename 去掉sgid設置
粘滯位權限:
粘滯位權限即sticky。通常用於爲目錄設置特殊的附加權限,當目錄被設置了粘滯位權限後,即使用戶對該目錄有寫的權限,也不能刪除該目錄中其餘用戶的文件數據。設置了粘滯位權限的目錄,是用ls查看其屬性時,其餘用戶權限處的x將變爲t。 使用chmod命令設置目錄權限時,+t、-t權限模式可分別用於添加、移除粘滯位權限。
粘滯位權限表示形式(10位權限):
一個文件或目錄被設置了粘滯位權限,會表如今其餘組用戶的權限的可執行位上。若是文件設置了sticky還設置了x(執行)位,其餘組用戶的權限的可執行位爲t(小寫)。可是,若是沒有設置x位,它將表示爲T(大寫)。如:
1、-rwsr-xr-t 表示設置了粘滯位且其餘用戶組有可執行權限
2、-rwSr--r-T 表示設置了粘滯位但其餘用戶組沒有可執行權限
設置方式:
sticky權限一樣能夠經過chmod命令設置:
chmod +t <文件列表..>
十二位的權限表示方法
附加權限除了用十位權限形式表示外,還能夠用用十二位字符表示。
11 10 9 8 7 6 5 4 3 2 1 0
S G T r w x r w x r w x
SGT分別表示SUID權限、SGID權限、和 粘滯位權限,這十二位分別對應關係以下:
第11位爲SUID位,第10位爲SGID位,第9位爲sticky位,第8-0位對應於上面的三組rwx位(後九位)。
在這十二位的每一位上都置值。若是有相應的權限則爲1, 沒有此權限則爲0。
-rw-r-sr-- 的值爲: 0 1 0 1 1 0 1 0 0 1 0 0
-rwsr-xr-x 的值爲: 1 0 0 1 1 1 1 0 1 1 0 1
-rwsr-sr-x 的值爲: 1 1 0 1 1 1 1 0 1 1 0 1
-rwsr-sr-t 的值爲: 1 1 1 1 1 1 1 0 1 1 0 1
若是將則前三位SGT也轉換成一個二進制數,則
- suid 的八進制數字是4
- sgid 的表明數字是 2
- sticky 位表明數字是1
這樣咱們就能夠將十二位權限三位三位的轉化爲4個八進制數。其中
- 最高的一位八進制數就是suid,sgdi,sticky的權值。
- 第二位爲 擁有者的權值
- 第三位爲 所屬組的權值
- 最後一位爲 其餘組的權值
附加權限的八進制形式
經過上面,咱們知道,正常權限和附加權限能夠用4位八進制數表示。相似於正常權限的數字權限賦值模式(使用三位八進制數字賦值)
chmod <abc> file...
咱們能夠進一步使用4位八進制數字同時賦值正常權限和附加權限。
chmod <sabc> file...
其中s是表示附加權限的把八進制數字,abc與以前一致,分別是對應User、Group、及Other(擁有者、羣組、其餘組)的權限。由於SUID對應八進制數字是4,SGID對於八進制數字是2,則「4755」表示設置SUID權限,「6755」表示同時設置SUID、SGID權限。
咱們進一步將上小節的例子中的二進制數轉變爲八進制表示形式,則
-rw-r-sr-- = 0 1 0 1 1 0 1 0 0 1 0 0 = 2644
-rwsr-xr-x = 1 0 0 1 1 1 1 0 1 1 0 1 = 4755
-rwsr-sr-x = 1 1 0 1 1 1 1 0 1 1 0 1 = 6755
-rwsr-sr-t = 1 1 1 1 1 1 1 0 1 1 0 1 = 7755
對比範例:
- 設置 netlogin 的權限爲擁有者可讀寫執行,羣組和其餘權限爲可讀可執行
chmod 755 netlogin
- 設置 netlogin 的權限爲擁有者可讀寫執行,羣組和其餘權限爲可讀可執行,而且設置suid
chmod 4755 netlogin
chmod 4755與chmod 755對比多了附加權限值4,這個4表示其餘用戶執行文件時,具備與全部者一樣的權限(設置了SUID)。
爲何要設置4755 而不是 755?
假設netlogin是root用戶建立的一個上網認證程序,若是其餘用戶要上網也要用到這個程序,那就須要root用戶運行chmod 755 netlogin命令使其餘用戶也能運行netlogin。但假如netlogin執行時須要訪問一些只有root用戶纔有權訪問的文件,那麼其餘用戶執行netlogin時可能由於權限不夠仍是不能上網。這種狀況下,就能夠用 chmod 4755 netlogin 設置其餘用戶在執行netlogin也有root用戶的權限,從而順利上網。
