Linux文件权限

1.掌握基本权限用法

1.1基本权限UGO

UGO是基本权限的一种表示方式，它代表了拥有者（User）、组（Group）和其他用户（Others）的权限。

在UGO中，每个权限用一个字符来表示，分别是：
- r：读权限（Read）
- w：写权限（Write）
- x：执行权限（Execute）
- -：没有该权限

UGO表示法使用三个字符来表示拥有者、组和其他用户的权限。例如，权限为rwxr-xr--可以用UGO表示为`ugo=754`，其中7表示拥有者权限（rwx），5表示组权限（r-x），4表示其他用户权限（r--）。

设置文件属性与权限

1. `chown`命令用于改变文件或目录的拥有者。其基本语法如下：

chown [OPTIONS] OWNER[:GROUP] FILE

　　其中，`OPTIONS`是一些可选参数，`OWNER`是要设置的拥有者，`GROUP`是要设置的组（可选），`FILE`是要改变拥有者的文件或目录。

例如，要将文件`tyu.txt`的拥有者改为`user01`，可以使用以下命令：

chown user01 tyu.txt

如果要同时改变文件的组，可以使用以下命令：

chown user01:group1 tyu.txt

如果只想改变文件的组而不改变拥有者，可以使用以下命令：

chown :group1 tyu.txt

（因为我没有创建group1这组，所以系统提示无效，无法访问）

注意：只有超级用户（root）才能使用`chown`命令改变文件的拥有者和组。

2. `chgrp`命令用于改变文件或目录的所属组。其基本语法如下：

chgrp [OPTIONS] GROUP FILE

　　其中，`OPTIONS`是一些可选参数，`GROUP`是要设置的组，`FILE`是要改变所属组的文件或目录。

例如，要将文件`tyu.txt`的所属组改为`Linux02`，可以使用以下命令：

chgrp Linux02 tyu.txt

注意：只有超级用户（root）和文件的拥有者才能使用`chgrp`命令改变文件的所属组。

3.要设置文件的属性和权限，可以使用`chmod`命令。

`chmod`命令的基本语法如下：

chmod [OPTIONS] MODE FILE

　　其中，`OPTIONS`是一些可选参数，`MODE`是权限模式，`FILE`是要设置权限的文件。

权限模式可以使用两种表示方式：符号表示法和数字表示法。

1. 符号表示法：
- `u`：拥有者（User）
- `g`：组（Group）
- `o`：其他用户（Others）
- `a`：所有用户（All）
- `+`：添加权限
- `-`：移除权限
- `=`：设置权限

例如，要给文件`tyu.txt`的拥有者添加读权限，可以使用以下命令：

chmod u+r tyu.txt

要给文件的组和其他用户添加执行权限，可以使用以下命令：

chmod g+x,o+x tyu.txt

要将文件的权限设置为`rwxr-xr--`，可以使用以下命令：

chmod u=rwx,g=rx,o=r tyu.txt

 

2. 数字表示法：
- `4`：读权限（Read）
- `2`：写权限（Write）
- `1`：执行权限（Execute）
- `0`：没有该权限

数字表示法使用三个数字来表示拥有者、组和其他用户的权限。例如，要将文件的权限设置为`rwxr-xr--`，可以使用以下命令：

chmod 754 tyu.txt

这里的`7`表示拥有者权限（rwx），`5`表示组权限（r-x），`4`表示其他用户权限（r--）。

除了使用`chmod`命令，还可以使用`chown`命令来改变文件的拥有者和组，使用`chgrp`命令来改变文件的组。这些命令的使用方法可以通过命令的帮助文档或者`man`命令来查看。

1.2 基本权限ACL

1.2.1 ACL基本用法

ACL（Access Control List）是一种用于文件和目录的访问控制机制，它允许你在除了所有者和所属组之外，为其他用户设置不同的访问权限。下面是一些常用的ACL用法：

1. 查看ACL权限：可以使用`getfacl`命令来查看文件或目录的ACL权限。例如，要查看文件`tyu.txt`的ACL权限，可以使用以下命令：

getfacl tyu.txt

 

2. 设置ACL权限：可以使用`setfacl`命令来设置文件或目录的ACL权限。例如，要为文件`tyu.txt`添加一个用户`user01`的读取权限，可以使用以下命令：

setfacl -m u:user01:r tyu.txt

 

3. 修改ACL权限：可以使用`setfacl`命令来修改文件或目录的ACL权限。例如，要将文件`tyu.txt`的用户`user01`的读取权限改为写入权限，可以使用以下命令：

setfacl -m u:user01:rw tyu.txt

 

4. 删除ACL权限：可以使用`setfacl`命令来删除文件或目录的ACL权限。例如，要删除文件`tyu.txt`的用户`user01`的所有ACL权限，可以使用以下命令：

setfacl -x u:user01 tyu.txt

注意：使用ACL权限需要文件系统支持ACL，并且需要在挂载文件系统时启用ACL选项。另外，只有超级用户（root）和文件的拥有者才能设置、修改和删除ACL权限。

1.2.2 ACL高级特性

除了基本的ACL权限设置和管理外，还有一些高级的ACL特性可以使用：

1. 默认ACL（Default ACL）：默认ACL是一种特殊类型的ACL，它可以用于设置文件或目录的默认ACL权限。默认ACL权限会自动应用于新创建的文件和子目录。默认ACL可以通过`setfacl`命令的`-d`选项来设置。例如，要为目录`/data`设置默认ACL权限，可以使用以下命令：

setfacl -d -m u:user1:rwx /data

2. 继承ACL（Inheritance）：继承ACL允许子目录或文件继承父目录的ACL权限。这样，可以通过设置父目录的ACL权限来自动应用于其所有子目录和文件。继承ACL可以通过`setfacl`命令的`-R`选项来设置。例如，要使目录`/data`及其所有子目录和文件继承父目录的ACL权限，可以使用以下命令：

setfacl -R -m u:user1:rwx /data

3. 组ACL（Group ACL）：组ACL是一种特殊类型的ACL，它允许将ACL权限设置为一个用户组而不是单个用户。组ACL可以通过`setfacl`命令的`-m`选项来设置。例如，要为文件`T.txt`添加一个用户组`group1`的读取权限，可以使用以下命令：

setfacl -m g:group1:r T.txt

这些高级ACL特性可以提供更精细和灵活的文件和目录权限控制，使得系统管理员可以根据具体需求来设置和管理ACL权限。

2.掌握高级权限用法

2.1 SUID权限

　　SUID（Set User ID）权限是一种特殊的权限设置，它允许用户在执行特定程序时临时获得该程序的所有者权限。SUID权限可以应用于可执行文件，并且仅在执行该文件时才生效。当一个用户执行一个具有SUID权限的程序时，该程序将以文件所有者的身份运行，而不是执行者的身份。

SUID权限的作用是允许普通用户执行一些需要特权身份才能执行的任务，例如更改密码、修改系统配置等。通过SUID权限，系统管理员可以将特权操作委托给普通用户，以减少对管理员账户的依赖。

要设置SUID权限，可以使用`chmod`命令并在权限位中添加`4`（即`S_ISUID`）或使用`u+s`选项。例如，要将文件`/usr/bin/passwd`设置为具有SUID权限，可以使用以下命令：

chmod u+s /usr/bin/passwd

　　要删除SUID权限，可以使用`chmod`命令并在权限位中移除`4`或使用`u-s`选项。例如，要将文件`/usr/bin/passwd`的SUID权限移除，可以使用以下命令：

chmod u-s /usr/bin/passwd

需要注意的是，SUID权限的滥用可能导致系统安全风险。因此，在设置SUID权限之前，应仔细考虑其安全性，并确保只对必要的文件和程序应用SUID权限。

2.2 SGID权限

　　SGID（Set Group ID）权限是一种特殊的权限设置，它允许用户在执行特定程序时临时获得该程序所属组的权限。SGID权限可以应用于可执行文件和目录，并且在执行或创建文件时生效。

当一个用户执行一个具有SGID权限的程序时，该程序将以文件所属组的身份运行，而不是执行者的组身份。对于目录来说，当用户在该目录下创建新文件或目录时，新创建的文件或目录将继承该目录的组。

SGID权限的作用是允许多个用户在同一组中共享资源，提高文件共享和协作的效率。例如，在一个项目文件夹中设置SGID权限，可以确保所有项目成员创建的文件都属于同一组，并且其他组成员可以访问和编辑这些文件。

　　要设置SGID权限，可以使用`chmod`命令并在权限位中添加`2000`（即`S_ISGID`）或使用`g+s`选项。例如，要将目录`/var/project`设置为具有SGID权限，可以使用以下命令：

chmod g+s /var/project

　　要删除SGID权限，可以使用`chmod`命令并在权限位中移除`2000`或使用`g-s`选项。例如，要将目录`/var/project`的SGID权限移除，可以使用以下命令：

chmod g-s /var/project

　　需要注意的是，SGID权限的滥用可能导致系统安全风险。因此，在设置SGID权限之前，应仔细考虑其安全性，并确保只对必要的文件和目录应用SGID权限。

2.3 Sticky权限

　　Sticky权限是一种特殊的权限设置，它仅适用于目录，并且具有特殊的作用。当在目录上设置了Sticky权限后，只有文件或目录的所有者才能删除或重命名它们。

　　Sticky权限的主要作用是防止其他用户在共享目录中删除或修改其他用户创建的文件。这在一些公共目录（如临时目录或共享文件夹）中特别有用，可以确保文件的创建者拥有对其文件的控制权，其他用户只能读取或修改自己的文件。

　　要设置Sticky权限，可以使用`chmod`命令并在权限位中添加`1000`（即`S_ISVTX`）或使用`t`选项。例如，要将目录`/tmp`设置为具有Sticky权限，可以使用以下命令：

chmod +t /tmp

　　要删除Sticky权限，可以使用`chmod`命令并在权限位中移除`1000`或使用`t`选项。例如，要将目录`/tmp`的Sticky权限移除，可以使用以下命令：

chmod -t /tmp

　　需要注意的是，Sticky权限的作用是限制删除和重命名操作，它并不影响其他用户对文件的读取或修改权限。因此，如果需要限制对目录中文件的访问权限，还需要设置适当的文件权限。

学习总结

　　Linux文件权限是Linux系统中非常重要的一个概念，它决定了用户对文件和目录的访问权限。文件权限由三组权限位组成，分别是所有者权限、群组权限和其他用户权限。

每组权限位又包括读、写和执行三种权限。读权限允许用户查看文件内容，写权限允许用户修改文件内容，执行权限允许用户执行文件。权限位用数字表示，读权限为4，写权限为2，执行权限为1。这三种权限可以组合使用，例如读写权限为6，读写执行权限为7。

　　通过使用`ls -l`命令，我们可以查看文件的权限信息。例如，`-rw-r--r-- 1 user group 0 Dec 25 12:00 file.txt`表示该文件对所有者可读写，对群组和其他用户只可读取。

　　要修改文件权限，可以使用`chmod`命令。例如，`chmod 755 file.txt`将文件的所有者权限设置为读写执行，群组和其他用户的权限设置为只读。

　　了解和掌握Linux文件权限有助于我们更好地管理和保护文件。合理设置文件权限可以防止他人非法访问、修改或删除文件，保护文件的安全性。对于共享目录或公共文件，我们可以通过设置适当的权限，控制用户对文件的访问权限，避免误操作或意外删除他人的文件。

　　此外，文件权限还可以用来限制用户对系统资源的使用。例如，只有具有root权限的用户才能修改系统关键文件，防止非授权用户对系统进行破坏或篡改。

总之，Linux文件权限是Linux系统中非常重要的一部分，它不仅保护了文件的安全性，还限制了用户对系统资源的使用。通过学习和掌握文件权限的相关知识，我们可以更好地管理和保护文件，提高系统的安全性和稳定性。