很多人對linux文件、文件夾權(quán)限命令不熟悉，下面小編將給大家詳細的介紹下Linux權(quán)限的設(shè)置，讓大家掌握linux權(quán)限：chmod命令的用法，把安全做到可控范圍。

Linux查看文件權(quán)限命令

[root@www yum.repos.d]# ll /usr/bin/pkexec
-rwsr-xr-x. 1 root root 29072 Jun  2  2021 /usr/bin/pkexec

linux權(quán)限簡介

Linux系統(tǒng)上對文件的權(quán)限有著嚴(yán)格的控制，如果想對某個文件執(zhí)行某種操作，必須具有對應(yīng)的權(quán)限方可執(zhí)行成功。

Linux下文件的權(quán)限類型一般包括讀，寫，執(zhí)行。對應(yīng)字母為 r、w、x。

Linux下權(quán)限的粒度有 擁有者 、群組 、其它組 三種。每個文件都可以針對三個粒度，設(shè)置不同的rwx(讀寫執(zhí)行)權(quán)限。通常情況下，一個文件只能歸屬于一個用戶和組， 如果其它的用戶想有這個文件的權(quán)限，則可以將該用戶加入具備權(quán)限的群組，一個用戶可以同時歸屬于多個組。

Linux上通常使用chmod命令對文件的權(quán)限進行設(shè)置和更改。

一、快速入門

linux更改文件權(quán)限 （chmod命令）

一般使用格式

chmod [可選項] <mode> <file…>

參數(shù)說明：

[可選項]
  -c, --changes          like verbose but report only when a change is made (若該檔案權(quán)限確實已經(jīng)更改，才顯示其更改動作)
  -f, --silent, --quiet  suppress most error messages  （若該檔案權(quán)限無法被更改也不要顯示錯誤訊息）
  -v, --verbose          output a diagnostic for every file processed（顯示權(quán)限變更的詳細資料）
       --no-preserve-root  do not treat '/' specially (the default)
       --preserve-root    fail to operate recursively on '/'
       --reference=RFILE  use RFILE's mode instead of MODE values
  -R, --recursive        change files and directories recursively （以遞歸的方式對目前目錄下的所有檔案與子目錄進行相同的權(quán)限變更)
       --help        顯示此幫助信息
       --version        顯示版本信息
[mode] 
    權(quán)限設(shè)定字串，詳細格式如下 ：
    [ugoa...][[+-=][rwxX]...][,...]，
 
    其中
    [ugoa...]
    u 表示該檔案的擁有者，g 表示與該檔案的擁有者屬于同一個群體(group)者，o 表示其他以外的人，a 表示所有（包含上面三者）。
    [+-=]
    + 表示增加權(quán)限，- 表示取消權(quán)限，= 表示唯一設(shè)定權(quán)限。
    [rwxX]
    r 表示可讀取，w 表示可寫入，x 表示可執(zhí)行，X 表示只有當(dāng)該檔案是個子目錄或者該檔案已經(jīng)被設(shè)定過為可執(zhí)行。
     
[file...]
    文件列表（單個或者多個文件、文件夾）

 范例： 

設(shè)置所有用戶可讀取文件 a.conf

chmod ugo+r a.conf 
或 
chmod a+r  a.conf

設(shè)置 c.sh 只有擁有者可以讀寫及執(zhí)行

chmod u+rwx c.sh

設(shè)置文件 a.conf 與 b.xml 權(quán)限為擁有者與其所屬同一個群組 可讀寫，其它組可讀不可寫

chmod a+r,ug+w,o-w a.conf b.xml

設(shè)置當(dāng)前目錄下的所有檔案與子目錄皆設(shè)為任何人可讀寫

chmod -R a+rw *

數(shù)字權(quán)限使用格式

在這種使用方式中，首先我們需要了解數(shù)字如何表示權(quán)限。 首先，我們規(guī)定 數(shù)字 4 、2 和 1表示讀、寫、執(zhí)行權(quán)限（具體原因可見下節(jié)權(quán)限詳解內(nèi)容），即 r=4，w=2，x=1 。此時其他的權(quán)限組合也可以用其他的八進制數(shù)字表示出來，

如：

rwx = 4 + 2 + 1 = 7

rw = 4 + 2 = 6

rx = 4 +1 = 5

即

若要同時設(shè)置 rwx (可讀寫運行） 權(quán)限則將該權(quán)限位 設(shè)置 為 4 + 2 + 1 = 7

若要同時設(shè)置 rw- （可讀寫不可運行）權(quán)限則將該權(quán)限位 設(shè)置 為 4 + 2 = 6

若要同時設(shè)置 r-x （可讀可運行不可寫）權(quán)限則將該權(quán)限位 設(shè)置 為 4 +1 = 5

上面我們提到，每個文件都可以針對三個粒度，設(shè)置不同的rwx(讀寫執(zhí)行)權(quán)限。即我們可以用用三個8進制數(shù)字分別表示 擁有者 、群組 、其它組( u、 g 、o)的權(quán)限詳情，并用chmod直接加三個8進制數(shù)字的方式直接改變文件權(quán)限。語法格式為 ：

 chmod <abc> file…
 

其中

a,b,c各為一個數(shù)字，分別代表User、Group、及Other的權(quán)限。

相當(dāng)于簡化版的

chmod u=權(quán)限,g=權(quán)限,o=權(quán)限 file...

而此處的權(quán)限將用8進制的數(shù)字來表示User、Group、及Other的讀、寫、執(zhí)行權(quán)限

范例：

設(shè)置所有人可以讀寫及執(zhí)行

chmod 777 file  (等價于  chmod u=rwx,g=rwx,o=rwx file 或  chmod a=rwx file)

設(shè)置擁有者可讀寫，其他人不可讀寫執(zhí)行

chmod 600 file (等價于  chmod u=rw,g=---,o=--- file 或 chmod u=rw,go-rwx file )

更改文件擁有者（chown命令）

linux/Unix 是多人多工作業(yè)系統(tǒng)，每個的文件都有擁有者（所有者），如果我們想變更文件的擁有者（利用 chown 將文件擁有者加以改變），一般只有系統(tǒng)管理員(root)擁有此操作權(quán)限，而普通用戶則沒有權(quán)限將自己或者別人的文件的擁有者設(shè)置為別人。

語法格式：

chown [可選項] user[:group] file…

使用權(quán)限：root

說明：

[可選項] : 同上文chmod user : 新的文件擁有者的使用者  group : 新的文件擁有者的使用者群體(group)

范例：

設(shè)置文件 d.key、e.scrt的擁有者設(shè)為 users 群體的 tom

chown tom:users file d.key e.scrt

設(shè)置當(dāng)前目錄下與子目錄下的所有文件的擁有者為 users 群體的 James

chown -R James:users  *

二、Linux權(quán)限詳解

Linux系統(tǒng)上對文件的權(quán)限有著嚴(yán)格的控制，用于如果相對某個文件執(zhí)行某種操作，必須具有對應(yīng)的權(quán)限方可執(zhí)行成功。這也是Linux有別于Windows的機制，也是基于這個權(quán)限機制，Linux可以有效防止病毒自我運行，因為運行的條件是必須要有運行的權(quán)限，而這個權(quán)限在Linux是用戶所賦予的。

Linux的文件權(quán)限有以下設(shè)定：

Linux下文件的權(quán)限類型一般包括讀，寫，執(zhí)行。對應(yīng)字母為 r、w、x。

Linux下權(quán)限的屬組有 擁有者 、群組 、其它組 三種。每個文件都可以針對這三個屬組（粒度），設(shè)置不同的rwx(讀寫執(zhí)行)權(quán)限。

通常情況下，一個文件只能歸屬于一個用戶和組， 如果其它的用戶想有這個文件的權(quán)限，則可以將該用戶加入具備權(quán)限的群組，一個用戶可以同時歸屬于多個組。

如果我們要表示一個文件的所有權(quán)限詳情，有兩種方式：

第一種是十位二進制表示法 ，(三個屬組的每個權(quán)限使用一個二進制位，再加一個最高位共十位)，可簡化為三個八進制數(shù)字形式（如 755）

另外一種十二位二進制表示法(十二個二進制位)，可簡化為四個八進制數(shù)字形式（如4755）

十位權(quán)限表示

常見的權(quán)限表示形式有：

-rw------- (600)    只有擁有者有讀寫權(quán)限。
-rw-r--r-- (644)    只有擁有者有讀寫權(quán)限；而屬組用戶和其他用戶只有讀權(quán)限。
-rwx------ (700)    只有擁有者有讀、寫、執(zhí)行權(quán)限。
-rwxr-xr-x (755)    擁有者有讀、寫、執(zhí)行權(quán)限；而屬組用戶和其他用戶只有讀、執(zhí)行權(quán)限。
-rwx--x--x (711)    擁有者有讀、寫、執(zhí)行權(quán)限；而屬組用戶和其他用戶只有執(zhí)行權(quán)限。
-rw-rw-rw- (666)    所有用戶都有文件讀、寫權(quán)限。
-rwxrwxrwx (777)    所有用戶都有讀、寫、執(zhí)行權(quán)限。

后九位解析： 我們知道Linux權(quán)限總共有三個屬組，這里我們給每個屬組使用三個位置來定義三種操作（讀、寫、執(zhí)行）權(quán)限，合起來則是權(quán)限的后九位。 上面我們用字符表示權(quán)限，其中 -代表無權(quán)限，r代表讀權(quán)限，w代表寫權(quán)限，x代表執(zhí)行權(quán)限。（后九位的前3位對應(yīng)擁有者權(quán)限、4-6位對應(yīng)群組權(quán)限、7-9對應(yīng)其他組權(quán)限）

實際上，后九位每個位置的意義（代表某個屬組的某個權(quán)限）都是固定的，如果我們將各個位置權(quán)限的有無用二進制數(shù) 1和 0來代替，則只讀、只寫、只執(zhí)行權(quán)限，可以用三位二進制數(shù)表示為

r-- = 100
-w- = 010
--x = 001
--- = 000

轉(zhuǎn)換成八進制數(shù)，則為 r=4, w=2, x=1, -=0（這也就是用數(shù)字設(shè)置權(quán)限時為何是4代表讀，2代表寫，1代表執(zhí)行）

實際上，我們可以將所有的權(quán)限用二進制形式表現(xiàn)出來，并進一步轉(zhuǎn)變成八進制數(shù)字：

rwx = 111 = 7
rw- = 110 = 6
r-x = 101 = 5
r-- = 100 = 4
-wx = 011 = 3
-w- = 010 = 2
--x = 001 = 1
--- = 000 = 0

由上可以得出，每個屬組的所有的權(quán)限都可以用一位八進制數(shù)表示，每個數(shù)字都代表了不同的權(quán)限（權(quán)值）。如 最高的權(quán)限為是7，代表可讀，可寫，可執(zhí)行。

故 如果我們將每個屬組的權(quán)限都用八進制數(shù)表示，則文件的權(quán)限可以表示為三位八進制數(shù)

-rw------- =  600
-rw-rw-rw- =  666
-rwxrwxrwx =  777

關(guān)于第一位最高位的解釋： 上面我們說到了權(quán)限表示中后九位的含義，剩下的第一位代表的是文件的類型，類型可以是下面幾個中的一個：

d代表的是目錄(directroy)

-代表的是文件(regular file)

s代表的是套字文件(socket)

p代表的管道文件(pipe)或命名管道文件(named pipe)

l代表的是符號鏈接文件(symbolic link)

b代表的是該文件是面向塊的設(shè)備文件(block-oriented device file)

c代表的是該文件是面向字符的設(shè)備文件(charcter-oriented device file)

十二位權(quán)限（Linux附加權(quán)限）

附加權(quán)限相關(guān)概念

linux除了設(shè)置正常的讀寫操作權(quán)限外，還有關(guān)于一類設(shè)置也是涉及到權(quán)限，叫做Linxu附加權(quán)限。包括 SET位權(quán)限（suid，sgid）和粘滯位權(quán)限（sticky）。

SET位權(quán)限：

suid/sgid是為了使“沒有取得特權(quán)用戶要完成一項必須要有特權(quán)才可以執(zhí)行的任務(wù)”而產(chǎn)生的。

一般用于給可執(zhí)行的程序或腳本文件進行設(shè)置，其中SUID表示對屬主用戶增加SET位權(quán)限，SGID表示對屬組內(nèi)用戶增加SET位權(quán)限。

執(zhí)行文件被設(shè)置了SUID、SGID權(quán)限后，任何用戶執(zhí)行該文件時，將獲得該文件屬主、屬組賬號對應(yīng)的身份。

suid(set User ID,set UID)的意思是進程執(zhí)行一個文件時通常保持進程擁有者的UID。然而，如果設(shè)置了可執(zhí)行文件的suid位，進程就獲得了該文件擁有者的UID。

sgid(set Group ID,set GID)意思也是一樣，只是把上面的進程擁有者改成了文件擁有組（group）。

在許多場景下，使用suid 和 sgid 非常實用，但是不恰當(dāng)?shù)厥褂眠@些權(quán)限可能為系統(tǒng)帶來安全風(fēng)險。所以應(yīng)該盡量避免使用SET位權(quán)限程序。（passwd 命令是為數(shù)不多的必須要使用“suid”的命令之一）。

SET位權(quán)限表示形式（10位權(quán)限）：

如果一個文件被設(shè)置了suid或sgid位，會分別表現(xiàn)在所有者或同組用戶的權(quán)限的可執(zhí)行位上；如果文件設(shè)置了suid還設(shè)置了x（執(zhí)行）位，則相應(yīng)的執(zhí)行位表示為s(小寫)。但是，如果沒有設(shè)置x位，它將表示為S(大寫)。如：

1、-rwsr-xr-x 表示設(shè)置了suid，且擁有者有可執(zhí)行權(quán)限
2、-rwSr--r-- 表示suid被設(shè)置，但擁有者沒有可執(zhí)行權(quán)限
3、-rwxr-sr-x 表示sgid被設(shè)置，且群組用戶有可執(zhí)行權(quán)限
4、-rw-r-Sr-- 表示sgid被設(shè)置，但群組用戶沒有可執(zhí)行權(quán)限

設(shè)置方式：

SET位權(quán)限可以通過chmod命令設(shè)置，給文件加suid和sgid的命令如下(類似于上面chmod賦予一般權(quán)限的命令)：

chmod u+s filename     設(shè)置suid位
chmod u-s filename     去掉suid設(shè)置
chmod g+s filename     設(shè)置sgid位
chmod g-s filename     去掉sgid設(shè)置

粘滯位權(quán)限：

粘滯位權(quán)限即sticky。一般用于為目錄設(shè)置特殊的附加權(quán)限，當(dāng)目錄被設(shè)置了粘滯位權(quán)限后，即便用戶對該目錄有寫的權(quán)限，也不能刪除該目錄中其他用戶的文件數(shù)據(jù)。設(shè)置了粘滯位權(quán)限的目錄，是用ls查看其屬性時，其他用戶權(quán)限處的x將變?yōu)閠。 使用chmod命令設(shè)置目錄權(quán)限時，+t、-t權(quán)限模式可分別用于添加、移除粘滯位權(quán)限。

粘滯位權(quán)限表示形式（10位權(quán)限）：

一個文件或目錄被設(shè)置了粘滯位權(quán)限，會表現(xiàn)在其他組用戶的權(quán)限的可執(zhí)行位上。如果文件設(shè)置了sticky還設(shè)置了x（執(zhí)行）位，其他組用戶的權(quán)限的可執(zhí)行位為t(小寫)。但是，如果沒有設(shè)置x位，它將表示為T(大寫)。如：

1、-rwsr-xr-t 表示設(shè)置了粘滯位且其他用戶組有可執(zhí)行權(quán)限
2、-rwSr--r-T 表示設(shè)置了粘滯位但其他用戶組沒有可執(zhí)行權(quán)限

設(shè)置方式：

sticky權(quán)限同樣可以通過chmod命令設(shè)置：

chmod +t <文件列表..>

十二位的權(quán)限表示方法
附加權(quán)限除了用十位權(quán)限形式表示外，還可以用用十二位字符表示。

11 10 9 8 7 6 5 4 3 2 1 0
S  G  T r w x r w x r w x

SGT分別表示SUID權(quán)限、SGID權(quán)限、和 粘滯位權(quán)限，這十二位分別對應(yīng)關(guān)系如下：

第11位為SUID位，第10位為SGID位，第9位為sticky位，第8-0位對應(yīng)于上面的三組rwx位（后九位）。

在這十二位的每一位上都置值。如果有相應(yīng)的權(quán)限則為1， 沒有此權(quán)限則為0。

-rw-r-Sr-- 的值為： 0 1 0  1 1 0  1 0 0  1 0 0
-rwsr-xr-x 的值為： 1 0 0  1 1 1  1 0 1  1 0 1
-rwsr-sr-x 的值為： 1 1 0  1 1 1  1 0 1  1 0 1 
-rwsr-sr-t 的值為： 1 1 1  1 1 1  1 0 1  1 0 1

如果將則前三位SGT也轉(zhuǎn)換成一個二進制數(shù)，則

suid 的八進制數(shù)字是4

sgid 的代表數(shù)字是 2

sticky 位代表數(shù)字是1

這樣我們就可以將十二位權(quán)限三位三位的轉(zhuǎn)化為4個八進制數(shù)。其中

最高的一位八進制數(shù)就是suid，sgdi，sticky的權(quán)值。

第二位為 擁有者的權(quán)值

第三位為 所屬組的權(quán)值

最后一位為 其他組的權(quán)值

附加權(quán)限的八進制形式

通過上面，我們知道，正常權(quán)限和附加權(quán)限可以用4位八進制數(shù)表示。類似于正常權(quán)限的數(shù)字權(quán)限賦值模式（使用三位八進制數(shù)字賦值）

chmod <abc> file…

我們可以進一步使用4位八進制數(shù)字同時賦值正常權(quán)限和附加權(quán)限。

chmod <sabc> file…

其中s是表示附加權(quán)限的把八進制數(shù)字，abc與之前一致，分別是對應(yīng)User、Group、及Other（擁有者、群組、其他組）的權(quán)限。因為SUID對應(yīng)八進制數(shù)字是4，SGID對于八進制數(shù)字是2，則“4755”表示設(shè)置SUID權(quán)限，“6755”表示同時設(shè)置SUID、SGID權(quán)限。

我們進一步將上小節(jié)的例子中的二進制數(shù)轉(zhuǎn)變?yōu)榘诉M制表示形式，則

-rw-r-Sr-- = 0 1 0 1 1 0 1 0 0 1 0 0 = 2644 
-rwsr-xr-x = 1 0 0 1 1 1 1 0 1 1 0 1 = 4755
-rwsr-sr-x = 1 1 0 1 1 1 1 0 1 1 0 1 = 6755
-rwsr-sr-t = 1 1 1 1 1 1 1 0 1 1 0 1 = 7755

對比范例：

設(shè)置 netlogin 的權(quán)限為擁有者可讀寫執(zhí)行，群組和其他權(quán)限為可讀可執(zhí)行

chmod 755 netlogin

設(shè)置 netlogin 的權(quán)限為擁有者可讀寫執(zhí)行，群組和其他權(quán)限為可讀可執(zhí)行，并且設(shè)置suid

chmod 4755 netlogin

chmod 4755與chmod 755對比多了附加權(quán)限值4，這個4表示其他用戶執(zhí)行文件時，具有與所有者同樣的權(quán)限（設(shè)置了SUID）。

 為什么要設(shè)置4755 而不是 755？ 

 假設(shè)netlogin是root用戶創(chuàng)建的一個上網(wǎng)認證程序，如果其他用戶要上網(wǎng)也要用到這個程序，那就需要root用戶運行chmod 755 netlogin命令使其他用戶也能運行netlogin。但假如netlogin執(zhí)行時需要訪問一些只有root用戶才有權(quán)訪問的文件，那么其他用戶執(zhí)行netlogin時可能因為權(quán)限不夠還是不能上網(wǎng)。這種情況下，就可以用 chmod 4755 netlogin 設(shè)置其他用戶在執(zhí)行netlogin也有root用戶的權(quán)限，從而順利上網(wǎng)。

相信通過以上Linux命令的詳細介紹，你以后也知道如何在linux系統(tǒng)下設(shè)置文件、文件夾權(quán)限了。