Linux权限详解

权限简介

Linux下权限的粒度有 拥有者 、群组 、其它组 三种。

每个文件都可以针对三个粒度，设置不同的rwx(读写执行)权限。

通常情况下，一个文件只能归属于一个用户和组， 如果其它的用户想有这个文件的权限，则可以将该用户加入具备权限的群组，一个用户可 以同时归属于多个组。

chown命令

更改文件权限

通常我们使用chmod命令对文件的权限进行设置和更改

一般使用格式

chmod [可选项] <mode> <file…>

#参数说明：

[可选项]
-c, --changes           #若该档案权限确实已经更改，才显示其更改动作
-f, --silent, --quiet   #若该档案权限无法被更改也不要显示错误讯息
-v, --verbose           #显示权限变更的详细资料
     --no-preserve-root #不对“/”进行特殊处理（默认设置）
     --preserve-root    #无法在“/”上递归操作
     --reference=RFILE  #使用 RFILE 的模式，而非 MODE 值
-R, --recursive         #以递归的方式对目前目录下的所有档案与子目录进行相同的权限变更
     --help		      #显示此帮助信息
     --version		  #显示版本信息
[mode] 
#权限设定字串，详细格式如下 ：
 [ugoa...][[+-=][rwxX]...][,...]，

 #其中
 [ugoa...]
 u 表示该档案的拥有者，g 表示拥有者属于同一个组(group)者，o 表示其他用户，a 表示所有（包含上面三者）。
 [+-=]
 + 表示增加权限，- 表示取消权限，= 表示唯一设定权限。
 [rwxX]
 r 表示可读取，w 表示可写入，x 表示可执行，X 表示只有当该档案是个子目录或者该档案已经被设定过为可执行。
 	
[file...]
 文件列表（单个或者多个文件、文件夹）

示例:

设置所有用户可读取文件 a.conf

chmod ugo+r a.conf 
或 
chmod a+r  a.conf

设置 c.sh 只有 拥有者可以读写及执行

chmod u+rwx c.sh

设置文件 a.conf 与 b.xml 权限为拥有者与其所属同一个群组 可读写，其它组可读不可写

chmod a+r,ug+w,o-w a.conf b.xml

设置当前目录下的所有档案与子目录皆设为任何人可读写

chmod -R a+rw *

数字权限使用格式

在这种使用方式中，首先我们需要了解数字如何表示权限。 首先，我们规定 数字 4 、2 和 1表示读、写、执行权限（具体原因可见下节权限详解内容），即 r=4，w=2，x=1 。此时其他的权限组合也可以用其他的八进制数字表示出来，

如：

#读写执行      rwx
rwx = 4 + 2 + 1 = 7
#读写不可执行   rw-
rw = 4 + 2 = 6
#只读执行不可写  r-x
rx = 4 +1 = 5

上面我们提到，每个文件都可以针对三个粒度，设置不同的rwx(读写执行)权限。

即我们可以用用三个8进制数字分别表示 拥有者 、群组 、其它组( u、 g 、o)的权限详情，并用chmod直接加三个8进制数字的方式直接改变文件权限。语法格式为 ：

chmod <abc> file…
#其中a,b,c各为一个数字，分别代表User、Group、及Other的权限。
#u表示该档案的拥有者，g 表示拥有者属于同一个组(group)者，o 表示其他用户
#相当于简化版的
chmod u=权限,g=权限,o=权限 file...
#而此处的权限将用8进制的数字来表示User、Group、及Other的读、写、执行权限

示例:

设置所有人可以读写及执行

chmod 777 file (等于chmod u=rwx,g=rwx,o=rwx file 或 chmod a=rwx file)

设置拥有者可读写，其他人不可读写执行

chmod 600 file (等于chmod u=rw,g=---,o=--- file 或 chmod u=rw,go-rwx file )

chown命令

更改文件拥有者

语法格式：

chown [可选项] user[:group] file…

#使用权限：root
#说明：
#[可选项] : 同上文chmod user : 新的文件拥有者的使用者,group : 新的文件拥有者的使用者群组(group)
chmod 用户名:组名  文件flile

示例:

设置文件 d.int、e.int的拥有者设为 users 组为 config

chown users:config d.int e.int

设置当前目录下与子目录下的所有文件的拥有者为 users 组为 config

chown -R users:config *

只更改所有者

chown users file.txt

同时更改所有者和组

chown username:groupname filename
chown john:developers script.sh

只更改组（所有者前留空）

chown :groupname filename
chown :staff document.txt

使用数字ID

chown 1000:1000 filename    # 用户ID 1000，组ID 1000
chown 1001 filename         # 只更改用户ID

十位权限表示

常见的权限表示形式有：

-rw------- (600)    只有拥有者有读写权限。
-rw-r--r-- (644)    只有拥有者有读写权限；而属组用户和其他用户只有读权限。
-rwx------ (700)    只有拥有者有读、写、执行权限。
-rwxr-xr-x (755)    拥有者有读、写、执行权限；而属组用户和其他用户只有读、执行权限。
-rwx--x--x (711)    拥有者有读、写、执行权限；而属组用户和其他用户只有执行权限。
-rw-rw-rw- (666)    所有用户都有文件读、写权限。
-rwxrwxrwx (777)    所有用户都有读、写、执行权限。

后九位解析： 我们知道Linux权限总共有三个属组，这里我们给每个属组使用三个位置来定义三种操作（读、写、执行）权限，合起来则是权限的后九位。 上面我们用字符表示权限，其中 -代表无权限，r代表读权限，w代表写权限，x代表执行权限。（后九位的前3位对应拥有者权限、4-6位对应群组权限、7-9对应其他组权限）

实际上，后九位每个位置的意义（代表某个属组的某个权限）都是固定的，如果我们将各个位置权限的有无用二进制数 1和 0来代替，则只读、只写、只执行权限，可以用三位二进制数表示为

r-- = 100
-w- = 010
--x = 001
--- = 000

转换成八进制数，则为 r=4, w=2, x=1, -=0（这也就是用数字设置权限时为何是4代表读，2代表写，1代表执行）

实际上，我们可以将所有的权限用二进制形式表现出来，并进一步转变成八进制数字：

rwx = 111 = 7
rw- = 110 = 6
r-x = 101 = 5
r-- = 100 = 4
-wx = 011 = 3
-w- = 010 = 2
--x = 001 = 1
--- = 000 = 0

由上可以得出，每个属组的所有的权限都可以用一位八进制数表示，每个数字都代表了不同的权限（权值）。如 最高的权限为是7，代表可读，可写，可执行。

故 如果我们将每个属组的权限都用八进制数表示，则文件的权限可以表示为三位八进制数

-rw------- =  600
-rw-rw-rw- =  666
-rwxrwxrwx =  777

关于第一位最高位的解释： 上面我们说到了权限表示中后九位的含义，剩下的第一位代表的是文件的类型，类型可以是下面几个中的一个：

d #代表的是目录(directroy)
- #代表的是文件(regular file)
s #代表的是套字文件(socket)
p #代表的管道文件(pipe)或命名管道文件(named pipe)
l #代表的是符号链接文件(symbolic link)
b #代表的是该文件是面向块的设备文件(block-oriented device file)
c #代表的是该文件是面向字符的设备文件(charcter-oriented device file)

十二位权限（Linux附加权限）

附加权限相关概念

linux除了设置正常的读写操作权限外，还有关于一类设置也是涉及到权限，叫做Linxu附加权限。包括 SET位权限（suid，sgid）和粘滞位权限（sticky）。

SET位权限：

suid/sgid是为了使“没有取得特权用户要完成一项必须要有特权才可以执行的任务”而产生的。

一般用于给可执行的程序或脚本文件进行设置，其中SUID表示对属主用户增加SET位权限，SGID表示对属组内用户增加SET位权限。

执行文件被设置了SUID、SGID权限后，任何用户执行该文件时，将获得该文件属主、属组账号对应的身份。

• suid(set User ID,set UID)的意思是进程执行一个文件时通常保持进程拥有者的UID。然而，如果设置了可执行文件的suid位，进程就获得了该文件拥有者的UID。
• sgid(set Group ID,set GID)意思也是一样，只是把上面的进程拥有者改成了文件拥有组（group）。

在许多场景下，使用suid 和 sgid 非常实用，但是不恰当地使用这些权限可能为系统带来安全风险。所以应该尽量避免使用SET位权限程序。（passwd 命令是为数不多的必须要使用“suid”的命令之一）。

SET位权限表示形式（10位权限）：

如果一个文件被设置了suid或sgid位，会分别表现在所有者或同组用户的权限的可执行位上；如果文件设置了suid还设置了x（执行）位，则相应的执行位表示为s(小写)。但是，如果没有设置x位，它将表示为S(大写)。如：

1、-rwsr-xr-x #表示设置了suid，且拥有者有可执行权限
2、-rwSr--r-- #表示suid被设置，但拥有者没有可执行权限
3、-rwxr-sr-x #表示sgid被设置，且群组用户有可执行权限
4、-rw-r-Sr-- #表示sgid被设置，但群组用户没有可执行权限

设置方式：

SET位权限可以通过chmod命令设置，给文件加suid和sgid的命令如下(类似于上面chmod赋予一般权限的命令)：

chmod u+s filename 	#设置suid位
chmod u-s filename 	#去掉suid设置
chmod g+s filename 	#设置sgid位
chmod g-s filename 	#去掉sgid设置

粘滞位权限：

粘滞位权限即sticky。一般用于为目录设置特殊的附加权限，当目录被设置了粘滞位权限后，即便用户对该目录有写的权限，也不能删除该目录中其他用户的文件数据。设置了粘滞位权限的目录，是用ls查看其属性时，其他用户权限处的x将变为t。 使用chmod命令设置目录权限时，+t、-t权限模式可分别用于添加、移除粘滞位权限。

粘滞位权限表示形式（10位权限）：

一个文件或目录被设置了粘滞位权限，会表现在其他组用户的权限的可执行位上。如果文件设置了sticky还设置了x（执行）位，其他组用户的权限的可执行位为t(小写)。但是，如果没有设置x位，它将表示为T(大写)。如：

1、-rwsr-xr-t #表示设置了粘滞位且其他用户组有可执行权限
2、-rwSr--r-T #表示设置了粘滞位但其他用户组没有可执行权限

设置方式：

sticky权限同样可以通过chmod命令设置：

chmod +t <文件列表..> 

十二位的权限表示方法

附加权限除了用十位权限形式表示外，还可以用用十二位字符表示。

11 10 9 8 7 6 5 4 3 2 1 0
S  G  T r w x r w x r w x

SGT分别表示SUID权限、SGID权限、和 粘滞位权限，这十二位分别对应关系如下：

第11位为SUID位，第10位为SGID位，第9位为sticky位，第8-0位对应于上面的三组rwx位（后九位）。

在这十二位的每一位上都置值。如果有相应的权限则为1， 没有此权限则为0。

-rw-r-Sr-- 的值为： 0 1 0  1 1 0  1 0 0  1 0 0
-rwsr-xr-x 的值为： 1 0 0  1 1 1  1 0 1  1 0 1
-rwsr-sr-x 的值为： 1 1 0  1 1 1  1 0 1  1 0 1 
-rwsr-sr-t 的值为： 1 1 1  1 1 1  1 0 1  1 0 1

如果将则前三位SGT也转换成一个二进制数，则

• suid 的八进制数字是4
• sgid 的代表数字是 2
• sticky 位代表数字是1

这样我们就可以将十二位权限三位三位的转化为4个八进制数。其中

• 最高的一位八进制数就是suid，sgdi，sticky的权值。
• 第二位为 拥有者的权值
• 第三位为 所属组的权值
• 最后一位为 其他组的权值

附加权限的八进制形式

通过上面，我们知道，正常权限和附加权限可以用4位八进制数表示。类似于正常权限的数字权限赋值模式（使用三位八进制数字赋值）

chmod <abc> file… 

我们可以进一步使用4位八进制数字同时赋值正常权限和附加权限。

chmod <sabc> file… 

其中s是表示附加权限的把八进制数字，abc与之前一致，分别是对应User、Group、及Other（拥有者、群组、其他组）的权限。因为SUID对应八进制数字是4，SGID对于八进制数字是2，则“4755”表示设置SUID权限，“6755”表示同时设置SUID、SGID权限。

我们进一步将上小节的例子中的二进制数转变为八进制表示形式，则

-rw-r-Sr-- = 0 1 0 1 1 0 1 0 0 1 0 0 = 2644 
-rwsr-xr-x = 1 0 0 1 1 1 1 0 1 1 0 1 = 4755
-rwsr-sr-x = 1 1 0 1 1 1 1 0 1 1 0 1 = 6755
-rwsr-sr-t = 1 1 1 1 1 1 1 0 1 1 0 1 = 7755

对比范例：

设置 netlogin 的权限为拥有者可读写执行，群组和其他权限为可读可执行

chmod 755 netlogin

设置 netlogin 的权限为拥有者可读写执行，群组和其他权限为可读可执行，并且设置suid

chmod 4755 netlogin

chmod 4755与chmod 755对比多了附加权限值4，这个4表示其他用户执行文件时，具有与所有者同样的权限（设置了SUID）。

为什么要设置4755 而不是 755？ 假设netlogin是root用户创建的一个上网认证程序，如果其他用户要上网也要用到这个程序，那就需要root用户运行chmod 755 netlogin命令使其他用户也能运行netlogin。但假如netlogin执行时需要访问一些只有root用户才有权访问的文件，那么其他用户执行netlogin时可能因为权限不够还是不能上网。这种情况下，就可以用 chmod 4755 netlogin 设置其他用户在执行netlogin也有root用户的权限，从而顺利上网。

chmod 4755 的权限位由四位组成第一位的 "4"就是关键所在。它代表设置了SUID 位。

当一个可执行文件被设置 SUID 位后任何用户在执行该文件时，都会临时获得该文件所有者的权限，而不是执行者自身的权限。