Linux文件权限常用命令

1. 权限概述

1.1 权限定义

权限：在计算机系统中，权限是指某个计算机用户具有使用软件资源的权利。

计算机资源分为：

• 硬件资源： 硬盘、CPU、内存、网卡等物理硬件资源

• 软件资源：

  软件：操作系统(特殊的软件)、应用程序。只要不启动，这些软件就是一堆静态的文件，并且静静的躺在我们计算机的磁盘中。
  

  软件资源：Linux系统中，一切皆文件！SO，这里的软件资源就是文件资源。

我们今天所讲的权限，指的就是：文件资源所拥有的相关权限，即文件权限。

1.2 权限设置目的

文件权限的设置目的：是想让某个用户（Linux操作系统中的用户）有权利操作文件

1.3 文件权限的分类

• 普通权限：用户正常情况去操作文件所具有的权限

• 高级权限：用户对某个文件操作有特殊需求，而普通权限不能满足，需要给文件设置高级权限

• 默认权限：用户在系统中创建一个文件，该文件默认都会有一个权限，该权限是默认有的

注意：

权限是设置在文件上的，而不是用户；设置权限目的是让相应的人（用户）去操作相应的文件

2. 普通权限

2.1 理解普通权限rwx含义

• 读权限—r(read)

针对目录：一个目录拥有r权限，说明可以查看该目录里的内容（ls命令列出）

针对普通文件：一个普通文件拥有r权限，说明可以查看该文件的内容(cat/head/tail/less/more等命令查看)

读权限r（read）用数字表示：4

• 写权限—w(write)

针对目录：一个目录拥有w权限，说明可以在该目录里创建、删除、重命名等操作（mkdir/touch/mv/rm等）

针对普通文件：一个普通文件拥有w权限，说明可以修改该文件的内容（vi/vim编辑器编辑文件）

写权限w（write）用数字表示：2

• 执行权限—x(execute)

针对目录：一个目录拥有x权限，说明可以进入或切换到该目录里（cd命令）

针对普通文件：一个普通文件拥有x权限，说明可以执行该文件（一般程序文件、脚本文件、命令都需要执行权限）

执行权限x（execute）用数字表示：1

• 没有权限—横杠 -

没有任何权限用横杠-表示，数字表示：0

2.2 理解UGO的含义

UGO指的是什么

UGO，指的是用户身份，每个字母代表不同的用户身份。

• U（the user who owns it）

文件的拥有者(owner)或者创建者

• G（other users in the file’s group）

在文件的所属组（默认是创建文件的用户的主组）里的用户

• O（other users not in the file’s group）

既不是文件的创建者，也不在文件属组里的用户，称为其他人

注意：

除了上面ugo以外，还有一个字母a（all users）,表示所有用户，包含ugo

2.3 判断用户对文件的权限

2.4 修改文件普通权限

chmod命令用法

chmod [选项] 模式 文件名
常见选项：
-R, --recursive 递归更改目录和目录里文件的权限 

示例——通过字母形式更改文件权限

u:表示文件拥有者
g:表示文件属组里的用户
o:表示其他人，即不是文件的创建者，也不在文件属组里
a:表示所有人


# 环境准备
[root@ljy ~]# mkdir /tmp/dir1
[root@ljy ~]# touch /tmp/dir1/file{1..5}
[root@ljy ~]# touch /tmp/test{1..3}
[root@ljy ~]# ll /tmp/ -R


[root@ljy tmp]# pwd
/tmp
[root@ljy tmp]# ll test1
-rw-r--r--. 1 root root 0 Mar 6 20:45 test1
[root@ljy tmp]# chmod u+x test1
[root@ljy tmp]# ll test1
-rwxr--r--. 1 root root 0 Mar 6 20:45 test1
[root@ljy tmp]# chmod g+w test1
[root@ljy tmp]# ll test1
-rwxrw-r--. 1 root root 0 Mar 6 20:45 test1
[root@ljy tmp]# chmod o-r test1
[root@ljy tmp]# ll test1
-rwxrw----. 1 root root 0 Mar 6 20:45 test1


[root@ljy tmp]# ll test2
-rw-r--r--. 1 root root 0 Mar 6 20:45 test2
[root@ljy tmp]# chmod a+x test2
[root@ljy tmp]# ll test2
-rwxr-xr-x. 1 root root 0 Mar 6 20:45 test2


[root@ljy tmp]# ll test3
-rw-r--r--. 1 root root 0 Mar 6 20:45 test3
[root@ljy tmp]# chmod u+x,g+w,o-r test3
[root@ljy tmp]# ll test3
-rwxrw----. 1 root root 0 Mar 6 20:45 test3
[root@ljy tmp]# chmod u=rw,g=rx,o+r test3
[root@ljy tmp]# ll test3
-rw-r-xr--. 1 root root 0 Mar 6 20:45 test3


修改目录的权限：
[root@ljy tmp]# ll -d dir1/
drwxr-xr-x. 2 root root 4096 Mar 6 20:45 dir1/
[root@ljy tmp]# ll dir1/
total 0
-rw-r--r--. 1 root root 0 Mar 6 20:45 file1
-rw-r--r--. 1 root root 0 Mar 6 20:45 file2
-rw-r--r--. 1 root root 0 Mar 6 20:45 file3
-rw-r--r--. 1 root root 0 Mar 6 20:45 file4
-rw-r--r--. 1 root root 0 Mar 6 20:45 file5
1.只修改目录本身的权限
[root@ljy tmp]# chmod g+w dir1/
[root@ljy tmp]# ll -d dir1/
drwxrwxr-x. 2 root root 4096 Mar 6 20:45 dir1/
[root@ljy tmp]# ll dir1/
total 0
-rw-r--r--. 1 root root 0 Mar 6 20:45 file1
-rw-r--r--. 1 root root 0 Mar 6 20:45 file2
-rw-r--r--. 1 root root 0 Mar 6 20:45 file3
-rw-r--r--. 1 root root 0 Mar 6 20:45 file4
-rw-r--r--. 1 root root 0 Mar 6 20:45 file5
说明：目录下面文件的权限并没有修改


2.修改目录以及目录里所有文件的权限（递归修改），使用-R参数
[root@ljy tmp]# chmod -R o+w dir1/
[root@ljy tmp]# ll -d dir1/
drwxrwxrwx. 2 root root 4096 Mar 6 20:45 dir1/
[root@ljy tmp]# ll dir1/
total 0
-rw-r--rw-. 1 root root 0 Mar 6 20:45 file1
-rw-r--rw-. 1 root root 0 Mar 6 20:45 file2
-rw-r--rw-. 1 root root 0 Mar 6 20:45 file3
-rw-r--rw-. 1 root root 0 Mar 6 20:45 file4
-rw-r--rw-. 1 root root 0 Mar 6 20:45 file5 

示例——通过数字形式更改文件权限

字母和数字对应关系：
r—— 4
w—— 2
x—— 1
-—— 0
rw- r-x r-- 用数字表示就是654
rwx rw- --- 用数字表示就是760
755 用字母表示就是rwx r-x r-x
644 用字母表示就是rw- r-- r--


# chmod 644 file1 rw-r--r--
# chmod 700 file2
# chmod -R 755 dir1 

2.5 总结

普通权限当中rwx含义

目录：r（ls列出目录内容），w（创建、删除、重命名等操作），x（cd进入目录）

文件：r（cat等相关工具查看文件内容），w（修改文件内容），x（可执行，程序，脚本文件等）

理解用户身份（UGO）

U：文件的拥有者（创建）

G：文件所属组里成员

O：陌生人（其他人）

如何设置文件的权限？——>chmod命令

• 用字母形式

chmod u+x,g=rw,o-x filename

• 数字形式

r——>4
w——>2
x——>1
-——>0
rw- r-x r--  = 654
chmod 755 filename rwx r-x r-x 

是否可以在目录里创建或删除文件？看当前目录本身是否有w权限！！

对于正常操作目录而言，一般都会具有r和x权限

3. 文件的属主和属组

3.1 查看文件的属主和属组

查看组信息

grep 组信息 /etc/group

3.2 修改文件的属主和属组

前提：用户及组必须存在

chown命令修改，既可以修改文件的属主，也可以修改文件的属组

只修改文件的属主
# chown 用户名 文件名

修改文件的属主和属组
# chown 用户名.组名 文件名
# chown 用户名:组名 文件名
# chown 用户名. 文件名 //没有指定组名，默认是用户的主组

只修改文件的属组
# chown .组名 文件名
# chown :组名 文件名
可以加-R选项，表示递归修改 

chgrp命令修改 只能修改文件的属组

# chgrp 组名 文件名 

4. 高级权限

李大毛：file1——》属主和属组是李大毛

王二狗：使用vim编辑器修改李大毛的文件file1

4.1、冒险位(SETUID)

冒险位，指文件操作者(用户)临时拥有文件拥有者的权限

冒险位，一般针对的是命令或者脚本文件

冒险位，用字母表示是s或S；数字表示是4

冒险位的设置：chmod u+s 文件名 或者 chmod 4xxx 文件名

示例

需求：
给一个vim命令设置冒险位，目的是任何人拿vim去修改文件可以临时获得文件拥有者的权限
[root@heima tmp]# which vim
/usr/bin/vim
[root@heima tmp]# ll /usr/bin/vim
-rwxr-xr-x. 1 root root 2324712 Dec 22 2016 /usr/bin/vim
[root@heima tmp]# chmod u+s /usr/bin/vim
或者
[root@heima tmp]# chmod 4755 /usr/bin/vim
[root@heima tmp]# ll /usr/bin/vim
-rwsr-xr-x. 1 root root 2324712 Dec 22 2016 /usr/bin/vim
测试验证，普通用户使用vim修改一个本没有权限修改的文件：
[root@heima tmp]# ll /etc/passwd
-rw-r--r--. 1 root root 1650 Mar 5 20:39 /etc/passwd
[root@heima tmp]# su - user01
[user01@localhost ~]$ vim /etc/passwd
验证是否可以修改成功，如果可以，说明user01用户临时拥有了/etc/passwd文件拥有者的权限

4.2、强制位(SETGID)

强制位，一般针对的是目录

如果一个目录拥有强制位，那么任何用户在该目录里所创建的任何文件的属组都会继承该目录的属组。/dir1----

admin yunwei—>/dir1/file1

强制位，用字母表示是s或S；数字表示是2

强制位的设置： chmod g+s 文件名 或者 chmod 2xxx 文件名

示例

需求：
给目录dir2设置一个强制位，测试是否任何人在该目录里创建的文件属组都是该目录的属组
[root@heima tmp]# ll -d dir2
drwxr-xr-x. 2 root root 4096 Mar 6 13:42 dir2
给dir2增加强制位：
[root@heima tmp]# chmod g+s dir2
给dir2目录设置权限，让其他人可以写
[root@heima tmp]# chmod o+w dir2
[root@heima tmp]# ll -d dir2
drwxr-srwx. 2 root root 4096 Mar 6 13:42 dir2
测试普通用户user01在dir2目录里创建文件的属组是否是dir2的属组
[root@heima tmp]# su - user01
[user01@localhost ~]$ touch /tmp/dir2/file1
[user01@localhost ~]$ ll /tmp/dir2/file1
-rw-rw-r--. 1 user01 root 0 Mar 6 13:44 /tmp/dir2/file1 

4.3、粘滞位(STICKY)

粘滞位，一般针对的是公共目录

如果一个公共目录拥有粘滞位，那么该目录下的文件，只有root和文件的创建者可以删除，其他人只能自己管

理自己。（A用户不能删除B用户创建的文件）

控制删除！针对公共目录——》任何人都可以使用

粘滞位，用字母表示是t或T；数字表示是1

粘滞位的设置： chmod o+t 文件名 或者 chmod 1xxx 文件名

示例

需求：
在创建一个公共目录/tmp/dir3,要求所有人都可以在该公共目录里创建、删除文件；但是只能自己管理自己，不能删除别人
的文件
[root@localhost ~]# mkdir /tmp/dir3
[root@localhost ~]# chmod 777 /tmp/dir3
[root@localhost ~]# chmod o+t /tmp/dir3
或者一步到位：
[root@localhost ~]# chmod 1777 /tmp/dir3
[root@localhost ~]# ll -d /tmp/dir3
drwxrwxrwt. 2 root root 4096 Mar 6 13:52 /tmp/dir3
测试验证：
自己完成 

4.4 总结

高级权限分类

• 冒险位——>针对命令 s/S 4 chmod u+s 命令文件

• 强制位——>针对目录 s/S 2 chmod g+s 目录

• 粘滞位——>针对公共目录 t/T 1 chmod o+t 公共目录

高级权限设置

chmod 4xxx 文件名
chmod 2xxx 目录名
chmod 1777 公共目录

5. 默认权限

 5.1  文件的默认权限

所谓文件的默认权限(遮罩权限)，是指用户创建文件后，文件天生就有的权限，不需要设置。

5.2 文件默认权限由谁控制

文件默认权限由一个叫做umask的东西来控制。

5.3 umask如何控制文件默认权限

临时控制：指的是用命令 umask 临时设置，只在当前终端当前进程中生效

查看当前用户的umask：
[root@localhost ~]# umask
0022
[root@localhost ~]# su - user01
[user01@localhost ~]$ umask
0002
注意：
1. 管理员和普通用户的umask不同，就表示管理员和普通用户创建的文件的默认权限不同！
2. 第1位数字表示高级权限；后面3位数字表示普通权限 

设置用户零时的umask

Linux系统中，默认创建目录的最大权限是0777；文件的最大权限是0666

[root@localhost ~]# umask 0007 临时设置root用户的umask为0007
问：umask=0007，那么在当前终端上root用户所创建目录和普通文件的权限分别是什么呢？
计算过程如下：
umask=文件的最大权限-文件的默认权限
目录：
目录的默认权限=0777-umask=0777-0007=0770 rwxrwx---
普通文件：
文件的默认权限=0666-umask=0666-0007=0660 rw-rw----
说明：
1.权限用数字表示时没有负数，所以最小就是0
2.默认权限规则遵循Linux系统中权限最小化原则
$ stu1 umask 0003
目录：0777-0003=0774
rwxrwxr--
文件：0666-0003=0663 rw-rw--wx 实际权限：rw-rw-r--
$ user01 umask 0005
文件：0666-0005=0661 rw-rw---x 实际权限:rw-rw--w- 
文件创建默认没有x，会向上找最近的权限

永久控制：指的是通过修改配置文件设置，对用户的所有终端所有进程生效

# 配置文件介绍


1. 全局配置文件（针对所有用户所有进程）
# 系统和用户的环境变量信息，当用户第一次登录时,该文件被读取
/etc/profile


#每个运行的bash信息（系统别名、函数及默认权限的定义），当bash被打开时,该文件被读取
/etc/bashrc




2. 局部配置文件（针对某个特定用户以及用户的所有进程）


当前用户的bash信息，当用户登录和每次打开新的shell时该文件被读取
~/.bashrc


当前用户的环境变量，当用户登录时，该文件被读取
~/.bash_profile


保存当前用户历史命令的文件
~/.bash_history


当用户退出bash或者终端时，会首先执行该文件里的代码，然后再退出 
~/.bash_logout

永久设置用户的umask

1.针对所有用户生效
# vim /etc/bashrc
在该文件的最后增加以下内容：
umask 0007
重新读取该配置文件让其立马生效
# source /etc/bashrc
或者
# . /etc/bashrc


2.针对某个用户生效 家目录中隐藏文件
比如，只针对user01用户生效
[user01@localhost ~]$ vim ~/.bashrc
在该文件的最后增加以下内容：
umask 0007


总结：
1. 配置文件，分为全局配置和局部配置
2. 全局和局部配置冲突，一般情况下以局部配置为准；二般情况，看情况

5.4 默认权限总结

• 什么是文件的默认权限？

  文件被（用户）创建出来后，天生自带的权限
  

• 文件的默认权限由谁来控制？

  由umask的值来控制文件的默认权限
  
  umask值针对的用户
  

• 如何去更改或设置用户的umask呢？

1. 临时设置
umask 007 --只针对当前用户在当前终端生效 


2. 永久设置
针对所有人生效——>/etc/bashrc（重新读取生效）
针对某个人生效——>~/.bashrc（重新读取生效） 

6. ACL访问控制策略

6.1 ACL能做什么

• ACL访问控制策略可以作为前面所讲权限的补充，更加细的来控制文件的权限

• ACL策略可以只针对某个用户在文件上有相应权限

• ACL策略也可以只针对多个用户或者一个组里的所有用户在文件上有相应权限

6.2 如何设置文件的ACL策略

设置ACL策略(setfacl)

常用选项：
-m 修改或者设置ACL策略
-R 递归授权，对目录下已存在的目录或文件有acl策略，但新建的文件没有
-x 去掉某个用户或者某个组的ACL策略
-b 删除所有的acl策略
-d 默认ACL策略，只针对目录，该目录下新建的目录和文件都会继承acl策略
mask: 定义除其他人和所有者外的最大权限


# 给单个用户单独加权限
setfacl -m u:用户:rwx /home/redhat/file1 


# 给单个组单独加权限
setfacl -m g:组名:rwx /home/redhat/file1 


# 去掉某个用户的权限
setfacl -x u:用户 /home/redhat/file1


# 去掉某个组的acl策略
setfacl -x g:组名 /home/redhat/file1


# 删除文件上所有的acl策略
setfacl -b /home/redhat/file1


# 针对于单个用户给可读可写权限
setfacl -m u:user01:rw file1


# 针对于单个组给可读可写权限 
setfacl -m g:sysadmin:rw file1

查看ACL策略(getfacl)

getfacl 文件名