一、文件和目录权限概述
在 linux 中的每一个文件或目录都包含有访问权限,这些访问权限决定了谁能访问和如何访问这些文件和目录。
通 过设定权限可以从以下三种访问方式限制访问权限:只允许用户自己访问;允许一个预先指定的用户组中的用户访问;允许系统中的任何用户访问。同时,用户能够 控制一个给定的文件或目录的访问程度。一个文件活目录可能有读、写及执行权限。当创建一个文件时,系统会自动地赋予文件所有者读和写的权限,这样可以允许 所有者能够显示文件内容和修改文件。文件所有者可以将这些权限改变为任何他想指定的权限。一个文件也许只有读权限,禁止任何修改。文件也可能只有执行权 限,允许它想一个程序一样执行。
三 种不同的用户类型能够访问一个目录或者文件:所有着、用户组或其他用户。所有者就是创建文件的用户,用户是所有用户所创建的文件的所有者,用户可以允许所 在的用户组能访问用户的文件。通常,用户都组合成用户组,例如,某一类或某一项目中的所有用户都能够被系统管理员归为一个用户组,一个用户能够授予所在用 户组的其他成员的文件访问权限。最后,用户也将自己的文件向系统内的所有用户开放,在这种情况下,系统内的所有用户都能够访问用户的目录或文件。在这种意 义上,系统内的其他所有用户就是 other 用户类。
每 一个用户都有它自身的读、写和执行权限。第一套权限控制访问自己的文件权限,即所有者权限。第二套权限控制用户组访问其中一个用户的文件的权限。第三套权 限控制其他所有用户访问一个用户的文件的权限,这三套权限赋予用户不同类型(即所有者、用户组和其他用户)的读、写及执行权限就构成了一个有 9 种类型的权限组。
我们可以用 -l 参数的 ls 命令显示文件的详细信息,其中包括权限。如下所示:
[root@localhost ~]# ls -lh
总用量 368K
-rw-r--r-- 1 root root 12K 8 月 15 23:18 conkyrc.sample
drwxr-xr-x 2 root root 48 9 月 4 16:32 Desktop
-r--r--r-- 1 root root 325K 10 月 22 21:08 libfreetype.so.6
drwxr-xr-x 2 root root 48 8 月 12 22:25 MyMusic
-rwxr-xr-x 1 root root 9.6K 11 月 5 08:08 net.eth0
-rwxr-xr-x 1 root root 9.6K 11 月 5 08:08 net.eth1
-rwxr-xr-x 1 root root 512 11 月 5 08:08 net.lo
drwxr-xr-x 2 root root 48 9 月 6 13:06 vmware
当执行 ls -l 或 ls -al 命令后显示的结果中,最前面的第 2 ~ 10 个字符是用来表示权限。第一个字符一般用来区分文件和目录:
d :表示是一个目录,事实上在 ext2fs 中,目录是一个特殊的文件。
-:表示这是一个普通的文件。
l: 表示这是一个符号链接文件,实际上它指向另一个文件。
b 、 c :分别表示区块设备和其他的外围设备,是特殊类型的文件。
s 、 p :这些文件关系到系统的数据结构和管道,通常很少见到。
下面详细介绍一下权限的种类和设置权限的方法。
二、一般权限
第 2 ~ 10 个字符当中的每 3 个为一组,左边三个字符表示所有者权限,中间 3 个字符表示与所有者同一组的用户的权限,右边 3 个字符是其他用户的权限。这三个一组共 9 个字符,代表的意义如下:
r(Read ,读取 ) :对文件而言,具有读取文件内容的权限;对目录来说,具有浏览目 录的权限。
w(Write, 写入 ) :对文件而言,具有新增、修改文件内容的权限;对目录来说,具有删除、移动目录内文件的权限。
x(eXecute ,执行 ) :对文件而言,具有执行文件的权限;对目录了来说该用户具有进入目录的权限。
-:表示不具有该项权限。
下面举例说明:
-rwx------: 文件所有者对文件具有读取、写入和执行的权限。
-rwxr — r--: 文件所有者具有读、写与执行的权限,其他用户则具有读取的权限。
-rw-rw-r-x: 文件所有者与同组用户对文件具有读写的权限,而其他用户仅具有读取和执行的权限。
drwx--x--x: 目录所有者具有读写与进入目录的权限 , 其他用户近能进入该目录,却无法读取任何数据。
Drwx------: 除了目录所有者具有完整的权限之外,其他用户对该目录完全没有任何权限。
每个用户都拥有自己的专属目录,通常集中放置在 /home 目录下,这些专属目录的默认权限为 rwx------:
[root@localhost ~]# ls -al
总用量 5
drwxr-xr-x 9 root root 240 11 月 8 18:30 .
drwxr-xr-t 22 root root 568 10 月 15 09:13 ..
drwxr-xr-x 2 root root 48 8 月 11 08:09 ftp
drwxrwxrwx 2 habil users 272 11 月 13 19:13 habil
-rw-r--r-- 1 root root 0 7 月 31 00:41 .keep
drwxr-xr-x 2 root root 72 11 月 3 19:34 mp3
drwxr-xr-x 39 sailor users 1896 11 月 11 13:35 sailor
drwxr-xr-x 3 temp users 168 11 月 8 18:17 temp
drwxr-xr-x 3 test users 200 11 月 8 22:40 test
drwxr-xr-x 65 wxd users 2952 11 月 19 18:53 wxd
表示目录所有者本身具有所有权限,其他用户无法进入该目录。执行 mkdir 命令所创建的目录,其默认权限为 rwxr-xr-x, 用户可以根据需要修改目录的权限。
此外,默认的权限可用 umask 命令修改,用法非常简单,只需执行 umask 777 命令,便代表屏蔽所有的权限,因而之后建立的文件或目录,其权限都变成 000 ,依次类推。通常 root 帐号搭配 umask 命令的数值为 022 、 027 和 077 ,普通用户则是采用 002 ,这样所产生的权限依次为 755 、 750 、 700 、 775 。有关权限的数字表示法,后面将会详细说明。
用户登录系统时,用户环境就会自动执行 rmask 命令来决定文件、目录的默认权限。
三、特殊权限
其实文件与目录设置不止这些,还有所谓的特殊权限。由于特殊权限会拥有一些“特权”,因而用户若无特殊需求,不应该启用这些权限,避免安全 方面出现严重漏洞,造成黑客入侵,甚至摧毁系统 !!!
s 或 S ( SUID,Set UID ):可执行的文件搭配这个权限,便能得到特权,任意存取该文件的所有者能使用的全部系统资源。请注意具备 SUID 权限的文件,黑客经常利用这种权限,以 SUID 配上 root 帐号拥有者,无声无息地在系统中开扇后门,供日后进出使用。
s 或 S ( SGID , Set GID ):设置在文件上面,其效果与 SUID 相同,只不过将文件所有者换成用户组,该文件就可以任意存取整个用户组所能使用的系统资源。
T 或 T ( Sticky ): /tmp 和 /var/tmp 目录供所有用户暂时存取文件,亦即每位用户皆拥有完整的权限进入该目录,去浏览、删除和移动文件。
因为 SUID 、 SGID 、 Sticky 占用 x 的位置来表示,所以在表示上会有大小写之分。加入同时开启执行权限和 SUID 、 SGID 、 Sticky ,则权限表示字符是小写的:
-rwsr-sr-t 1 root root 4096 6 月 23 08 : 17 conf
如果关闭执行权限,则表示字符会变成大写:
-rwSr-Sr-T 1 root root 4096 6 月 23 08 : 17 conf
四、使用文件管理器来改变文件或目录的权限:
如果用户要改变一个文件目录的权限,右击要改变权限的文件或者目录,在弹出的快捷菜单中选择“属性”,系统将打开属性对话框
在“属性”对话框中,单击“权限”标签,就会打开“权限”选项卡。
在这里你可以修改文件或者目录的所有者、组群和其他用户的权限,而且可以设置特殊权限
对于特殊权限,最好不要设置,不然会带来很严重的安全 问题。
当然,在这里你也可以改变文件和目录的所有者和所属组。
五、使用 chmod 和数字改变文件或目录的访问权限
文件和目录的权限表示,是用 rwx 这三个字符来代表所有者、用户组和其他用户的权限。有时候,字符似乎过于麻烦,因此还有另外一种方法是以数字来表示权限,而且仅需三个数字。
r: 对应数值 4
w: 对应数值 2
x :对应数值 1
-:对应数值 0
数字设定的关键是 mode 的取值,一开始许多初学者会被搞糊涂,其实很简单,我们将 rwx 看成二进制数,如果有则有 1 表示,没有则有 0 表示,那么 rwx r-x r- - 则可以表示成为:
111 101 100
再将其每三位转换成为一个十进制数,就是 754 。
例如,我们想让 a.txt 这个文件的权限为:
自己 同组用户 其他用户
可读 是 是 是
可写 是 是
可执行
那么,我们先根据上表得到权限串为: rw-rw-r-- ,那么转换成二进制数就是 110 110 100 ,再每三位转换成为一个十进制数,就得到 664 ,因此我 们执行命令:
[root@localhost ~]# chmod 664 a.txt
按照上面的规则, rwx 合起来就是 4+2+1 = 7 ,一个 rwxrwxrwx 权限全开放的文件,数值表示为 777 ;而完全不开放权限的文件“---------”其数字表示为 000 。下面举几个例子:
-rwx------: 等于数字表示 700 。
-rwxr — r--: 等于数字表示 744 。
-rw-rw-r-x: 等于数字表示 665 。
drwx — x — x: 等于数字表示 711 。
drwx------: 等于数字表示 700 。
在文本模式下,可执行 chmod 命令去改变文件和目录的权限。我们先执行 ls -l 看看目录内的情况:
[root@localhost ~]# ls -l
总用量 368
-rw-r--r-- 1 root root 12172 8 月 15 23:18 conkyrc.sample
drwxr-xr-x 2 root root 48 9 月 4 16:32 Desktop
-r--r--r-- 1 root root 331844 10 月 22 21:08 libfreetype.so.6
drwxr-xr-x 2 root root 48 8 月 12 22:25 MyMusic
-rwxr-xr-x 1 root root 9776 11 月 5 08:08 net.eth0
-rwxr-xr-x 1 root root 9776 11 月 5 08:08 net.eth1
-rwxr-xr-x 1 root root 512 11 月 5 08:08 net.lo
drwxr-xr-x 2 root root 48 9 月 6 13:06 vmware
可以看到当然文件 conkyrc.sample 文件的权限是 644, 然后把这个文件的权限改成 777 。执行下面命令
[root@localhost ~]# chmod 777 conkyrc.sample
然后 ls -l 看一下执行后的结果:
[root@localhost ~]# ls -l
总用量 368
-rwxrwxrwx 1 root root 12172 8 月 15 23:18 conkyrc.sample
drwxr-xr-x 2 root root 48 9 月 4 16:32 Desktop
-r--r--r-- 1 root root 331844 10 月 22 21:08 libfreetype.so.6
drwxr-xr-x 2 root root 48 8 月 12 22:25 MyMusic
-rwxr-xr-x 1 root root 9776 11 月 5 08:08 net.eth0
-rwxr-xr-x 1 root root 9776 11 月 5 08:08 net.eth1
-rwxr-xr-x 1 root root 512 11 月 5 08:08 net.lo
drwxr-xr-x 2 root root 48 9 月 6 13:06 vmware
可以看到 conkyrc.sample 文件的权限已经修改为 rwxrwxrwx
如果要加上特殊权限,就必须使用 4 位数字才能表示。特殊权限的对应数值为:
s 或 S ( SUID ):对应数值 4 。
s 或 S ( SGID ):对应数值 2 。
t 或 T :对应数值 1 。
<code>
用同样的方法修改文件权限就可以了
例如:
<code>
[root@localhost ~]# chmod 7600 conkyrc.sample
[root@localhost ~]# ls -l
总用量 368
-rwS--S--T 1 root root 12172 8 月 15 23:18 conkyrc.sample
drwxr-xr-x 2 root root 48 9 月 4 16:32 Desktop
-r--r--r-- 1 root root 331844 10 月 22 21:08 libfreetype.so.6
drwxr-xr-x 2 root root 48 8 月 12 22:25 MyMusic
-rwxr-xr-x 1 root root 9776 11 月 5 08:08 net.eth0
-rwxr-xr-x 1 root root 9776 11 月 5 08:08 net.eth1
-rwxr-xr-x 1 root root 512 11 月 5 08:08 net.lo
drwxr-xr-x 2 root root 48 9 月 6 13:06 vmware
加入想一次修改某个目录下所有文件的权限,包括子目录中的文件权限也要修改,要使用参数- R 表示启动递归处理。
例如:
[root@localhost ~]# chmod 777 /home/user 注:仅把 /home/user 目录的权限设置为 rwxrwxrwx
[root@localhost ~]# chmod -R 777 /home/user 注:表示将整个 /home/user 目录与其中的文件和子目录的权限都设置为 rwxrwxrwx
六、使用命令 chown 改变目录或文件的所有权
文件与目录不仅可以改变权限,其所有权及所属用户组也能修改,和设置权限类似,用户可以通过图形界面来设置,或执行 chown 命令来修改。
我们先执行 ls -l 看看目录情况:
[root@localhost ~]# ls -l
总用量 368
-rwxrwxrwx 1 root root 12172 8 月 15 23:18 conkyrc.sample
drwxr-xr-x 2 root root 48 9 月 4 16:32 Desktop
-r--r--r-- 1 root root 331844 10 月 22 21:08 libfreetype.so.6
drwxr-xr-x 2 root root 48 8 月 12 22:25 MyMusic
-rwxr-xr-x 1 root root 9776 11 月 5 08:08 net.eth0
-rwxr-xr-x 1 root root 9776 11 月 5 08:08 net.eth1
-rwxr-xr-x 1 root root 512 11 月 5 08:08 net.lo
drwxr-xr-x 2 root root 48 9 月 6 13:06 vmware
可以看到 conkyrc.sample 文件的所属用户组为 root ,所有者为 root 。
执行下面命令,把 conkyrc.sample 文件的所有权转移到用户 user:
[root@localhost ~]# chown user conkyrc.sample
[root@localhost ~]# ls -l
总用量 368
-rwxrwxrwx 1 user root 12172 8 月 15 23:18 conkyrc.sample
drwxr-xr-x 2 root root 48 9 月 4 16:32 Desktop
-r--r--r-- 1 root root 331844 10 月 22 21:08 libfreetype.so.6
drwxr-xr-x 2 root root 48 8 月 12 22:25 MyMusic
-rwxr-xr-x 1 root root 9776 11 月 5 08:08 net.eth0
-rwxr-xr-x 1 root root 9776 11 月 5 08:08 net.eth1
-rwxr-xr-x 1 root root 512 11 月 5 08:08 net.lo
drwxr-xr-x 2 root root 48 9 月 6 13:06 vmware
要改变所属组,可使用下面命令:
[root@localhost ~]# chown :users conkyrc.sample
[root@localhost ~]# ls -l
总用量 368
-rwxrwxrwx 1 user users 12172 8 月 15 23:18 conkyrc.sample
drwxr-xr-x 2 root root 48 9 月 4 16:32 Desktop
-r--r--r-- 1 root root 331844 10 月 22 21:08 libfreetype.so.6
drwxr-xr-x 2 root root 48 8 月 12 22:25 MyMusic
-rwxr-xr-x 1 root root 9776 11 月 5 08:08 net.eth0
-rwxr-xr-x 1 root root 9776 11 月 5 08:08 net.eth1
-rwxr-xr-x 1 root root 512 11 月 5 08:08 net.lo
drwxr-xr-x 2 root root 48 9 月 6 13:06 vmware
要修改目录的权限,使用- R 参数就可以了,方法和前面一样。