Linux文件权限详解

        大家好，在Linux系统中，文件权限是保护文件和目录的重要机制之一。理解文件权限不仅是系统管理者的基本技能，也是开发人员、安全专家以及任何使用Linux系统的人必备的知识。本文将深入介绍Linux文件权限的原理、表示方法以及如何管理文件权限。

一. 文件权限基础

1、文件权限概述

在Linux系统中，文件权限是指控制对文件或目录的访问权限的机制。它定义了谁可以对文件进行什么样的操作，如读取、写入或执行。文件权限是保护系统安全和保护用户数据的重要手段之一。每个文件和目录都有一组文件权限，由文件的所有者、所属组和其他用户权限组成。

2、文件权限表示

文件权限可以用一串字符表示，通常由九个字符组成，分成三组，每组三个字符，分别表示所有者权限、组权限和其他用户权限。例如，"rwxr-xr--"表示文件权限为：

• 所有者权限为"rwx"（读、写、执行）
• 组权限为"r-x"（读、执行）
• 其他用户权限为"r--"（只读）

3、文件权限组成

• 所有者权限：适用于文件或目录的所有者，决定了所有者对文件或目录的操作权限。
• 组权限：适用于文件或目录的所属组，决定了所属组成员对文件或目录的操作权限。
• 其他用户权限：适用于除所有者和所属组以外的所有其他用户，决定了其他用户对文件或目录的操作权限。

二. 文件权限详解

1、文件权限的含义

• 读权限（r）：允许用户读取文件内容或查看目录中的文件列表。
• 写权限（w）：允许用户修改文件内容或在目录中创建、删除或重命名文件。
• 执行权限（x）：对于文件，执行权限表示该文件是可执行的程序；对于目录，执行权限表示用户可以进入该目录。

2、权限对文件和目录的影响

文件权限的设置对文件和目录有不同的影响：

• 文件权限的作用：决定了用户对文件的读取、修改和执行权限。
• 目录权限的作用：决定了用户对目录的访问权限，包括能否进入目录、查看目录下的文件列表等。

3、特殊权限位

除了常规的读、写、执行权限外，还存在一些特殊权限位：

• SetUID（s）：设置了SetUID权限的可执行文件在执行时，将暂时拥有文件所有者的权限，而不是执行者的权限。
• SetGID（s）：设置了SetGID权限的可执行文件在执行时，将暂时拥有文件所属组的权限，而不是执行者的权限。
• Sticky位（t）：用于目录，设置了Sticky位后，只有目录的所有者、文件的所有者或者超级用户才能删除其中的文件。

三、管理文件权限

1、数字表示文件权限

        在Linux系统中，文件权限可以使用数字表示法进行表示，也称为权限位或权限掩码。数字表示法提供了一种简洁而直观的方式来表示文件权限。每个权限字符被分配一个数字值，然后将相应权限的数字值相加，就可以得到对应权限的数字表示。

以下是数字表示法中各个权限字符的对应数字值：

• r = 4：读权限的数字值为4。
• w = 2：写权限的数字值为2。
• x = 1：执行权限的数字值为1。

        在数字表示法中，每组权限都由三个数字表示，分别对应于所有者、所属组和其他用户的权限。因此，每个权限位的数字值可以是0、1、2、3、4、5、6 或 7。它们分别代表了不同的权限组合：

• 0：没有任何权限。
• 1：执行权限（x）。
• 2：写权限（w）。
• 3：写权限（w）和执行权限（x）。
• 4：读权限（r）。
• 5：读权限（r）和执行权限（x）。
• 6：读权限（r）和写权限（w）。
• 7：读权限（r）、写权限（w）和执行权限（x）。

通过将对应权限位的数字值相加，就可以得到该组权限的数字表示。

例如，如果文件权限为"rw-r--r--"，则所有者权限为读写（rw）、组权限为只读（r）、其他用户权限为只读（r）。对应的数字表示为：

• 所有者权限：读（r）+ 写（w）= 4 + 2 = 6。
• 组权限：读（r）= 4。
• 其他用户权限：读（r）= 4。

因此，权限数字表示为644。

2、修改文件权限

        chmod 命令是在 Linux 和其他类 Unix 操作系统上用于更改文件或目录权限的命令。它允许用户以符号形式或数字形式指定权限，并将其应用于一个或多个文件或目录。通过 chmod 命令，用户可以控制谁可以读取、写入和执行文件，以及目录的访问权限。

（1）命令语法

chmod 命令的基本语法如下：

chmod [选项] 模式 文件...

其中：

• [选项]允许你在操作过程中指定一些选项，例如递归地应用更改到目录和子目录中。
• 模式定义了要应用的权限更改。可以使用数字模式或符号模式。
• 文件...表示你要更改权限的文件列表。 

（2）权限模式

符号形式

符号形式允许用户使用字符来表示权限，并且可以针对所有者、所属组和其他用户分别设置权限。

• +：添加权限。
• -：移除权限。
• =：设置权限。

符号形式的权限模式由以下组件构成：

• 权限类别：可以是 u（所有者）、g（所属组）、o（其他用户）或 a（所有用户）。
• 操作符：+（添加权限）、-（移除权限）或 =（设置权限）。
• 权限标记：可以是 r（读权限）、w（写权限）或 x（执行权限）。

例如：

将文件 example.txt 的所有者设为可读写，所属组和其他用户只能读取：

chmod u=rw,go=r example.txt

将文件 script.sh 设为所有用户可执行：

chmod a+x script.sh

数字形式

        数字模式将权限表示为三个八进制数，每个数对应一个用户类别（文件所有者、所属组、其他用户）。每个八进制数是由三个比特表示的，对应于读（4）、写（2）、执行（1）权限。

例如：

将文件 example.txt 设为文件所有者可读写，所属组和其他用户只能读取：

chmod 644 example.txt

将文件 script.sh 设为所有用户可执行：

chmod 755 script.sh

chmod 命令的常用参数 

-R 或 --recursive：递归地应用权限更改到目录及其所有子目录和文件中。

chmod -R 755 directory/

-c 或 --changes：只在权限更改时显示提示信息。

chmod -c 644 file.txt

-f 或 --silent 或 --quiet：不显示错误信息。

chmod -f 600 secret_file.txt

--reference=参考文件：将指定文件的权限复制到另一个文件。

chmod --reference=reference_file.txt target_file.txt

-v 或 --verbose：显示权限更改的详细信息。

chmod -v 755 script.sh

--preserve-root：避免修改根目录的权限。

chmod --preserve-root 755 directory/

3、修改文件所有者和所属组

当需要修改文件或目录的所有者和所属组时，可以使用chown和chgrp命令。

（1）chown命令

用于改变文件或目录的所有者。

语法：

chown [选项] 新所有者 文件/目录

常用选项：

• -R, --recursive：递归地修改指定目录下的所有文件和子目录。
• --reference=参考文件/目录：将指定文件或目录的所有者和所属组设置成参考文件/目录的所有者和所属组。
• --from=当前所有者：仅修改与当前所有者匹配的文件或目录的所有者。

示例：

# 将文件的所有者修改为新用户
chown newuser file.txt

# 将目录及其下所有文件和子目录的所有者修改为新用户，递归执行
chown -R newuser directory/

# 将文件的所有者修改为参考文件的所有者
chown --reference=reference_file.txt file.txt

（2）chgrp命令

用于改变文件或目录的所属组。

语法：

chgrp [选项] 新组名 文件/目录

常用选项：

• -R, --recursive：递归地修改指定目录下的所有文件和子目录的所属组。
• --reference=参考文件/目录：将指定文件或目录的所属组设置成参考文件/目录的所属组。

示例：

# 将文件的所属组修改为新组
chgrp newgroup file.txt

# 将目录及其下所有文件和子目录的所属组修改为新组，递归执行
chgrp -R newgroup directory/

# 将文件的所属组修改为参考文件的所属组
chgrp --reference=reference_file.txt file.txt

4、修改文件特殊权限

        特殊权限位是在Unix/Linux系统中用于控制文件或目录访问权限的一种方式，除了常规的读、写、执行权限外，还存在一些特殊权限位。这些特殊权限位可以通过文件或目录的权限字符串中的标志来表示。

（1）SetUID（s）

• 含义：SetUID（Set User ID）权限表示可执行文件在执行时将临时获得文件所有者的权限。
• 作用：当一个普通用户执行一个具有SetUID权限的可执行文件时，该文件将以文件所有者的身份而不是执行者的身份来运行。
• 示例：经典的例子是/bin/passwd命令，该命令需要以root权限修改密码文件/etc/passwd，但普通用户不具有修改权限，通过设置SetUID权限，普通用户可以在执行passwd命令时暂时获得修改权限。

（2）SetGID（s）

• 含义：SetGID（Set Group ID）权限表示可执行文件在执行时将临时获得文件所属组的权限。
• 作用：与SetUID类似，但权限赋予的是文件所属组的权限。
• 示例：当一个用户执行具有SetGID权限的可执行文件时，该文件将以文件所属组的身份而不是执行者的身份来运行。

（3）Sticky位（t）

• 含义：Sticky位通常用于目录，表示只有目录的所有者、文件的所有者或超级用户才能删除其中的文件。
• 作用：防止普通用户删除其他用户的文件，但允许文件所有者删除自己的文件。
• 示例：常见于/tmp目录，设置了Sticky位后，只有文件所有者、目录所有者或超级用户才能删除/tmp目录下的文件。

示例：

# 设置SetUID权限
chmod u+s filename

# 设置SetGID权限
chmod g+s filename

# 设置Sticky位
chmod +t directory

四、文件类型

在Linux系统中，文件类型由文件权限字符串的第一个字符表示。常见的文件类型包括：

• 普通文件（-）：普通文件是最常见的文件类型，包括文本文件、二进制文件、可执行文件等。普通文件的权限控制主要涉及读、写和执行权限。

• 目录（d）：目录是用于组织文件和其他目录的特殊类型的文件。它包含了文件和子目录的列表，允许用户通过文件系统访问文件。目录的权限控制影响用户对目录的访问、创建和删除。

• 符号链接（l）：符号链接是一种特殊类型的文件，用于创建文件和目录之间的链接。它指向另一个文件或目录，并允许用户通过链接路径访问目标文件或目录。符号链接的权限控制与其指向的目标文件或目录无关。

• 字符设备文件（c）：字符设备文件提供了对设备的字符级别访问，例如终端设备（/dev/tty）和声卡设备（/dev/snd）。它们通常用于与设备进行交互，如输入和输出。

• 块设备文件（b）：块设备文件提供了对设备的块级别访问，例如硬盘驱动器（/dev/sda）和磁盘分区（/dev/sda1）。它们通常用于存储和读取大量数据。

• 管道文件（p）：管道文件用于进程间通信，允许一个进程将输出发送到另一个进程的输入。它们通常用于在命令之间传递数据或执行管道命令。

• 套接字文件（s）：套接字文件用于进程间通信，特别是在网络编程中用于实现网络套接字通信。它们允许进程通过网络发送和接收数据。

        这些文件类型通过文件系统中的不同文件类型标志进行标识，这些标志通常由ls命令显示。例如，-rw-r--r-- 表示一个普通文件，而 drwxr-xr-x 表示一个目录。