Linux 权限配置 - chown 和 chmod 的使用
1. 用 chown 修改文件或文件夹的拥有者 owner
# 设置文件或文件夹的拥有者
$ chown {user}:{group} {file}
# 添加 -R 参数递归设置文件夹及其内部的文件和子文件夹的拥有者
$ chown -R {user}:{group} {dir}
如:
$ chown -R reader:stuff /app/file
2. 用 chmod 修改文件或文件夹的访问权限
Linux 权限包括正常访问权限读、写、执行,对应字母为 r、w、x;和附加权限 suid、sgid、sticky,对应字母为 S、G、T。权限的粒度有拥有者(u)、与拥有者属于同一个群组(g)的用户、其它用户(o)三种。每个文件或文件夹都可以针对三个粒度,设置不同的权限。
一个用户可以同时属于多个群组,而一个文件或文件夹只能归属于一个用户和群组。如果其它的用户想有这个文件或文件夹的权限,则可以将该用户加入具备相应权限的群组。
2.1. 字母权限使用格式
可用的字母符号:
| 符号 | 说明 |
|---|---|
| ugoa: | |
| u | 拥有者 |
| g | 与拥有者属于同一个群组的用户 |
| o | u、g 之外的用户 |
| a | 所有(包含上面三者) |
| +-=: | |
| + | 增加权限 |
| - | 取消权限 |
| = | 唯一设定权限 |
| rwx: | 正常权限 |
| r | 表示可读取 |
| w | 表示可写入 |
| x | 表示可执行 |
| st: | 附加权限 |
| s | SET位权限 suid/sgid |
| t | 粘滞位权限(sticky) |
Linux 中 'ls -l' 命令的输出结果中权限部分使用的是十位字符表示法,格式为 '-rwxrwxrwx':
- 第 10 位字符:- 表示文件、d 表示文件夹、l 代表链接
- 第 7、8、9 位字符代表拥有者的权限
- 第 4、5、6 位字符代表与拥有者属于同一个群组用户的权限
- 第 1、2、3 位字符代表其它用户的权限
上述字符位数从右边向左边数起,最右边那位为第 1 位。
例:
# 只有拥有者可以读写及执行
$ chmod u+rwx {file}
# 所有用户可读
$ chmod a+r {file} 或 chmod ugo+r {file}
# 拥有者与其所属群组可读写,其它组可读不可写
$ chmod a+r,ug+w,o-w {file}
# 当前目录下的所有档案与子目录皆设为任何人可读写
$ chmod -R a+rw *
{file}代表单个或多个文件或文件夹,多个间用空格隔开即可。添加-R参数可以递归设置。
2.1.1. SET 位权限
SET 位权限包括 suid 和 sgid。是为了使 “没有取得特权用户要完成一项必须要有特权才可以执行的任务” 而产生的。
用于给可执行的程序或脚本文件进行设置,其中 suid 表示对属主用户增加 SET 位权限,sgid 表示对属组内用户增加 SET 位权限。文件被设置了 suid、sgid 权限后,任何用户执行该文件时,将获得该文件属主、属组账号对应的身份。
在十位字符表示法中,一个文件设置了 suid 或 sgid 位,会分别表现在所有者或同组用户的权限的可执行位上。 suid 表现在拥有者执行位的第 9 位上,sgid 表现在群组执行位的第 6 位上。如果文件设置了 suid 还设置了 x(执行)位,则相应的执行位表示为 s(小写);如果没有设置 x 位,它将表示为 S (大写)。如:
-
-rwsr-xr-x表示设置了 suid,且拥有者有可执行权限 x -
-rwSr--r--表示设置了 suid,但拥有者没有可执行权限 x -
-rwxr-sr-x表示设置了 sgid,且群组用户有可执行权限 x -
-rw-r-Sr--表示设置了 sgid,但群组用户没有可执行权限 x
例:
# 设置 suid 位
$ chmod u+s {file}
# 去掉 suid 设置
$ chmod u-s {file}
# 设置 sgid 位
$ chmod g+s {file}
# 去掉 sgid 设置
$ chmod g-s {file}
2.1.2. 粘滞位权限
粘滞位权限即 sticky,用于为目录设置特殊的附加权限。当目录设置了粘滞位权限后,即便用户对该目录有写的权限,也不能删除该目录中其他用户的文件数据。
在十位字符表示法中,一个文件或目录设置了粘滞位权限,会表现在其他组用户的权限的可执行位上。 即第 1 位上。如果文件设置了 sticky 还设置了 x(执行)位,其他组用户的权限的可执行位表示为 t(小写);如果没有设置 x 位,它将表示为 T (大写)。如:
-
-rwsr-xr-t表示设置了粘滞位且其他用户组有可执行权限 x -
-rwSr--r-T表示设置了粘滞位但其他用户组没有可执行权限 x
例:
# 设置粘滞位
$ chmod +t {file}
# 去掉粘滞位设置
$ chmod -t {file}
注意 +t、-t 前面是没有 ugo 的,否则设置会被忽略。
附加权限位除了十位字符表示法,还可以使用十二位字符表示法,格式为 'SGTrwxrwxrwx',S、G、T 分别表示 suid 权限、sgid 权限和粘滞位权限。
前三位 SGT 若转换成一个三位二进制数,则:
- suid 的八进制数字是 4
- sgid 的代表数字是 2
- sticky 位代表数字是 1
三位 rwx 若转换成一个三位二进制数,则:
- r 的八进制数字是 4
- w 的代表数字是 2
- x 位代表数字是 1
这些是下面数字权限使用格式的基础。
2.2. 数字权限使用格式
数字 4 、2 和 1,表示正常权限的读 r、写 w、执行 x,即 r=4、w=2、x=1;也可表示附加权限的 suid S、sgid G、sticky T,即 S=4、G=2、T=1。
权限组合用相应的八进制数字相加出来:
| 正常权限 | 附加权限 | 二进制 | 八进制 |
|---|---|---|---|
| --x | --T | 001 | 1 |
| -w- | -G- | 011 | 2 |
| -wx | -GT | 011 | 3 = 2+1 |
| r-- | S-- | 100 | 4 |
| r-x | S-T | 101 | 5 = 4+1 |
| rw- | SG- | 110 | 6 = 4+2 |
| rwx | SGT | 111 | 7 = 4+2+1 |
权限设置的基本命令格式为 '$ chmod abcd {file}',a 对应附加权限的权限数字,b 对应拥有者的权限数字、c 对应群组的权限数字、d 对应其它用户的权限数字。不需要附加权限设置时,使用 '$ chmod bcd {file}' 命令格式,这也是最常用的格式。
例:
# 只有拥有者可以读写及执行,其它不可读写及执行
$ chmod 700 {file} 《 相当于 chmod u=rwx,go-rwx {file}
# 所有用户只读
$ chmod 444 {file} 《 相当于 chmod a=r {file} 或 chmod ugo=r {file}
# 拥有者与其所属群组可读写,其它可读不可写
$ chmod 664 {file} 《 相当于 chmod ug=rw,o=r {file}
# 当前目录下的所有档案与子目录皆设为任何人可读写执行
$ chmod 777 {file} 《 相当于 chmod -R a+rwx *
附加权限例子详解一例:
$ chmod 4755 {file}
或
$ chmod u=rwxs,go=rx,-t {file}
4755 比 755 多了附加权限值 4,这个 4 表示设置了 suid,当其他用户执行文件时,具有与所有者同样的权限。
为什么设置 4755 而不是 755?
假设 {file} 是 root 用户创建的一个脚本,且 {file} 执行时需要访问一些只有 root 用户才有权访问的其它文件 A,如果没有设置 suid 位,那么其他用户执行 {file} 脚本时因为不是 root 用户而无法访问到文件 A,导致 {file} 脚本执行失败。而 4755 设置了 suid 位,这样其它用户执行 {file} 脚本时,将视为以 root 用户身份执行,就可以正常访问文件 A 了。
