閱讀目錄(Content)

許可權簡介

Linux系統上對檔案的許可權有著嚴格的控制,用於如果相對某個檔案執行某種操作,必須具有對應的許可權方可執行成功。

Linux下檔案的許可權型別一般包括讀,寫,執行。對應字母為 r、w、x。

Linux下許可權的粒度有 擁有者 、群組 、其它組 三種。每個檔案都可以針對三個粒度,設定不同的rwx(讀寫執行)許可權。通常情況下,一個檔案只能歸屬於一個使用者和組, 如果其它的使用者想有這個檔案的許可權,則可以將該使用者加入具備許可權的群組,一個使用者可以同時歸屬於多個組。

Linux上通常使用chmod命令對檔案的許可權進行設定和更改。

一、快速入門

更改檔案許可權 (chmod命令)

一般使用格式

chmod [可選項]

可選項: -c, ——changes like verbose but report only

when

a change is made (若該檔案許可權確實已經更改,才顯示其更改動作) -f, ——silent, ——quiet suppress most error messages (若該檔案許可權無法被更改也不要顯示錯誤訊息) -v, ——verbose output a diagnostic

for

every file processed(顯示許可權變更的詳細資料) ——no-preserve-root

do

not

treat ‘/’ specially (the default) ——preserve-root fail to operate recursively on ‘/’ ——reference=RFILE use RFILE‘s mode instead of MODE values -R, ——recursive change files and directories recursively (以遞迴的方式對目前目錄下的所有檔案與子目錄進行相同的許可權變更) ——help 顯示此幫助資訊 ——version 顯示版本資訊 mode :許可權設定字串,詳細格式如下: [ugoa。。。][[+-=][rwxX]。。。][,。。。],其中 [ugoa。。。] u 表示該檔案的擁有者,g 表示與該檔案的擁有者屬於同一個群體(group)者,o 表示其他以外的人,a 表示所有(包含上面三者)。 [+-=] + 表示增加許可權,- 表示取消許可權,= 表示唯一設定許可權。 [rwxX] r 表示可讀取,w 表示可寫入,x 表示可執行,X 表示只有當該檔案是個子目錄或者該檔案已經被設定過為可執行。 file。。。 檔案列表(單個或者多個檔案、資料夾)

範例:

設定所有使用者可讀取檔案 a。conf

chmod ugo+r

a

。sh 或 chmod a+r

a

。conf

設定 c。sh 只有 擁有者可以讀寫及執行

chmod u+rwx c。sh

設定檔案 a。conf 與 b。xml 許可權為擁有者與其所屬同一個群組 可讀寫,其它組可讀不可寫

chmod a+r,ug+w,o-w

a

。conf

b

。xml

設定當前目錄下的所有檔案與子目錄皆設為任何人可讀寫

chmod -R

a

+rw *

數字許可權使用格式

在這種使用方式中,首先我們需要了解數字如何表示許可權。 首先,我們規定 數字 4 、2 和 1表示讀、寫、執行許可權(具體原因可見下節許可權詳解內容),即 r=4,w=2,x=1 。此時其他的許可權組合也可以用其他的八進位制數字表示出來,如: rwx = 4 + 2 + 1 = 7 rw = 4 + 2 = 6 rx = 4 +1 = 5 即

若要同時設定 rwx (可讀寫執行) 許可權則將該許可權位 設定 為 4 + 2 + 1 = 7 若要同時設定 rw- (可讀寫不可執行)許可權則將該許可權位 設定 為 4 + 2 = 6 若要同時設定 r-x (可讀可執行不可寫)許可權則將該許可權位 設定 為 4 +1 = 5

上面我們提到,每個檔案都可以針對三個粒度,設定不同的rwx(讀寫執行)許可權。即我們可以用用三個8進位制數字分別表示 擁有者 、群組 、其它組( u、 g 、o)的許可權詳情,並用chmod直接加三個8進位制數字的方式直接改變檔案許可權。語法格式為 :

chmod file。。。

其中

a

b

,c各為一個數字,分別代表User、Group、及Other的許可權。 相當於簡化版的 chmod u=許可權,g=許可權,o=許可權 file。。。 而此處的許可權將用8進位制的數字來表示User、Group、及Other的讀、寫、執行許可權

範例:

設定所有人可以讀寫及執行

chmod 777 file (等價於 chmod u=rwx,g=rwx,o=rwx file 或 chmod a=rwx file)

設定擁有者可讀寫,其他人不可讀寫執行

chmod 600 file (等價於 chmod u=rw,g=——-,o=——- file 或 chmod u=rw,go-rwx file )

更改檔案擁有者(chown命令)

linux/Unix 是多人多工作業系統,每個的檔案都有擁有者(所有者),如果我們想變更檔案的擁有者(利用 chown 將檔案擁有者加以改變),一般只有系統管理員(root)擁有此操作許可權,而普通使用者則沒有許可權將自己或者別人的檔案的擁有者設定為別人。

語法格式:

chown [可選項] user[:group] file。。。

使用許可權:root 說明: [可選項] : 同上文chmod user : 新的檔案擁有者的使用者 group : 新的檔案擁有者的使用者群體(group)

範例:

設定檔案 d。key、e。scrt的擁有者設為 users 群體的 tom

chown tom:users file d。key e。scrt

設定當前目錄下與子目錄下的所有檔案的擁有者為 users 群體的 James

chown

-R

James

:users *

二、Linux許可權詳解

Linux系統上對檔案的許可權有著嚴格的控制,用於如果相對某個檔案執行某種操作,必須具有對應的許可權方可執行成功。這也是Linux有別於Windows的機制,也是基於這個許可權機智,Linux可以有效防止病毒自我執行,因為執行的條件是必須要有執行的許可權,而這個許可權在Linux是使用者所賦予的。

Linux的檔案許可權有以下設定:

Linux下檔案的許可權型別一般包括讀,寫,執行。對應字母為 r、w、x。

Linux下許可權的屬組有 擁有者 、群組 、其它組 三種。每個檔案都可以針對這三個屬組(粒度),設定不同的rwx(讀寫執行)許可權。

通常情況下,一個檔案只能歸屬於一個使用者和組, 如果其它的使用者想有這個檔案的許可權,則可以將該使用者加入具備許可權的群組,一個使用者可以同時歸屬於多個組。

如果我們要表示一個檔案的所有許可權詳情,有兩種方式:

第一種是十位二進位制表示法,(三個屬組每個使用二進位制位,再加一個最高位共十位),可簡化為三位八進位制形式

另外一種十二位二進位制表示法(十二個二進位制位),可簡化為四位八進位制形式

十位許可權表示

常見的許可權表示形式有:

-rw————- (600) 只有擁有者有讀寫許可權。 -rw-r——r—— (644) 只有擁有者有讀寫許可權;而屬組使用者和其他使用者只有讀許可權。 -rwx———— (700) 只有擁有者有讀、寫、執行許可權。 -rwxr-xr-x (755) 擁有者有讀、寫、執行許可權;而屬組使用者和其他使用者只有讀、執行許可權。 -rwx——x——x (711) 擁有者有讀、寫、執行許可權;而屬組使用者和其他使用者只有執行許可權。 -rw-rw-rw- (666) 所有使用者都有檔案讀、寫許可權。 -rwxrwxrwx (777) 所有使用者都有讀、寫、執行許可權。

後九位解析: 我們知道Linux許可權總共有三個屬組,這裡我們給每個屬組使用三個位置來定義三種操作(讀、寫、執行)許可權,合起來則是許可權的後九位。 上面我們用字元表示許可權,其中 -代表無許可權,r代表讀許可權,w代表寫許可權,x代表執行許可權。

實際上,後九位每個位置的意義(代表某個屬組的某個許可權)都是固定的,如果我們將各個位置許可權的有無用二進位制數 1和 0來代替,則只讀、只寫、只執行許可權,可以用三位二進位制數表示為

r—— = 100 -w- = 010 ——x = 001 ——- = 000

轉換成八進位制數,則為 r=4, w=2, x=1, -=0(這也就是用數字設定許可權時為何是4代表讀,2代表寫,1代表執行)

實際上,我們可以將所有的許可權用二進位制形式表現出來,並進一步轉變成八進位制數字:

rwx = 111 = 7 rw- = 110 = 6 r-x = 101 = 5 r—— = 100 = 4 -wx = 011 = 3 -w- = 010 = 2 ——x = 001 = 1 ——- = 000 = 0

由上可以得出,每個屬組的所有的許可權都可以用一位八進位制數表示,每個數字都代表了不同的許可權(權值)。如 最高的許可權為是7,代表可讀,可寫,可執行。

故 如果我們將每個屬組的許可權都用八進位制數表示,則檔案的許可權可以表示為三位八進位制數

-rw————- = 600 -rw-rw-rw- = 666 -rwxrwxrwx = 777

關於第一位最高位的解釋: 上面我們說到了許可權表示中後九位的含義,剩下的第一位代表的是檔案的型別,型別可以是下面幾個中的一個:

d代表的是目錄

(directroy)

-代表的是檔案

(regular file)

s代表的是套字檔案

(socket)

p代表的管道檔案

(pipe)

或命名管道檔案

(named pipe)

l代表的是符號連結檔案

(symbolic link)

b代表的是該檔案是面向塊的裝置檔案

(block-oriented device file)

c代表的是該檔案是面向字元的裝置檔案

(charcter-oriented device file)

十二位許可權(Linux附加許可權)

附加許可權相關概念

linux除了設定正常的讀寫操作許可權外,還有關於一類設定也是涉及到許可權,叫做Linxu附加許可權。包括 SET位許可權(suid,sgid)和粘滯位許可權(sticky)。

SET位許可權:

suid/sgid是為了使“沒有取得特權使用者要完成一項必須要有特權才可以執行的任務”而產生的。 一般用於給可執行的程式或指令碼檔案進行設定,其中SUID表示對屬主使用者增加SET位許可權,SGID表示對屬組內使用者增加SET位許可權。執行檔案被設定了SUID、SGID許可權後,任何使用者執行該檔案時,將獲得該檔案屬主、屬組賬號對應的身份。在許多環境中,suid 和 sgid 很管用,但是不恰當地使用這些位可能使系統的安全遭到破壞。所以應該儘量避免使用SET位許可權程式。(passwd 命令是為數不多的必須使用“suid”的命令之一)。

suid(set User ID,set UID)的意思是程序執行一個檔案時通常保持程序擁有者的UID。然而,如果設定了可執行檔案的suid位,程序就獲得了該檔案擁有者的UID。

sgid(set Group ID,set GID)意思也是一樣,只是把上面的程序擁有者改成程序組就好了。

SET位許可權表示形式(10位許可權):

如果一個檔案被設定了suid或sgid位,會分別表現在所有者或同組使用者的許可權的可執行位上;如果檔案設定了suid還設定了x(執行)位,則相應的執行位表示為s(小寫)。但是,如果沒有設定x位,它將表示為S(大寫)。如:

1、-rwsr-xr-x 表示設定了suid,且擁有者有可執行許可權 2、-rwSr——r—— 表示suid被設定,但擁有者沒有可執行許可權 3、-rwxr-sr-x 表示sgid被設定,且群組使用者有可執行許可權 4、-rw-r-Sr—— 表示sgid被設定,但群組使用者沒有可執行許可權

設定方式:

SET位許可權可以透過chmod命令設定,給檔案加suid和sgid的命令如下(類似於上面chmod賦予一般許可權的命令):

chmod

u+

s

filename 設定suid位

chmod

u-

s

filename 去掉suid設定

chmod

g+

s

filename 設定sgid位

chmod

g-

s

filename 去掉sgid設定

粘滯位許可權:

粘滯位許可權即sticky。一般用於為目錄設定特殊的附加許可權,當目錄被設定了粘滯位許可權後,即便使用者對該目錄有寫的許可權,也不能刪除該目錄中其他使用者的檔案資料。設定了粘滯位許可權的目錄,是用ls檢視其屬性時,其他使用者許可權處的x將變為t。 使用chmod命令設定目錄許可權時,+t、-t許可權模式可分別用於新增、移除粘滯位許可權。

粘滯位許可權表示形式(10位許可權):

一個檔案或目錄被設定了粘滯位許可權,會表現在其他組使用者的許可權的可執行位上。如果檔案設定了sticky還設定了x(執行)位,其他組使用者的許可權的可執行位為t(小寫)。但是,如果沒有設定x位,它將表示為T(大寫)。如:

1、-rwsr-xr-t 表示設定了粘滯位且其他使用者組有可執行許可權 2、-rwSr——r-T 表示設定了粘滯位但其他使用者組沒有可執行許可權

設定方式:

sticky許可權同樣可以透過chmod命令設定:

chmod +t <檔案列表。。>

十二位的許可權表示方法

附加許可權除了用十位許可權形式表示外,還可以用用十二位字元表示。

11 10 9 8 7 6 5 4 3 2 1 0 S G T r w x r w x r w x

SGT分別表示SUID許可權、SGID許可權、和 粘滯位許可權,這十二位分別對應關係如下:

第11位為SUID位,第10位為SGID位,第9位為sticky位,第8-0位對應於上面的三組rwx位(後九位)。

在這十二位的每一位上都置值。如果有相應的許可權則為1, 沒有此許可權則為0。

-rw-r-sr—— 的值為: 0 1 0 1 1 0 1 0 0 1 0 0 -rwsr-xr-x 的值為: 1 0 0 1 1 1 1 0 1 1 0 1 -rwsr-sr-x 的值為: 1 1 0 1 1 1 1 0 1 1 0 1 -rwsr-sr-t 的值為: 1 1 1 1 1 1 1 0 1 1 0 1

如果將則前三位SGT也轉換成一個二進位制數,則

suid 的八進位制數字是4

sgid 的代表數字是 2

sticky 位代表數字是1

這樣我們就可以將十二位許可權三位三位的轉化為4個八進位制數。其中

最高的一位八進位制數就是suid,sgdi,sticky的權值。

第二位為 擁有者的權值

第三位為 所屬組的權值

最後一位為 其他組的權值

附加許可權的八進位制形式

透過上面,我們知道,正常許可權和附加許可權可以用4位八進位制數表示。類似於正常許可權的數字許可權賦值模式(使用三位八進位制數字賦值)

chmod file。。。

我們可以進一步使用4位八進位制數字同時賦值正常許可權和附加許可權。

chmod file。。。

其中s是表示附加許可權的把八進位制數字,abc與之前一致,分別是對應User、Group、及Other(擁有者、群組、其他組)的許可權。因為SUID對應八進位制數字是4,SGID對於八進位制數字是2,則“4755”表示設定SUID許可權,“6755”表示同時設定SUID、SGID許可權。

我們進一步將上小節的例子中的二進位制數轉變為八進位制表示形式,則

-rw-r-sr—— = 0 1 0 1 1 0 1 0 0 1 0 0 = 2644 -rwsr-xr-x = 1 0 0 1 1 1 1 0 1 1 0 1 = 4755 -rwsr-sr-x = 1 1 0 1 1 1 1 0 1 1 0 1 = 6755 -rwsr-sr-t = 1 1 1 1 1 1 1 0 1 1 0 1 = 7755

對比範例:

設定 netlogin 的許可權為擁有者可讀寫執行,群組和其他許可權為可讀可執行

chmod 755 netlogin

設定 netlogin 的許可權為擁有者可讀寫執行,群組和其他許可權為可讀可執行,並且設定suid

chmod 4755 netlogin

chmod 4755與chmod 755對比多了附加許可權值4,這個4表示其他使用者執行檔案時,具有與所有者同樣的許可權(設定了SUID)。

為什麼要設定4755 而不是 755?

假設netlogin是root使用者建立的一個上網認證程式,如果其他使用者要上網也要用到這個程式,那就需要root使用者執行chmod 755 netlogin命令使其他使用者也能執行netlogin。但假如netlogin執行時需要訪問一些只有root使用者才有權訪問的檔案,那麼其他使用者執行netlogin時可能因為許可權不夠還是不能上網。這種情況下,就可以用 chmod 4755 netlogin 設定其他使用者在執行netlogin也有root使用者的許可權,從而順利上網。

在 Linux 命令中,

chmod

用於

修改檔案或者目錄的許可權

。對於檔案或者目錄的普通許可權,共有 3 種,分別為:

r

:讀取;

w

:寫入;

x

:執行。

此外,還有 3 種特殊許可權,分別為:

suid

:Set User ID;

sgid

:Set Group ID;

sticky

:粘滯位。

在此,我們僅介紹如何利用

chmod

修改檔案及目錄的普通許可權。

許可權範圍及代號

檔案及目錄的許可權範圍,包括:

u

:User,即檔案或目錄的擁有者;

g

:Group,即檔案或目錄的所屬群組;

o

:Other,除了檔案或目錄擁有者或所屬群組之外,其他使用者皆屬於這個範圍;

a

:All,即全部的使用者,包含擁有者、所屬群組以及其他使用者。

許可權的代號包括:

r

:讀取許可權,數字代號為

4

w

:寫入許可權,數字代號為

2

x

:執行或切換許可權,數字代號為

1

-

:不具任何許可權,數字代號為

0

s

:當檔案被執行時,根據

who

引數指定的使用者型別設定檔案的

setuid

或者

setgid

許可權。

語法及選項說明

chmod

語法:

chmod [-cfRv][——help][——version][<許可權範圍>+/-/=<許可權設定。。。>][檔案或目錄。。。]

chmod [-cfRv][——help][——version][數字代號][檔案或目錄。。。]

chmod [-cfRv][——help][——reference=<參考檔案或目錄>][——version][檔案或目錄。。。]

選項說明:

-c

——changes

:效果類似

-v

引數,但僅返回更改的部分;

-f

——quiet

——silent

:不顯示錯誤資訊;

-R

——recursive

:遞迴處理,將指定目錄下的所有檔案及子目錄一併處理;

-v

——verbose

:顯示指令執行過程;

——help

:顯示線上幫助資訊;

——reference=<參考檔案或目錄>

:把指定檔案或目錄的許可權全部設成和參考檔案或目錄的許可權相同;

——version

:顯示版本資訊;

<許可權範圍>+<許可權設定>

:開啟許可權範圍的檔案或目錄的該項許可權設定;

<許可權範圍>-<許可權設定>

:關閉許可權範圍的檔案或目錄的該項許可權設定;

<許可權範圍>=<許可權設定>

:指定許可權範圍的檔案或目錄的該項許可權設定。

示例

首先,我們透過

ls -l

命令來看看檔案及目錄的相關資訊:

Linux許可權詳解 命令之 chmod:修改許可權

如上圖所示,以其為例,我們依次來分析各內容代表的含義,

第 1 行:

total 16

,表示所列出內容的磁碟佔用空間總和值,單位為

KB

第 1 列:

dr-xr-x-r-x

,表示檔案或目錄的型別及許可權;

第 2 列:

4

,表示檔案或目錄的連結個數;

第 3 列:

bin。guo

,表示檔案或目錄的所有者;

第 4 列:

staff

,表示檔案或目錄的所在群組;

第 5 列:

136

,表示檔案或目錄本身的大小;

第 6 列:

Nov 24 11:26

,表示檔案或目錄的最後更新時間;

第 7 列:

a

,表示檔案或目錄的名稱。

其中

第 1 列

的內容(除

total

外)特別豐富,以

dr-xr-x-r-x

為例(共 10 個字元),我們對其進一步分析:

第 1 個字元

d

,表示檔案或目錄的型別,其型別包括

p

,表示命名管道檔案;

d

,表示目錄檔案;

l

,表示符號連線檔案;

-

,表示普通檔案;

s

,表示 Socket 檔案;

c

,表示字元裝置檔案;

b

,表示塊裝置檔案。

第 2 ~ 4 個字元

r-x

,表示檔案或目錄的所有者許可權;

第 5 ~ 7 個字元

r-x

,表示檔案或目錄的所有者同組使用者許可權;

第 8 ~ 10 個字元

r-x

,表示檔案或目錄的其他使用者許可權。

此外,大家可能還注意到有些檔案或目錄在其顯示的許可權後面還跟著一個字元,或者為

或者為

@

,具體:

在 Mac 終端中顯示為

@

在 Linux 系統中顯示為

這表示其所屬的檔案或目錄開啟了

SELinux

安全上下文標籤,如果沒有,則表示未開啟。

接下來,演示一些具體的操作示例:

示例 1

:新增所有使用者對

test-one

的執行許可權

Linux許可權詳解 命令之 chmod:修改許可權

示例 2

:取消

test-one

所有者群組使用者的執行許可權及其他使用者的寫入許可權

Linux許可權詳解 命令之 chmod:修改許可權

示例 3

:遞迴取消資料夾

a

的所有使用者的執行許可權

Linux許可權詳解 命令之 chmod:修改許可權

示例 4

:新增所有使用者對

test-one

的所有許可權

Linux許可權詳解 命令之 chmod:修改許可權

示例 5

:取消

test-one

所有者的執行許可權及其他使用者的所有許可權

Linux許可權詳解 命令之 chmod:修改許可權

在 Linux 的眾多命令中,

chmod

命令算是比較簡單的一個了。以此為始,讓我們一起感受 Linux 的魅力吧!

轉自:

https://

blog。csdn。net/u01319762

9/article/details/73608613

https://

blog。csdn。net/qq_352466

20/article/details/78624256