Linux 文件权限管理详解

第一列用户名代表的就是该文件的拥有者，一般谁创建就是谁；第二列用户名就代表该文件的所属组，默认是创建者单独一组，不过可以修改。

Linux 中的角色分 3 类：文件拥有者、文件所属组、other。

• other 不需要存储，只要是拥有者或者所属组就一定不是 other，所以 other 不显示。
• 注意角色是一层身份，它需要依附于具体的人，人 = 真实的人 + 身份角色。
• 所属组存在的原因，是多人使用同一台服务器时，便于分组管理权限，比如某些文件哪些人可看那些人不可看就可以通过所属组实现。

接下来我们来看具体的访问权限。

3.认识文件的访问权限

首先需要知道这些权限：r 代表可读权限、w 代表可修改权限、x 代表可执行权限。除去第一列代表文件类型的字符，剩下的 9 个字符每 3 个为一组，分别代表拥有者权限、所属组权限、other 权限。（- 代表无此权限）

以拥有者为例，rwx 一组，这 3 个字母的位置是固定的，有这个权限对应位置就有这个字母，没有就是 - 。下面我们来讲如何修改这些权限。

四、chmod 指令

1.用法 1：chmod [角色字符][+/-/=][权限] [文件名]

chmod 指令就是用来设置文件的访问权限。

角色字符：

• u：拥有者
• g：所属组
• o：其它用户
• a：所有用户

+ / - / = ：

• +：向权限范围增加权限代号所表示的权限
• -：向权限范围取消权限代号所表示的权限
• =：向权限范围赋予权限代号所表示的权限

常用选项：

• R -> 递归修改目录文件的权限

说明：只有文件的拥有者和 root 才可以改变文件的权限。

演示：

• 取消拥有者 w 权限，使其无法写入文件。
• 取消拥有者 r 权限，使其无法读文件。
• 取消所属组的 rw 权限。
• 取消 other 的 r 权限。
• 一次性给三位角色增加不同权限。
• 一次性取消三位角色的不同权限。
• 给所有人增加 r 权限。
• 给所有人取消 r 权限。
• 最后，给所有人增加所有权限。（绿色一般代表可执行文件，但 test.txt 并不是一个可执行文件）Linux 下能执行 = 真的是一个可执行文件 + 可执行权限
• 给所有人取消可执行文件。

注意，取消权限时即使有角色对应权限本来就没有，也不会有影响，所以 a-rwx 就能直接取消全部权限。然后如果增加或者取消权限时，没有带上用户字符，直接 + 或者 - 权限时，默认是给所有人加减权限。只有文件的拥有者和 root 能修改文件的访问权限。

"Permission denied" 的核心翻译是 '权限被拒绝'。

（1）root 不受访问权限约束：

root 用户可以无视文件权限进行操作。

（2）文件识别访问者身份时，只会识别一次

你有没有疑惑过，一个用户既是文件的拥有者又是文件的所属组，那他能通过所属组的权限来访问文件吗？

如：很明显，user1 作为拥有者和所属组，如果对应拥有者权限没有，即使对应所属组有权限，那 user1 也不能访问文件。这就是因为文件在第一次识别操作者身份时，会依次对比其是否为：拥有者->所属组->other。一旦识别到操作者身份为拥有者时，就不会往下识别了，以后该操作者只能使用拥有者的权限。同理，如果操作者为所属组，在文件第一次识别到操作者身份是所属组后，以后该操作者只能使用该文件的所属组权限。我们可以使用 chgrp 指令修改所属组对应的用户（下文详说）

2.用法 2：chmod [数字] [文件名]

3 个字符为一组的权限，每个位置有两种情况 (r/-)(w/-)(x/-)，在 C 语言中 1 表示有 0 表示无，所以 rwx 可以用二进制 111 代替，换算为八进制就是 7。所以每组权限无非以下 8 种情况：000、001、010、011、100、101、110、111；并且可以用八进制代替表示：0、1、2、3、4、5、6、7。

所以 chmod 加数字就能设置文件权限。

• 如：给拥有者和所属组设置 rw-（110 / 6）权限、给 other 设置 r--（100 / 4）权限。
• 如：给所有人所有权限。
• 如：去掉所有人所有权限。

两种方法各有好处，自行选择即可：用法 1 可读性强，用法 2 便捷性强。

五、chgrp 和 chown 指令

1.chgrp 指令

用法：chgrp [用户名] [文件名] 功能：修改文件或目录的所属组。

**演示：**注意普通用户需要 sudo 提权。 现在 txp 用户就能使用该文件的所属组权限了。

注意：以上操作在其他用户的家目录下可能不成功，这是因为家目录也存在权限，我们可以在根目录下创建一个所有人都有完整权限的目录进行操作验证。

2.chown 指令

用法 1：chown [用户名] [文件名] 说明：修改文件的拥有者，需要 root 权限或者 sudo 提权。

用法 2：chown [用户名]:[用户名] [文件名] 说明：同时修改文件的拥有者和所属组，同样需要 root 或者 sudo 提权。

演示：

• 修改拥有者：此时 user1 不具备拥有者权限，只有所属组权限。
• 同时修改拥有者和所属组。

温馨提示：如果一个用户对某文件没有 r 权限，那么该用户无论用什么工具（包括但不限于：nano、vim 等）都无法查看文件内容。

六、目录权限

前面我们都是在说普通文件的权限，那么对于目录的权限有什么不一样呢？

下面是使用 root 用户在根目录下创建的一个全权限的目录。

现在，我们来了解目录的 r w x 权限分别对应什么功能：

1. 对于目录的 r 权限，如果没有就无法查看该目录下的所有文件和文件内容。
   • 演示，只去掉 r。
2. 对于目录的 w 权限，如果没有就不能修改该目录下的所有文件，包括创建、删除、移动、拷贝等操作。
   • 演示，只去掉 w。
3. 对于目录的 x 权限，如果没有就无法进入该目录。
   • 演示：只去掉 x。

家目录，只有对应的拥有者拥有权限，其他普通用户没有任何权限：

同样，对于根目录，只有 root 有修改的权限：

七、缺省权限

1.什么是缺省权限

缺省权限其实就是我们在创建文件或目录时系统默认给出的权限，一般对于普通文件缺省权限为 664(rw-rw-r--)，对于目录缺省权限一般是 775(rwxrwxr-x)。

但这缺省权限其实并不是文件的初始权限，对于普通文件的初始权限一般为 666(rw-rw-rw-)，对于目录的初始权限一般是 777(rwxrwxrwx)，那为什么最终会变为缺省权限的 664 和 775 呢？这其实的奥秘就是权限掩码->umask。

2.权限掩码：umask

使用指令 umask 就能查看当前的权限掩码：一般默认就是 002，最前面那个 0 暂时可以忽略。

哪权限掩码是做什么的呢？权限掩码的功能：设置缺省权限。

权限掩码设置缺省权限的原理：缺省权限 = 起始权限 & (~umask)

说明：这其实是二进制的位运算，缺省权限等于起始权限的二进制码与权限掩码的反码的与运算结果。

**演示：**664 和 775 的缺省权限由来。

设置缺省权限演示：

用法：umask [数字]

例如 1：设置权限掩码为 000，效果就是初始权限是多少就是多少，也就是 666 和 777。

例如 2：设置权限掩码为 777，因为其反码为 000，0&任何都是 0，所以效果就是权限为 0。

umask 设置缺省权限在一些常见下还是有意义的，更加方便初始化文件的权限等等。

八、粘滞位

1.什么是粘滞位： 粘滞位其实就是将目录权限的最后一位，也就是 other 的 x 权限修改为 t。

用法：chmod +t [目录]（普通用户需要 sudo 提权）

说明：粘滞位只能给目录设置，不需要给普通文件设置。

2.粘滞位有什么用： 在设置了粘滞位的目录下，用户创建的文件其他人无法删除，只有文件的拥有者具有删除文件的权限。root 无视。

粘滞位的用处：

比如现在需要一个共享文件，那么 root 可以在根目录下创建一个全权限的目录，提供给所有用户使用。

现在，txp 在该目录中创建一个文件，并限制其他人只有读的权限。

但是，不合理的是，其他用户可以直接删掉该文件。

这里的原因就是目录给了所有人修改的权限，普通文件是否可删除在于目录是否给了 w 权限，所以为了解决这个问题，粘滞位就出现了，只要使用 chmod +t 给对应目录加上粘滞位，文件的删除只能是该文件的拥有者。

先加上粘滞位，目录的最后一个权限位会变为 t。

此时，txp 创建一个文件。

其他用户就无法删除 txp 创建的文件了。

只要该文件的拥有者或者 root 才能删除该文件。

最后说明一下，Linux 根目录中存在默认的共享目录：tmp。

很明显的能看到其粘滞位 t。