带你了解Linux的文件权限（带你了解linux的文件权限）

众所周知，Linux之所以更加安全，其根源在于对文件权限有着非常严格的控制。本文将简单介绍一下Linux的文件权限及其相关操作。

一、相关概念

1.1 权限简介

执行“ls -l”命令后就可以查看某一个目录文件的目录项以及对应的权限，如下图所示：

对于上图中的结果而言，每列均代表不同的含义。

（1）第一列由10个字符组成，首个字符用于表示该文件的类型。对于该字符而言，每个字符对应的含义如下所示：

接下来的属性中，每3个字符为一组，每组分别代表不同的含义。其中，第2~4个字符代表该文件所有者（user）的权限，第5~7个字符代表该文件所属组（group）的权限，第8~10个字符代表其他用户（others）能够拥有的权限。

对于每组而言，都由rwx这三个字符组合。其中，r表示读权限，位于首个字符；w表示写权限，位于第二个字符；x表示执行权限，位于最后一个字符。若无对应的权限，则对应位置处会用 " - " 代替。

（2）第二列表示"连接数”。若文件为非目录文件，则连接数为1。若该文件为目录文件，则其连接数是该目录中所有直接子目录的总个数+2，假如目录A中包含目录B和C，则目录A的连接数为4。

（3）第三列表示该文件所属的用户

（4）第四列代表该文件所属的用户组。

（5）第五列表示该文件的大小。

（6）第六列到第八列表示文件的创建时间或最近修改时间，每列依次表示为：月份、日期和时刻。

（7）第九列为文件名。

1.2 隐藏属性

查看文件的隐藏属性需要使用lsattr命令，默认情况下，文件的隐藏属性不会进行设置。下面给出对应的例子：

从上述结果中可知，第一列是13个小短横，其中每一个小横线都是一个属性，如果当前位置上设置了该属性就会显示相对应的字符。

如果要设置文件的隐藏属性，需要使用chattr命令。这里介绍几个常用的隐藏属性，第一种就是 a 属性。拥有这种属性的文件只能在尾部增加数据而不能被删除。比如下面的例子：

还有一种比较常用的属性，也就是 i 属性。当一个文件被设置了i属性后，将无法进行写入、重命名、删除等操作，即便该用户是root用户也依然不会被允许。这种属性常用于系统或者关键服务中相关配置文件的设置，可以在一定程度上提升系统的安全性。

如果需要了解更多的隐藏属性，可以使用man chattr来查询。

1.3 默认权限和遮罩值

所有的文件在创建时都被系统分配默认的权限，下面给出一个例子。

首先使用root用户登录系统，并执行如下命令：

touch root_file1 root_file2
mkdir root_dir1 root_dir2

接着使用如下命令来查看创建文件的默认权限：

ls -ld root_*

执行结果如下所示：

从上面可以得知，创建的root_file1、root_file2文件的权限都是644；而创建的root_dir1、root_dir2目录的权限都是755。此时好像可以得出一个结论：文件的权限默认是644，目录的默认权限是755。

为了验证这个结论是否正确，我们需要切换另一个普通用户再次进行尝试，执行的命令如下所示：

touch u_file1 u_file2
mkdir u_dir1 u_dir2

接着使用如下命令来查看创建文件的默认权限：

ls -ld u_*

执行结果如下所示：

这里创建的u1_file1、u1_file2文件的权限都是664；而创建的u1_dir1、u1_dir2目录的权限都是775。

此时就会产生一个疑问，这个默认权限是从何而来的？为何root用户和普通用户的默认权限会有所不同？

此时就需要引入umask概念，中文翻译为：遮罩。在Linux下，目录创建后的默认权限的值是“被umask遮罩777后的权限”；而对于文件而言，其创建后的默认权限是“umask遮罩666后的权限”。系统在/etc/profile文件中，设置了不同用户的遮罩值。因此，我们使用cat命令查看/etc/profile如下所示：

从上面可以看出，UID大于199的用户设置的umask值为002，相反，小于199的用户则设置为022。也就是说，umask值对于root用户来说是022，对于普通用户则是002。不同用户设置不同的遮罩值，这导致root用户和普通用户创建出来的文件和目录默认权限也有所不同。

那么如何使用遮罩计算权限呢？

777可以表示为：rwxrwxrwx，如果遮罩值是022，用字符串表示为：----w--w-，那么前者第五位和第八位的w被遮罩掉，权限变为rwxr-xr-x，用数字表示就是755。如果遮罩值是002，用字符串表示为：-------w-，那么第八位的w被遮罩掉，权限变为rwxrwxr-x，用数字表示就是775。

666用字符串表示为：rw-rw-rw-，如果遮罩值是022，用字符串表示为：----w--w-，那么前者第五位和第八位的w被遮罩掉，权限变为rw-r--r--，用数字表示就是644。如果遮罩值是002，用字符串表示为：-------w-，那么第八位的w被遮罩掉，权限变为rw-rw-r--，用数字表示就是664。

二、相关操作

对于文件的权限的操作有三种，分别是：改变权限、改变文件拥有者和改变文件拥有组。

2.1 改变文件权限

改变文件权限对应命令为：chmod。在Linux下，每个文件都会定义对应的文件创建者（user）、拥有组（group）以及其他用户（others）的权限，用字母u（user）、g（group）、o（other）来分别代表拥有者、拥有组和其他人，而对应的具体权限则使用rwx的组合来定义。如果是增加权限，则使用+号；如果是删除权限，则使用-号；如果是设置为某个权限，则使用=号。

如果要给用户组或其他人添加或删除相关权限，只需要将上面的u相应地更换成g或o即可。但是正如大家看到的，这种方式在同一时刻只能给文件拥有者、文件拥有组或是其他所有人设置权限，如果要想同时为所有用户设置权限就需要使用数字表示法。需要说明的是，r为4，w为2，x为1。如果权限是rwx，则用数字7表示；如果权限是r-x，则用数字5表示。假设想设置一个文件的权限是：拥有者的权限是读、写、执行（rwx），拥有组的权限是读、执行（r-x），其他人的权限是只读（r--），那么可以使用命令chmod 754 somefile来进行设置。

下面给出对应的例子。

[root@localhost src]# ll
总用量 0
-rw-r--r--. 1 root root 0 5月  20 17:54 test.txt
# 为test.txt所属的用户增加执行权限
[root@localhost src]# chmod u+x test.txt
[root@localhost src]# ll
总用量 0
-rwxr--r--. 1 root root 0 5月  20 17:54 test.txt
# 为test.txt所属用户组增加写入权限
[root@localhost src]# chmod g+w test.txt
[root@localhost src]# ll
总用量 0
-rwxrw-r--. 1 root root 0 5月  20 17:54 test.txt
# 为test.txt文件设置权限：776表示所属用户和所属用户组有读取、写入和执行权限，而其他用户只有读取和写入权限
[root@localhost src]# chmod 776 test.txt
[root@localhost src]# ll
总用量 0
-rwxrwxrw-. 1 root root 0 5月  20 17:54 test.txt

此外，如果需要修改的对象是一个目录而非文件，并且需要对该目录下所有的文件、子目录、以及子目录下所有的文件和目录都进权限设置，此时需要使用-R参数，也就是chmod -R 754 somedir。

2.2 改变文件拥有者

更改文件拥有者的命令为：chown，该命令也具备更改文件拥有组的功能。默认情况下，当前登录系统的用户即为新创建文件或目录的拥有者。下面给出对应的示例：

[root@localhost src]# ll
总用量 0
-rwxrwxrw-. 1 root root 0 5月  20 17:54 test.txt
# 将test.txt的文件拥有者修改为user1
[root@localhost src]# chown user1:user2 test.txt
[root@localhost src]# ll
总用量 0
# 此时发现文件的拥有者已经变为了user1
-rwxrwxrw-. 1 user1 user2 0 5月  20 17:54 test.txt

需要说明的一点，如果修改的对象不是一个文件而是一个目录时，且需要对该目录下所有的文件、子目录以及子目录下所有的文件和目录都需要进行修改时，就需要使用-R参数。

2.3 改变文件拥有组

改变文件拥有者使用的命令为：chgrp，下面给出对应的例子：

[root@localhost src]# ll
总用量 0
-rwxrwxrw-. 1 user1 user2 0 5月  20 17:54 test.txt
# 将test.txt的所属组修改为user1用户组
[root@localhost src]# chgrp user1 test.txt
[root@localhost src]# ll
总用量 0
-rwxrwxrw-. 1 user1 user1 0 5月  20 17:54 test.txt

到此，关于Linux文件权限的接收就已经完毕，希望对大家有所帮助。