一、Linux权限的概念

Linux下有两种用户：超级用户（root）、普通用户。

• 超级用户：可以再linux系统下做任何事情，不受限制
• 普通用户：在linux下做有限的事情。
• 超级用户的命令提示符是“#”，普通用户的命令提示符是“$”。

命令：su [用户名]
功能：切换用户。
例如，要从root用户切换到普通用户user，则使用 su user。 要从普通用户user切换到root用户则使用 suroot（root可以省略），此时系统会提示输入root用户的口令。

二、Linux权限管理

1. 文件访问者的分类

文件访问者分为以下三种：

2. 文件类型和访问权限

2.1 文件类型

d：文件夹
-：普通文件
l：软链接（类似Windows的快捷方式）
b：块设备文件（例如硬盘、光驱等）
p：管道文件
c：字符设备文件（例如屏幕等串口设备）
s：套接口文件
1
2
3
4
5
6
7

2.2 基本权限

读（r）：Read对文件而言，具有读取文件内容的权限；对目录来说，具有浏览该目录信息的权限
写（w）：Write对文件而言，具有修改文件内容的权限；对目录来说具有删除移动目录内文件的权限
执行（x）：execute对文件而言，具有执行文件的权限；对目录来说，具有进入目录的权限
“—”：表示不具有该项权限
1
2
3
4

3. 文件权限值的表示方法

3.1 字符表示法

3.2 八进制和二进制表示法

4. 文件访问权限的相关设置方法

4.1 chmod

功能：设置文件的访问权限
格式：chmod 【选项】【权限】【文件名】
1
2

常用选项;

• -R : 递归修改目录文件的权限
  说明：只有文件的拥有者和root才可以改变文件的权限

chmod命令权限值的格式

1. 用户表示符 +运算符 + 权限字符

用户符号：

运算符：

例如：

# chmod u-r test
1

执行指令后 test 的拥有者 的 r 权限消失。

2. chmod + 三位八进制数字

例如：

# chmod 666 test
1

将test的权限改为： rw-rw-rw-

# chmod 000 test
1

解除 test 的所有权限

4.2 chown

功能：修改文件的拥有者
格式：chown 【选项】【用户名】 【文件名】
1
2

常用选项;

• -R : 递归修改目录文件的拥有者

例如：

# chown user1 f1
# chown -R user1 filegroup1
1
2

4.3 chgrp

功能：修改文件或目录的所属组
格式：chgrp [参数] 用户组名 文件名
1
2

常用选项：

• -R 递归修改文件或目录的所属组

4.4 umask

功能：查看或修改文件掩码
说明：新建文件夹默认权限=0666；新建目录默认权限=0777。但实际上你所创建的文件和目录，看到的权限往往不是上面这个值。原因就是创建文件或目录的时候还要受到umask的影响。假设默认权限是mask，则实际创建的出来的文件权限是: mask & ~umask
格式：umask 【权限值】
说明：将现有的存取权限减去权限掩码后，即可产生建立文件时预设权限。超级用户默认掩码值为0022，普通用户默认为0002。
1
2
3
4

实例：

# umask 755
# umask //查看掩码
# umask 044 //设置掩码
1
2
3

4.5 file指令

功能：辨识文件类型
语法：file 【选项】 【文件或目录】
1
2

常用选项：

• -c 详细显示指令执行过程，便于排错或分析程序执行的情形
• -z 尝试去解读压缩文件的内容

4.6 使用 sudo分配权限

1. 修改/etc/sudoers 文件分配文件

# chmod 740 /etc/sudoers
# vi /etc/sudoer
1
2

格式：接受权限的用户登陆的主机 =（执行命令的用户） 命令

2. 使用 sudo 调用授权的命令

＄ sudo –u 用户名 命令
1

例如：

＄ sudo -u root /usr/sbin/useradd u2
1

5. 目录的权限

目录的权限：

于是, 问题来了：
就是只要用户具有目录的写权限, 用户就可以删除目录中的文件, 而不论这个用户是否有这个文件的写权限.这好像不太科学啊, 我张三创建的一个文件, 凭什么被你李四可以删掉? 我们用下面的过程印证一下：

[root@localhost ~]# chmod 0777 /home/
[root@localhost ~]# ls /home/ -ld
drwxrwxrwx. 3 root root 4096 9月 19 15:58 /home/
[root@localhost ~]# touch /home/root.c
[root@localhost ~]# ls -l /home/
总用量 4
-rw-r--r--. 1 root root 0 9月 19 15:58 abc.c
drwxr-xr-x. 27 litao litao 4096 9月 19 15:53 litao
-rw-r--r--. 1 root root 0 9月 19 15:59 root.c
[root@localhost ~]# su - litao
[litao@localhost ~]$ rm /home/root.c #litao可以删除root创建的文件
rm：是否删除有写保护的普通空文件 "/home/root.c"？y
[litao@localhost ~]$ exit
logout
1
2
3
4
5
6
7
8
9
10
11
12
13
14

为了解决这个不科学的问题, Linux引入了粘滞位的概念。

6. 粘滞位

[root@localhost ~]# chmod +t /home/ # 加上粘滞位
[root@localhost ~]# ls -ld /home/
drwxrwxrwt. 3 root root 4096 9月 19 16:00 /home/
[root@localhost ~]# su - litao
[litao@localhost ~]$ rm /home/abc.c #litao不能删除别人的文件
rm：是否删除有写保护的普通空文件 "/home/abc.c"？y
rm: 无法删除"/home/abc.c": 不允许的操作
1
2
3
4
5
6
7

当一个目录被设置为"粘滞位" (用chmod +t)，则该目录下的文件只能由：

1. 超级管理员删除
2. 该目录的所有者删除
3. 该文件的所有者删除

三、权限总结

• 目录的可执行权限是表示你可否在目录下执行命令。
• 如果目录没有-x权限，则无法对目录执行任何命令，甚至无法cd 进入目, 即使目录仍然有-r 读权限。（这个地方很容易犯错，认为有读权限就可以进入目录读取目录下的文件）
• 而如果目录具有-x权限，但没有-r权限，则用户可以执行命令，可以cd进入目录。但由于没有目录的读
  权限。
• 所以在目录下，即使可以执行ls命令，但仍然没有权限读出目录下的文档。