作者：王旭東 At xmu.edu.cn
來自：LinuxSir.Org
摘要：本文主要講述Linux 系統中目錄和文件權限設置；通過理論和實踐相結合的方式，引導初學者對文件和目錄的權限了解并深入；

目錄索引

一、文件和目錄權限概述；
二、一般權限
三、特殊權限
四、使用文件管理器來改變文件或目錄的權限：
五、使用chmod和數字改變文件或目錄的訪問權限
六、使用命令chown改變目錄或文件的所有權
七、關于本文；
八、參考文檔；
九、相關文檔；

++++++++++++++++++++++++++++++++++++++++++++++++++++++++
正文
++++++++++++++++++++++++++++++++++++++++++++++++++++++++

一、文件和目錄權限概述

在linux中的每一個文件或目錄都包含有訪問權限，這些訪問權限決定了誰能訪問和如何訪問這些文件和目錄。

通過設定權限可以從以下三種訪問方式限制訪問權限：只允許用戶自己訪問；允許一個預先指定的用戶組中的用戶訪問；允許系統中的任何用戶訪問。同時，用戶能 夠控制一個給定的文件或目錄的訪問程度。一個文件活目錄可能有讀、寫及執行權限。當創建一個文件時，系統會自動地賦予文件所有者讀和寫的權限，這樣可以允 許所有者能夠顯示文件內容和修改文件。文件所有者可以將這些權限改變為任何他想指定的權限。一個文件也許只有讀權限，禁止任何修改。文件也可能只有執行權 限，允許它想一個程序一樣執行。

三種不同的用戶類型能夠訪問一個目錄或者文件：所有著、用戶組或其他用戶。所有者就是創建文件的用戶，用戶是所有用戶所創建的文件的所有者，用戶可以允許 所在的用戶組能訪問用戶的文件。通常，用戶都組合成用戶組，例如，某一類或某一項目中的所有用戶都能夠被系統管理員歸為一個用戶組，一個用戶能夠授予所在 用戶組的其他成員的文件訪問權限。最后，用戶也將自己的文件向系統內的所有用戶開放，在這種情況下，系統內的所有用戶都能夠訪問用戶的目錄或文件。在這種 意義上，系統內的其他所有用戶就是other用戶類。

每一個用戶都有它自身的讀、寫和執行權限。第一套權限控制訪問自己的文件權限，即所有者權限。第二套權限控制用戶組訪問其中一個用戶的文件的權限。第三套 權限控制其他所有用戶訪問一個用戶的文件的權限，這三套權限賦予用戶不同類型（即所有者、用戶組和其他用戶）的讀、寫及執行權限就構成了一個有9種類型的 權限組。

我們可以用-l參數的ls命令顯示文件的詳細信息，其中包括權限。如下所示：

當執行ls -l 或 ls -al 命令后顯示的結果中，最前面的第2～10個字符是用來表示權限。第一個字符一般用來區分文件和目錄：

下面詳細介紹一下權限的種類和設置權限的方法。

二、一般權限

第2～10個字符當中的每3個為一組，左邊三個字符表示所有者權限，中間3個字符表示與所有者同一組的用戶的權限，右邊3個字符是其他用戶的權限。這三個一組共9個字符，代表的意義如下：
r(Read，讀取)：對文件而言，具有讀取文件內容的權限；對目錄來說，具有瀏覽目 錄的權限。
w(Write,寫入)：對文件而言，具有新增、修改文件內容的權限；對目錄來說，具有刪除、移動目錄內文件的權限。
x(eXecute，執行)：對文件而言，具有執行文件的權限；對目錄了來說該用戶具有進入目錄的權限。
－：表示不具有該項權限。

下面舉例說明：

每個用戶都擁有自己的專屬目錄，通常集中放置在/home目錄下，這些專屬目錄的默認權限為rwx------:

表示目錄所有者本身具有所有權限，其他用戶無法進入該目錄。執行mkdir命令所創建的目錄，其默認權限為rwxr-xr-x,用戶可以根據需要修改目錄的權限。

此外，默認的權限可用umask命令修改，用法非常簡單，只需執行umask 777 命令，便代表屏蔽所有的權限，因而之后建立的文件或目錄，其權限都變成000，依次類推。通常root帳號搭配umask命令的數值為022、027和 077，普通用戶則是采用002，這樣所產生的權限依次為755、750、700、775。有關權限的數字表示法，后面將會詳細說明。
用戶登錄系統時，用戶環境就會自動執行rmask命令來決定文件、目錄的默認權限。

三、特殊權限

其實文件與目錄設置不止這些，還有所謂的特殊權限。由于特殊權限會擁有一些“特權”，因而用戶若無特殊需求，不應該啟用這些權限，避免安全方面出現嚴重漏洞，造成黑客入侵，甚至摧毀系統!!!
s或S（SUID,Set UID）：可執行的文件搭配這個權限，便能得到特權，任意存取該文件的所有者能使用的全部系統資源。請注意具備SUID權限的文件，黑客經常利用這種權 限，以SUID配上root帳號擁有者，無聲無息地在系統中開扇后門，供日后進出使用。
s或S（SGID，Set GID）：設置在文件上面，其效果與SUID相同，只不過將文件所有者換成用戶組，該文件就可以任意存取整個用戶組所能使用的系統資源。
T或T（Sticky）：/tmp和 /var/tmp目錄供所有用戶暫時存取文件，亦即每位用戶皆擁有完整的權限進入該目錄，去瀏覽、刪除和移動文件。

因為SUID、SGID、Sticky占用x的位置來表示，所以在表示上會有大小寫之分。加入同時開啟執行權限和SUID、SGID、Sticky，則權限表示字符是小寫的：

如果關閉執行權限，則表示字符會變成大寫：

四、使用文件管理器來改變文件或目錄的權限：

如果用戶要改變一個文件目錄的權限，右擊要改變權限的文件或者目錄，在彈出的快捷菜單中選擇“屬性”，系統將打開屬性對話框

在“屬性”對話框中，單擊“權限”標簽，就會打開“權限”選項卡。

在這里你可以修改文件或者目錄的所有者、組群和其他用戶的權限，而且可以設置特殊權限

對于特殊權限，最好不要設置，不然會帶來很嚴重的安全問題。

當然，在這里你也可以改變文件和目錄的所有者和所屬組。

五、使用chmod和數字改變文件或目錄的訪問權限

文件和目錄的權限表示，是用rwx這三個字符來代表所有者、用戶組和其他用戶的權限。有時候，字符似乎過于麻煩，因此還有另外一種方法是以數字來表示權限，而且僅需三個數字。

　　數字設定的關鍵是mode的取值，一開始許多初學者會被搞糊涂，其實很簡單，我們將rwx看成二進制數，如果有則有1表示，沒有則有0表示，那么rwx r-x r- -則可以表示成為：

　　那么，我們先根據上表得到權限串為：rw-rw-r--，那么轉換成二進制數就是110 110 100，再每三位轉換成為一個十進制數，就得到664，因此我 們執行命令：

按照上面的規則，rwx合起來就是4+2+1＝7，一個rwxrwxrwx權限全開放的文件，數值表示為777；而完全不開放權限的文件“－－－－－－－－－”其數字表示為000。下面舉幾個例子：

在文本模式下，可執行chmod命令去改變文件和目錄的權限。我們先執行ls -l 看看目錄內的情況：

可以看到當然文件conkyrc.sample文件的權限是644,然后把這個文件的權限改成777。執行下面命令

然后ls -l看一下執行后的結果：

可以看到conkyrc.sample文件的權限已經修改為rwxrwxrwx

如果要加上特殊權限，就必須使用4位數字才能表示。特殊權限的對應數值為：

加入想一次修改某個目錄下所有文件的權限，包括子目錄中的文件權限也要修改，要使用參數－R表示啟動遞歸處理。

例如：

六、使用命令chown改變目錄或文件的所有權

文件與目錄不僅可以改變權限，其所有權及所屬用戶組也能修改，和設置權限類似，用戶可以通過圖形界面來設置，或執行chown命令來修改。

我們先執行ls -l看看目錄情況：

可以看到conkyrc.sample文件的所屬用戶組為root，所有者為root。

執行下面命令，把conkyrc.sample文件的所有權轉移到用戶user:

要改變所屬組，可使用下面命令：

要修改目錄的權限，使用－R參數就可以了，方法和前面一樣。

七、關于本文；

八、參考文檔；

九、相關文檔；