1.在做檔案許可權管理之前，我們先了解下檔案的基本屬性，執行 ll 或者ls -l，檢視檔案的基本屬性，以及所屬的使用者和組：

第一列中：

第一個字元：

d：表示目錄；

-：表示檔案；

rwx：

r：讀許可權

w：寫許可權

x：執行許可權

三個為一組，沒有該許可權時，用  -  表示，第一組為屬主許可權，第二組為屬組許可權，第三組為其他使用者許可權。

第三列為檔案（目錄）屬主

第四列為檔案（目錄）屬組

如上圖中的apache-maven-3.5.0目錄許可權描述為：

屬主root使用者擁有讀寫和執行權；屬組為root（在root組裡）的使用者擁有讀和執行權，沒有寫許可權；其他使用者擁有讀和執行權，沒有寫許可權。

2.瞭解了檔案屬性，接下來做使用者分組及許可權管理

a.新增user01和user02兩個使用者，新增沒有指定分組時，預設以使用者名稱命名該使用者所在組，groups 檢視使用者所在組，使用者user01所在組為user01，user02所在組為user02：

新增使用者後，預設會在 /home/ 目錄下生成以使用者名稱為名的目錄，作為該使用者的家目錄，且只有該使用者擁有讀寫執行權，同組及其他使用者不擁有任何許可權：

b.假使user01目錄下有個tomcat，user02需要該tomcat的讀寫和執行權，同時不擁有除tomcat外其他檔案（目錄）的任何許可權：

如上圖，user01目錄下，有個屬主和屬組都是root的tomcat的資料夾，我們把它重新分配給user01：

c.上面說到user01的家目錄預設許可權是700，即只有屬主user01擁有讀寫執行權，同組使用者和其他使用者沒有任何許可權，所以需要把user01的家目錄，分配讀和執行權給同組使用者：

這裡說明下，讀寫執行權不光可以用rwx表示，也可以用數字表示，r=4,w=2,x=1,5即表示讀和執行權。

再給user01目錄下的tomcat賦讀寫執行權給同組使用者：

再將使用者user02掛到user01組下：

切換到user02，驗證下user02是否只有/home/user01/tomcat目錄的讀寫和執行權：

進到tomcat，執行shutdown.sh，新增test目錄，都是成功的：

再訪問user01目錄下未附權的user01file目錄，提示沒有許可權，這樣就達成了使用者檔案隔離的作用。

以上。