1. 程式人生 > >Linux許可權詳解(chmod、600、644、666、700、711、755、777、4755、6755、7755)

Linux許可權詳解(chmod、600、644、666、700、711、755、777、4755、6755、7755)

許可權簡介

  • Linux系統上對檔案的許可權有著嚴格的控制,用於如果相對某個檔案執行某種操作,必須具有對應的許可權方可執行成功。
  • Linux下檔案的許可權型別一般包括讀,寫,執行。對應字母為 r、w、x。
  • Linux下許可權的粒度有 擁有者 、群組 、其它組 三種。每個檔案都可以針對三個粒度,設定不同的rwx(讀寫執行)許可權。通常情況下,一個檔案只能歸屬於一個使用者和組, 如果其它的使用者想有這個檔案的許可權,則可以將該使用者加入具備許可權的群組,一個使用者可以同時歸屬於多個組。
  • Linux上通常使用chmod命令對檔案的許可權進行設定和更改。

一、快速入門

更改檔案許可權 (chmod命令)

一般使用格式

chmod [可選項] <mode> <file...>

可選項:
  -c, --changes          like verbose but report only when a change is made (若該檔案許可權確實已經更改,才顯示其更改動作)
  -f, --silent, --quiet  suppress most error messages  (若該檔案許可權無法被更改也不要顯示錯誤訊息)
  -v, --verbose          output a diagnostic for every file processed(顯示許可權變更的詳細資料)
--no-preserve-root do not treat '/' specially (the default) --preserve-root fail to operate recursively on '/' --reference=RFILE use RFILE's mode instead of MODE values -R, --recursive change files and directories recursively (以遞迴的方式對目前目錄下的所有檔案與子目錄進行相同的許可權變更) --help 顯示此幫助資訊
-
-version 顯示版本資訊 mode 許可權設定字串,詳細格式如下 [ugoa...][[+-=][rwxX]...][,...]其中 [ugoa...] u 表示該檔案的擁有者,g 表示與該檔案的擁有者屬於同一個群體(group)者,o 表示其他以外的人,a 表示所有(包含上面三者)。 [+-=] + 表示增加許可權,- 表示取消許可權,= 表示唯一設定許可權。 [rwxX] r 表示可讀取,w 表示可寫入,x 表示可執行,X 表示只有當該檔案是個子目錄或者該檔案已經被設定過為可執行。 file... 檔案列表(單個或者多個檔案、資料夾)

範例:

  • 設定所有使用者可讀取檔案 a.conf
chmod ugo+r a.sh 
 
chmod a+r  a.conf
  • 設定 c.sh 只有 擁有者可以讀寫及執行
chmod u+rwx c.sh
  • 設定檔案 a.conf 與 b.xml 許可權為擁有者與其所屬同一個群組 可讀寫,其它組可讀不可寫
chmod a+r,ug+w,o-w a.conf b.xml
  • 設定當前目錄下的所有檔案與子目錄皆設為任何人可讀寫
chmod -R a+rw *

數字許可權使用格式

在這種使用方式中,首先我們需要了解數字如何表示許可權。 首先,我們規定 數字 4 、2 和 1表示讀、寫、執行許可權(具體原因可見下節許可權詳解內容),即 r=4,w=2,x=1 。此時其他的許可權組合也可以用其他的八進位制數字表示出來,如: rwx = 4 + 2 + 1 = 7 rw = 4 + 2 = 6 rx = 4 +1 = 5 即

若要同時設定 rwx (可讀寫執行) 許可權則將該許可權位 設定 為 4 + 2 + 1 = 7 若要同時設定 rw- (可讀寫不可執行)許可權則將該許可權位 設定 為 4 + 2 = 6 若要同時設定 r-x (可讀可執行不可寫)許可權則將該許可權位 設定 為 4 +1 = 5

上面我們提到,每個檔案都可以針對三個粒度,設定不同的rwx(讀寫執行)許可權。即我們可以用用三個8進位制數字分別表示 擁有者 、群組 、其它組( u、 g 、o)的許可權詳情,並用chmod直接加三個8進位制數字的方式直接改變檔案許可權。語法格式為 :

chmod <abc> file...

其中
a,b,c各為一個數字,分別代表UserGroup、及Other的許可權。
相當於簡化版的
chmod u=許可權,g=許可權,o=許可權 file...
而此處的許可權將用8進位制的數字來表示UserGroup、及Other的讀、寫、執行許可權

範例:

  • 設定所有人可以讀寫及執行
chmod 777 file  (等價於  chmod u=rwx,g=rwx,o=rwx file   chmod a=rwx file)
  • 設定擁有者可讀寫,其他人不可讀寫執行
chmod 600 file (等價於  chmod u=rw,g=---,o=--- file  chmod u=rw,go-rwx file )

更改檔案擁有者(chown命令)

linux/Unix 是多人多工作業系統,每個的檔案都有擁有者(所有者),如果我們想變更檔案的擁有者(利用 chown 將檔案擁有者加以改變),一般只有系統管理員(root)擁有此操作許可權,而普通使用者則沒有許可權將自己或者別人的檔案的擁有者設定為別人。

語法格式:

chown [可選項] user[:group] file...

使用許可權:root

說明:
[可選項] : 同上文chmod
user : 新的檔案擁有者的使用者 
group : 新的檔案擁有者的使用者群體(group)

範例:

  • 設定檔案 d.key、e.scrt的擁有者設為 users 群體的 tom
chown tom:users file d.key e.scrt
  • 設定當前目錄下與子目錄下的所有檔案的擁有者為 users 群體的 James
chown -R James:users  *

二、Linux許可權詳解

Linux系統上對檔案的許可權有著嚴格的控制,用於如果相對某個檔案執行某種操作,必須具有對應的許可權方可執行成功。這也是Linux有別於Windows的機制,也是基於這個許可權機智,Linux可以有效防止病毒自我執行,因為執行的條件是必須要有執行的許可權,而這個許可權在Linux是使用者所賦予的。

Linux的檔案許可權有以下設定:

  • Linux下檔案的許可權型別一般包括讀,寫,執行。對應字母為 r、w、x。
  • Linux下許可權的屬組有 擁有者 、群組 、其它組 三種。每個檔案都可以針對這三個屬組(粒度),設定不同的rwx(讀寫執行)許可權。
  • 通常情況下,一個檔案只能歸屬於一個使用者和組, 如果其它的使用者想有這個檔案的許可權,則可以將該使用者加入具備許可權的群組,一個使用者可以同時歸屬於多個組。

如果我們要表示一個檔案的所有許可權詳情,有兩種方式:

  • 第一種是十位二進位制表示法,(三個屬組每個使用二進位制位,再加一個最高位共十位),可簡化為三位八進位制形式
  • 另外一種十二位二進位制表示法(十二個二進位制位),可簡化為四位八進位制形式

十位許可權表示

常見的許可權表示形式有:

-rw------- (600)      只有擁有者有讀寫許可權。
-rw-r--r-- (644)      只有擁有者有讀寫許可權;而屬組使用者和其他使用者只有讀許可權。
-rwx------ (700)     只有擁有者有讀、寫、執行許可權。
-rwxr-xr-x (755)    擁有者有讀、寫、執行許可權;而屬組使用者和其他使用者只有讀、執行許可權。
-rwx--x--x (711)    擁有者有讀、寫、執行許可權;而屬組使用者和其他使用者只有執行許可權。
-rw-rw-rw- (666)   所有使用者都有檔案讀、寫許可權。
-rwxrwxrwx (777)  所有使用者都有讀、寫、執行許可權。

後九位解析: 我們知道Linux許可權總共有三個屬組,這裡我們給每個屬組使用三個位置來定義三種操作(讀、寫、執行)許可權,合起來則是許可權的後九位。 上面我們用字元表示許可權,其中 -代表無許可權,r代表讀許可權,w代表寫許可權,x代表執行許可權。

實際上,後九位每個位置的意義(代表某個屬組的某個許可權)都是固定的,如果我們將各個位置許可權的有無用二進位制數 1和 0來代替,則只讀、只寫、只執行許可權,可以用三位二進位制數表示為

r-- = 100
-w- = 010
--x = 001
--- = 000

轉換成八進位制數,則為 r=4, w=2, x=1, -=0(這也就是用數字設定許可權時為何是4代表讀,2代表寫,1代表執行)

實際上,我們可以將所有的許可權用二進位制形式表現出來,並進一步轉變成八進位制數字:

rwx = 111 = 7
rw- = 110 = 6
r-x = 101 = 5
r-- = 100 = 4
-wx = 011 = 3
-w- = 010 = 2
--x = 001 = 1
--- = 000 = 0

由上可以得出,每個屬組的所有的許可權都可以用一位八進位制數表示,每個數字都代表了不同的許可權(權值)。如 最高的許可權為是7,代表可讀,可寫,可執行。

故 如果我們將每個屬組的許可權都用八進位制數表示,則檔案的許可權可以表示為三位八進位制數

-rw------- =  600
-rw-rw-rw- =  666
-rwxrwxrwx = 777

關於第一位最高位的解釋: 上面我們說到了許可權表示中後九位的含義,剩下的第一位代表的是檔案的型別,型別可以是下面幾個中的一個:

d代表的是目錄(directroy)
-代表的是檔案(regular file)
s代表的是套字檔案(socket)
p代表的管道檔案(pipe)或命名管道檔案(named pipe)
l代表的是符號連結檔案(symbolic link)
b代表的是該檔案是面向塊的裝置檔案(block-oriented device file)
c代表的是該檔案是面向字元的裝置檔案(charcter-oriented device file)

十二位許可權(Linux附加許可權)

附加許可權相關概念

linux除了設定正常的讀寫操作許可權外,還有關於一類設定也是涉及到許可權,叫做Linxu附加許可權。包括 SET位許可權(suid,sgid)和粘滯位許可權(sticky)。

SET位許可權:

suid/sgid是為了使“沒有取得特權使用者要完成一項必須要有特權才可以執行的任務”而產生的。 一般用於給可執行的程式或指令碼檔案進行設定,其中SUID表示對屬主使用者增加SET位許可權,SGID表示對屬組內使用者增加SET位許可權。執行檔案被設定了SUID、SGID許可權後,任何使用者執行該檔案時,將獲得該檔案屬主、屬組賬號對應的身份。在許多環境中,suid 和 sgid 很管用,但是不恰當地使用這些位可能使系統的安全遭到破壞。所以應該儘量避免使用SET位許可權程式。(passwd 命令是為數不多的必須使用“suid”的命令之一)。

  • suid(set User ID,set UID)的意思是程序執行一個檔案時通常保持程序擁有者的UID。然而,如果設定了可執行檔案的suid位,程序就獲得了該檔案擁有者的UID。
  • sgid(set Group ID,set GID)意思也是一樣,只是把上面的程序擁有者改成程序組就好了。

SET位許可權表示形式(10位許可權):

如果一個檔案被設定了suid或sgid位,會分別表現在所有者或同組使用者的許可權的可執行位上;如果檔案設定了suid還設定了x(執行)位,則相應的執行位表示為s(小寫)。但是,如果沒有設定x位,它將表示為S(大寫)。如:

1-rwsr-xr-x 表示設定了suid,且擁有者有可執行許可權
2-rwSr--r-- 表示suid被設定,但擁有者沒有可執行許可權
3-rwxr-sr-x 表示sgid被設定,且群組使用者有可執行許可權
4-rw-r-Sr-- 表示sgid被設定,但群組使用者沒有可執行許可權

設定方式:

SET位許可權可以通過chmod命令設定,給檔案加suid和sgid的命令如下(類似於上面chmod賦予一般許可權的命令):

chmod u+s filename 	設定suid
chmod u-s filename 	去掉suid設定
chmod g+s filename 	設定sgid
chmod g-s filename 	去掉sgid設定

粘滯位許可權:

粘滯位許可權即sticky。一般用於為目錄設定特殊的附加許可權,當目錄被設定了粘滯位許可權後,即便使用者對該目錄有寫的許可權,也不能刪除該目錄中其他使用者的檔案資料。設定了粘滯位許可權的目錄,是用ls檢視其屬性時,其他使用者許可權處的x將變為t。 使用chmod命令設定目錄許可權時,+t、-t許可權模式可分別用於新增、移除粘滯位許可權。

粘滯位許可權表示形式(10位許可權):

一個檔案或目錄被設定了粘滯位許可權,會表現在其他組使用者的許可權的可執行位上。如果檔案設定了sticky還設定了x(執行)位,其他組使用者的許可權的可執行位為t(小寫)。但是,如果沒有設定x位,它將表示為T(大寫)。如:

1-rwsr-xr-t 表示設定了粘滯位且其他使用者組有可執行許可權
2-rwSr--r-T 表示設定了粘滯位但其他使用者組沒有可執行許可權

設定方式:

sticky許可權同樣可以通過chmod命令設定:

chmod +t <檔案列表..>

十二位的許可權表示方法

附加許可權除了用十位許可權形式表示外,還可以用用十二位字元表示。

11 10 9 8 7 6 5 4 3 2 1 0
S  G  T r w x r w x r w x

SGT分別表示SUID許可權、SGID許可權、和 粘滯位許可權,這十二位分別對應關係如下:

第11位為SUID位,第10位為SGID位,第9位為sticky位,第8-0位對應於上面的三組rwx位(後九位)。

在這十二位的每一位上都置值。如果有相應的許可權則為1, 沒有此許可權則為0。

-rw-r-sr-- 的值為: 0 1 0  1 1 0  1 0 0  1 0 0
-rwsr-xr-x 的值為: 1 0 0  1 1 1  1 0 1  1 0 1
-rwsr-sr-x 的值為: 1 1 0  1 1 1  1 0 1  1 0 1 
-rwsr-sr-t 的值為: 1 1 1  1 1 1  1 0 1  1 0 1

如果將則前三位SGT也轉換成一個二進位制數,則

  • suid 的八進位制數字是4
  • sgid 的代表數字是 2
  • sticky 位代表數字是1

這樣我們就可以將十二位許可權三位三位的轉化為4個八進位制數。其中

  • 最高的一位八進位制數就是suid,sgdi,sticky的權值。
  • 第二位為 擁有者的權值
  • 第三位為 所屬組的權值
  • 最後一位為 其他組的權值

附加許可權的八進位制形式

通過上面,我們知道,正常許可權和附加許可權可以用4位八進位制數表示。類似於正常許可權的數字許可權賦值模式(使用三位八進位制數字賦值)

chmod <abc> file...

相關推薦

no