目录一、引言从“看懂权限”到“修改权限”二、chmod修改权限的两种语法2.1 数字法4读2写1执行2.2 符号法精确微调2.3 递归修改-R参数三、chown与chgrp改变文件的主人3.1 chown改变所有者和所属组3.2 chgrp专门改变所属组3.3 一个完整的权限配置示例四、特殊权限SUID、SGID与粘滞位4.1 SUID让程序以文件所有者的身份运行4.2 SGID继承目录的所属组4.3 粘滞位/tmp目录的保护神4.4 特殊权限的数字表示五、完整速查表基本权限数字对照常用权限组合特殊权限速查命令速查六、动手练习七、本篇小结综合实战为新项目设置完整权限八、下篇预告一、引言从“看懂权限”到“修改权限”上一篇我们学会了用ls -l看懂权限text-rw-r--r-- 1 zhangsan developers 1024 Apr 21 10:30 report.txt现在的问题是如果想让同组的同事也能编辑这个文件该怎么改答案就是用chmod命令。它是“change mode”的缩写专门用来修改文件和目录的权限。二、chmod修改权限的两种语法chmod提供了两种语法来表达权限变更数字法和符号法。数字法适合整体设置符号法适合局部微调。2.1 数字法4读2写1执行数字法的核心是用一个三位数字来表示三组权限每一位数字由4读、2写、1执行相加得到。计算规则权限组合计算过程数字---0000--x0011-w-0202-wx0213r--4004r-x4015rw-4206rwx4217三位数字分别对应第一位所有者user权限第二位所属组group权限第三位其他人others权限常用权限数字数字权限字符串典型用途755rwxr-xr-x可执行程序、目录644rw-r--r--普通配置文件600rw-------敏感配置文件如SSH私钥777rwxrwxrwx所有人可读可写可执行危险使用示例bash# 给脚本文件设置标准执行权限所有者全权限其他人只读和执行 chmod 755 script.sh # 给配置文件设置标准权限所有者可写其他人只读 chmod 644 config.conf # 给SSH私钥设置严格权限只有所有者可读写 chmod 600 ~/.ssh/id_rsa为什么SSH私钥必须是600如果你试图用权限过于宽松的私钥连接服务器SSH会直接拒绝textPermissions 0644 for id_rsa are too open.这是因为私钥被别人读取就等于密码泄露。600权限确保了只有你自己能读取这个文件。2.2 符号法精确微调数字法适合“整体设置”但有时候你只想“给其他人加上写权限”或者“去掉执行权限”这时候符号法更直观。符号法格式textchmod [身份][操作符][权限] 文件身份符号符号含义u所有者userg所属组groupo其他人othersa所有人all等同于ugo操作符符号含义添加权限-移除权限设置为指定权限使用示例bash# 给同组用户添加写权限 chmod gw report.txt # 移除其他人的读权限 chmod o-r secret.txt # 给所有人添加执行权限 chmod ax script.sh # 同时操作多个身份 chmod ux,gx,ox script.sh # 等同于 chmod ax script.sh # 精确设置所有者可读写组和其他人只读 chmod urw,gor config.conf数字法与符号法的选择策略场景推荐方法理由初次设置权限数字法一次到位清晰明确小幅调整权限符号法不用重新计算整体数字脚本中使用数字法更简洁不容易出错教学和理解两者都学实际工作中都会遇到2.3 递归修改-R参数当需要修改整个目录及其所有子内容的权限时使用-R递归参数bash# 将整个网站目录设置为755 chmod -R 755 /var/www/html/ # 注意文件一般不需要执行权限目录需要执行权限 # 更好的做法是区分文件和目录 find /var/www/html -type f -exec chmod 644 {} \; find /var/www/html -type d -exec chmod 755 {} \;三、chown与chgrp改变文件的主人权限设置正确了但文件属于谁也同样重要。3.1 chown改变所有者和所属组chownchange owner用于改变文件的所有者也可以同时改变所属组。bash# 只改变所有者 sudo chown zhangsan file.txt # 同时改变所有者和所属组用冒号分隔 sudo chown zhangsan:developers file.txt # 只改变所属组冒号前留空或使用.号 sudo chown :developers file.txt sudo chown .developers file.txt递归修改所有权bashsudo chown -R www-data:www-data /var/www/html/这是部署Web应用时的常见操作将网站文件的所有权交给Web服务器进程的用户如www-data或nginx。3.2 chgrp专门改变所属组chgrpchange group是chown的简化版专门用来改变所属组bashsudo chgrp developers file.txt实际上用chown :组名可以达到同样效果但chgrp在语义上更清晰。3.3 一个完整的权限配置示例假设你要部署一个Web应用合理设置权限的流程bash# 1. 将文件所有权交给Web服务器用户 sudo chown -R www-data:www-data /var/www/myapp/ # 2. 设置目录权限为755所有者全权限其他人只读和执行 find /var/www/myapp -type d -exec chmod 755 {} \; # 3. 设置文件权限为644所有者可写其他人只读 find /var/www/myapp -type f -exec chmod 644 {} \; # 4. 对于需要写入的目录如上传目录单独设置更宽松的权限 chmod 775 /var/www/myapp/uploads/ # 或者保持所有者不变让Web服务器有写入权即可四、特殊权限SUID、SGID与粘滞位除了基本的rwx九位权限外Linux还有三个特殊权限位。它们不常用但理解它们能解释很多系统行为。4.1 SUID让程序以文件所有者的身份运行SUIDSet User ID作用于可执行文件。当设置了SUID的程序被执行时进程的有效用户ID会变成文件所有者的ID而不是执行者的ID。最经典的例子passwd命令bashls -l /usr/bin/passwd # 输出-rwsr-xr-x 1 root root 59976 Apr 21 10:30 /usr/bin/passwd # ↑ 注意这个s它出现在所有者执行权限的位置表示SUID/etc/shadow文件存储着所有用户的密码哈希它的权限是bashls -l /etc/shadow # 输出-rw-r----- 1 root shadow 1024 Apr 21 10:30 /etc/shadow普通用户没有权限直接修改/etc/shadow。但为什么普通用户可以修改自己的密码呢答案就在passwd命令的SUID位上普通用户执行passwd命令因为SUID位的存在passwd进程以root身份运行root身份自然有权修改/etc/shadow命令执行完毕特权随之消失设置SUIDbashchmod us /path/to/program # 符号法 chmod 4755 /path/to/program # 数字法在普通权限前加4安全警告SUID是一个强大的功能但也可能成为安全隐患。如果SUID程序存在漏洞攻击者可能通过它获取root权限。系统管理员需要定期审计系统中的SUID文件bashfind / -type f -perm -4000 -ls 2/dev/null4.2 SGID继承目录的所属组SGIDSet Group ID有两种作用分别针对文件和目录。作用于可执行文件时类似SUID程序执行时的有效组ID变成文件所属组。作用于目录时这才是SGID最常见的用途。当目录设置了SGID后在该目录下创建的新文件其所属组会自动继承该目录的所属组而不是使用创建者的默认组实战场景团队共享目录假设有一个开发团队所有成员都属于developers组。希望/shared/project目录下的所有文件无论谁创建的都属于developers组bash# 创建共享目录 sudo mkdir -p /shared/project # 设置所属组 sudo chgrp developers /shared/project # 设置SGID sudo chmod gs /shared/project # 或者用数字法sudo chmod 2775 /shared/project # 验证目录权限显示为 drwxrwsr-x注意中间的s ls -ld /shared/project设置后任何人在该目录下创建文件文件都会自动属于developers组。设置SGIDbashchmod gs /path/to/dir # 符号法 chmod 2755 /path/to/dir # 数字法在普通权限前加24.3 粘滞位/tmp目录的保护神粘滞位Sticky Bit只作用于目录。它的功能是即使目录所有人可写用户也只能删除自己拥有的文件。最经典的例子/tmp目录bashls -ld /tmp # 输出drwxrwxrwt 20 root root 4096 Apr 21 10:30 /tmp # ↑ 注意这个t它出现在其他人执行权限的位置/tmp是系统的临时目录任何用户都可以在里面创建文件。如果没有粘滞位保护恶意用户可以删除别人的临时文件造成服务异常。有了粘滞位后用户A可以在/tmp中创建文件用户B可以读取这个文件如果权限允许但用户B不能删除用户A的文件验证实验bash# 创建一个测试目录 mkdir test_sticky # 设置为777权限所有人可写 chmod 777 test_sticky # 此时任何人都可以在里面创建和删除任何文件 # 加上粘滞位 chmod t test_sticky # 或者 chmod 1777 test_sticky # 查看权限变化 ls -ld test_sticky # 输出drwxrwxrwt ... test_sticky设置粘滞位bashchmod t /path/to/dir # 符号法 chmod 1777 /path/to/dir # 数字法在普通权限前加14.4 特殊权限的数字表示当使用数字法设置权限时特殊权限作为第四位数字放在最前面数字含义示例最终权限4SUIDchmod 4755 file-rwsr-xr-x2SGIDchmod 2755 dirdrwxr-sr-x1粘滞位chmod 1777 dirdrwxrwxrwt组合使用bashchmod 6755 file # 同时设置SUID和SGID426 chmod 3777 dir # 同时设置SGID和粘滞位213五、完整速查表基本权限数字对照数字权限数字权限0---4r--1--x5r-x2-w-6rw-3-wx7rwx常用权限组合数字符号适用场景755rwxr-xr-x目录、可执行程序644rw-r--r--普通文件、配置文件600rw-------SSH私钥等敏感文件775rwxrwxr-x共享目录同组可写777rwxrwxrwx所有人可写危险特殊权限速查名称作用对象效果设置命令SUID可执行文件以文件所有者身份运行chmod us fileSGID目录新建文件继承目录的所属组chmod gs dir粘滞位目录用户只能删除自己的文件chmod t dir命令速查命令功能示例chmod 755数字法设置权限chmod 755 script.shchmod gw符号法添加权限chmod gw file.txtchown改变所有者chown user:group filechgrp改变所属组chgrp group filechmod -R递归修改chmod -R 755 dir/六、动手练习bash# 1. 权限设置练习 touch test.txt chmod 644 test.txt ls -l test.txt # 应该显示 -rw-r--r-- chmod gw test.txt ls -l test.txt # 应该显示 -rw-rw-r-- chmod 755 test.txt ls -l test.txt # 应该显示 -rwxr-xr-x # 2. 所有权修改练习需要sudo sudo chown root test.txt ls -l test.txt # 所有者变为root sudo chown $USER:$USER test.txt # 改回自己 ls -l test.txt # 3. 粘滞位实验 mkdir sticky_test chmod 777 sticky_test # 切换另一个用户或用su testuser创建测试用户 # 在sticky_test中互相创建和删除文件观察结果 chmod t sticky_test # 再次尝试互相删除文件观察差异 # 4. 查找系统中的SUID文件 find /usr/bin -type f -perm -4000 -ls 2/dev/null | head -10 # 5. 清理 rm test.txt rmdir sticky_test七、本篇小结权限管理的两篇文章到这里就完整了。回顾一下上一篇我们理解了root与普通用户的区别useradd、passwd、su、sudo的用法rwx对文件和目录的不同含义本篇我们掌握了chmod的数字法4读2写1执行和符号法chown和chgrp改变所有权SUID提权执行、SGID继承组、粘滞位保护共享目录三个特殊权限核心认知755和644是记忆基数——90%的文件和目录用这两个数字就够了特殊权限是“补丁”而非“日常”——理解它们的作用但不滥用权限的最小化原则——能用600就不用644能用644就不用777综合实战为新项目设置完整权限假设你要在/opt/myapp部署一个新应用应用由用户appuser运行开发团队属于devteam组需要能修改配置文件上传目录uploads需要应用能写入bash# 1. 创建目录结构 sudo mkdir -p /opt/myapp/{bin,conf,uploads} # 2. 设置所有权 sudo chown -R appuser:devteam /opt/myapp # 3. 设置基本权限 sudo chmod 755 /opt/myapp/{bin,conf} sudo chmod 775 /opt/myapp/uploads # 应用需要写入 # 4. 设置SGID确保新建文件属于devteam组 sudo chmod gs /opt/myapp/conf sudo chmod gs /opt/myapp/uploads # 5. 验证 ls -la /opt/myapp/八、下篇预告掌握了文件操作和权限管理你已经具备了Linux系统管理的基础能力。但还有一个重要问题软件怎么安装Windows下你习惯双击exe安装包macOS下拖拽到Applications。Linux下则有一套完全不同的软件包管理哲学。下一篇我们将进入软件包管理的世界学习aptDebian系和dnf/yumRedHat系的用法以及源码编译安装的三部曲。你将理解为什么Linux用户说“装软件”时很少去网站下载安装包。延伸思考/tmp目录的粘滞位保护了用户文件不被他人删除但它不能阻止他人读取你的文件。如果你在/tmp下创建了一个敏感文件如密码明文其他用户虽然删不掉但可以读取。如何保护/tmp下文件的私密性提示权限设为600或者使用mktemp命令创建只有自己能访问的临时目录。