Linux 文件系統 -- 文件許可權簡介

一、文件許可權

　　使用 ls -l 命令可以查看文件的具體屬性：

　　如圖所示，第一列所示告訴了用戶一個文件的類型和許可權信息：

1）第一個字元 "d"，表明該文件是一個目錄文件；

2）r 表示該文件具有可讀許可權；

3）w 表示該文件具有寫許可權；

4）x 表示該文件具有可執行許可權。

5）第一個 rwx 表示該文件所有者的許可權；第二個 rwx 表示該文件所在組的許可權；第三個 rwx 表示其他用戶對該文件的許可權。

二、使用 chmod 命令修改文件許可權

　　可以使用 chmod 命令來改變文件的許可權，chmod 命令有兩種使用方法：

2.1 使用數字類型來改變文件的許可權

　　我們已經知道，一個文件使用 r、w、x 來分別代表三種許可權屬性。每個 rwx 為一組，共有三組。給每個許可權都賦一個權值：r -> 4 ，w -> 2，x -> 1，這樣就可以用數字的方式來表示一組的文件許可權，如：rwx 轉化為數字為 4 + 2 + 1 = 7；r-x 轉化為數字為 4 + 1 = 5。因此，若一個文件的許可權屬性為：rwxr-xr-x，轉化成數字即為 755。

chmod 755 newfile      # 將文件 newfile 的許可權設為 rwxr-xr-x
chmod 421 newfile      # 將文件 newfile 的許可權設為 r---w---x

2.2 使用字元的方式來改變文件許可權

　　可以在 chmod 後面接上字元選項來改變文件許可權：

1）u（user），表示為文件所有者設置許可權；

2）g（group），表示為文件所在組設置許可權；

3）o（other），表示為其他用戶設置訪問許可權；

4）a（all），表示為所有用戶設置訪問許可權。如果沒有添加u、g、o選線，則 chmod 命令預設添加 a 選線；

5）+，表示為文件添加某種許可權，後面可接 r、w、x，分別表示添加可讀許可權（+r），添加寫許可權（+w），添加可執行許可權（+x）；

6）-，表示給文件刪除某種許可權，後面可接r、w、x，分別表示刪除可讀許可權（-r），刪除寫許可權（-w），刪除可執行許可權（-x）；

7）=，表示給文件賦予某種許可權，後面可接r、w、x，分別表示賦予可讀許可權（=r），賦予寫許可權（=w），賦予可執行許可權（=x）；

chmod +x newfile        # 為所有用戶添加該文件的可執行許可權
chmod u+r newfile       # 為文件的所有者添加可讀許可權
chmod o-x newfile        # 刪除其他用戶的可執行許可權
chmod u=rwx newfile    # 為文件的所有者賦予 rwx 的許可權

 三、特殊許可權位

　　除了常見的 r、w、x 許可權外，linux 文件還有一些特殊許可權：SUID、SGID 和 SBIT：

 3.1 SUID

　　SUID 的標誌為 s，出現在文件所有者的 x 許可權上，其作用是讓執行該文件的用戶在使用這個文件時具有該文件所有者的許可權：

1）SUID 許可權僅對二進位可執行文件有效，不能用於目錄文件，腳本也不行；

2）執行者對於該文件需要由可執行許可權；

3）本許可權僅在執行該文件的過程中有效，即在文件被執行時文件使用者才具備該文件所有者的許可權，執行完畢後不再擁有文件所有者的許可權；

　　關於 SUID 的一個典型的例子就是 /etc/passwd 和 /usr/bin/passwd 文件：

　　如圖所示，/etc/passwd 文件是系統用於存放用戶登錄相關的重要信息（用戶名、密碼等）的文件，可以看到，該文件的所有者（即 root）擁有讀寫許可權，用戶組的用戶和其他用戶只有讀許可權沒有寫許可權。但是我們發現，在系統中，root 用戶和普通用戶都可以使用 passwd （即 /usr/bin/passwd 文件）命令來修改這個 /etc/passwd 文件。這是因為 /usr/bin/passwd 文件被設置了 SUID 許可權，所有用戶在使用 passwd 命令時都可以獲得 passwd 命令所有者的許可權，passwd 命令的所有者是 root，因此普通用戶在使用 passwd 命令時也具有 root 許可權。這樣就可以通過 passwd 命令來修改 /etc/passwd 這個文件了。

3.2 SGID

　　SGID 的標誌為 s，出現在文件所在組的 x 許可權上。 與 SUID 一樣，其作用是讓執行該文件的用戶在使用該文件時具有該文件所屬組的許可權。

3.3 SBIT

　　SBIT 的標誌為 t，出現在文件其他用戶的 x 許可權上，只能用於目錄。其作用是，該目錄下的文件只有文件的創建者自己和 root 用戶才可以執行刪除或修改操作。

3.4 SUID、SGID、SBIT 許可權位的設置

　　與 r、w、x 一樣，這三個標誌位也可以用數字來標識： SUID -> 4、SGID -> 2、SBIT -> 1，在使用時，只需要將數字標識加在 rwx 的數字標識之前即可：

chmod 4755 newfile            # 為文件設置 rwsr-xr-x 許可權
chmod 2755 newfile            # 為文件設置 rwxr-sr-x 許可權
chmod 7755 newdirectory   　　 # 為目錄設置 rwsr-sr-t 許可權