一、引言

在操作系统的管理范畴内，文件权限如同数据安全的守护者，是保障系统稳定运行的关键要素。

尤其在Linux系统中，文件权限管理机制凭借其灵活性与强大功能，为系统的资源分配和安全防护提供了有力支撑。

本文将聚焦于Linux系统，深入剖析文件权限相关知识，并着重突出相关命令的使用方法、功能及应用场景。

二、文件权限基本概念

（一）用户分类

1. 文件所有者（owner）

创建文件或目录的用户，拥有对其的最高控制权。

例如，用户“Alice”创建了文件“report.txt”，那么“Alice”就是该文件的所有者。

2. 所属组（group）

方便团队协作时共享资源访问权限的用户集合。

比如，“Alice”所在的项目组为“ProjectTeam”，则“report.txt”的所属组可能就是“ProjectTeam”。

3. 其他用户（others）

除所有者和所属组之外的所有用户，其对文件或目录的访问权限通常受限。

（二）权限类型

1. 读（read，r）

对文件而言，允许查看内容；对目录来说，可列出其中文件。

例如，使用命令 cat file.txt 查看文件内容，前提是用户对该文件有读权限。

2. 写（write，w）

对文件能修改内容，对目录可创建、删除和重命名文件。

比如，使用 echo "new content" > file.txt 修改文件内容，需具备写权限。

3. 执行（execute，x）

对可执行文件可运行程序，对目录可进入其中。

像执行 ./script.sh ，要求用户对 script.sh 有执行权限。

三、文件权限表示方法

（一）符号表示法

Linux系统用10个字符表示文件权限，首字符代表文件类型，如“-”（普通文件）、“d”（目录）、“l”（链接文件）。

后续9个字符每3个一组，对应所有者、所属组和其他用户权限。

例如，“-rwxr-xr--”表明是普通文件，所有者有读、写、执行权限，所属组有读、执行权限，其他用户仅有读权限。

（二）数字表示法

读权限对应4，写权限对应2，执行权限对应1，无权限对应0。

将各用户组权限数值相加得到三位数字表示。

如“-rwxr-xr--”，所有者权限rwx（4 + 2 + 1 = 7），所属组权限r-x（4 + 0 + 1 = 5），其他用户权限r--（4 + 0 + 0 = 4），数字表示为754。

四、文件权限操作命令

（一）查看权限命令：ls -l

命令格式： ls -l [文件或目录名]

功能：查看文件或目录详细信息，包括权限。

示例：

ls -l test.txt

输出类似：

-rw-r--r-- 1 user1 group1 1024 Jan 1 00:00 test.txt

拓展：若要递归查看目录及其子目录下所有文件和目录权限，使用 ls -R -l 或 ls -lR 。如：

ls -lR /home/user/directory

（二）修改权限命令：chmod

1. 符号方式

命令格式： chmod (ugoa)(+-=){rwx} [文件或目录名]

功能：以符号形式修改文件或目录权限。

示例：

为文件“test.txt”所有者添加执行权限：

chmod u+x test.txt

移除所属组对目录“/home/user/myfolder”的写权限：

chmod g-w /home/user/myfolder

设置文件所有者有读写权限，所属组和其他用户只有读权限：

chmod u=rw,g=r,o=r testfile

递归为目录“/var/www/html”下所有内容所属组用户添加写权限：

chmod -R g+w /var/www/html

2. 数字方式

命令格式： chmod [mode=数字] [文件或目录名]

功能：以数字形式修改文件或目录权限。

示例：

将文件“test.txt”权限设为所有者有读写执行权限，所属组用户有读写权限，其他用户只有读权限（数字764）：

chmod 764 test.txt

将目录“/data”及其子目录和文件权限都设为755（所有者有读写执行权，所属组和其他用户有读执行权）：

chmod -R 755 /data

（三）修改所有者命令：chown

命令格式： chown [选项] [用户名] [文件名]

常用选项：

-R：递归修改目录及其子目录下所有者。

-v：显示详细处理信息。

示例：

将文件“test.txt”所有者更改为“newuser”：

chown newuser test.txt

递归修改目录“/data”及其子目录和文件所有者为“admin”并显示详细信息：

chown -Rv admin /data

（四）修改所属组命令：chgrp

命令格式： chgrp [选项] [组名] [文件名]

常用选项：

-R：递归修改目录及其子目录下所属组。

-h：文件为符号链接时，修改链接本身所属组。

示例：

把文件“test.txt”所属组改为“newgroup”：

chgrp newgroup test.txt

递归修改目录“/data”及其子目录和文件所属组为“devteam”：

chgrp -R devteam /data

修改符号链接“link.txt”本身所属组为“newgroup”：

chgrp -h newgroup link.txt

（五）访问控制列表命令：setfacl和getfacl

1. setfacl

命令格式：

基本设置： setfacl -m [rules] [文件或目录名] ， rules 格式如“u:uid:perms”（为用户设置ACL）、“g:gid:perms”（为组设置ACL）。

删除设置： setfacl -x [u:用户名 | g:组名] [文件名]

递归设置： setfacl -R -m [u:用户名:权限 | g:组名:权限] [目录名]

功能：设置文件或目录的ACL。

示例：

为用户“jims”赋予文件“testfile.txt”读写权限：

setfacl -m u:jims:rw testfile.txt

为组“team1”设置对目录“/project”的读执行权限：

setfacl -m g:team1:rx /project

删除用户“jims”对文件“testfile.txt”设置的权限：

setfacl -x u:jims testfile.txt

递归为目录“/sharedfolder”及其子目录和文件设置用户“user2”读写执行权限：

setfacl -R -m u:user2:rwx /sharedfolder

2. getfacl

命令格式： getfacl [文件或目录名]

功能：显示文件或目录的ACL。

示例：

查看文件“testfile.txt”的ACL信息：

getfacl testfile.txt

以树形结构显示目录“/directory”及其子目录和文件的ACL信息：

getfacl -R /directory

五、特殊权限和权限继承

（一）特殊权限

1. suid权限

命令格式：

设置： chmod u+s [可执行文件]

取消： chmod u-s [可执行文件]

功能：普通用户执行文件时以文件所有者权限执行。

示例：普通用户执行带suid权限的“passwd”程序修改密码。

2. sgid权限

命令格式：

设置： chmod g+s [目录]

取消： chmod g-s [目录]

功能：目录中新创建文件所属组为目录所属组。

示例：团队协作项目目录设置sgid权限方便成员共享文件。

3. sticky权限

命令格式：

设置： chmod o+t [目录]

取消： chmod o-t [目录]

功能：目录下用户只能删除自己创建的文件。

示例：/tmp目录设置粘滞位保障用户文件安全。

（二）权限继承与默认权限

1. 目录权限继承

命令格式： setfacl -m d:u:用户名:权限 [目录] 或 setfacl -m d:g:组名:权限 [目录]

功能：设置目录新创建文件和子目录的默认权限。

示例：在“/workdir”目录下新创建文件和子目录，用户“user3”默认有读写权限：

setfacl -m d:u:user3:rw /workdir

2. 默认权限设置

命令格式：

查看： umask 或 umask -S

设置： umask [权限数值]

功能：查看和设置默认权限。

示例：

查看默认权限数值：

umask

以符号形式查看默认权限：

umask -S

设置默认权限，所有者保留所有权限，用户组和其他用户去掉写权限：

umask 002

文件权限管理是Linux系统管理的核心内容。

通过熟练掌握上述命令，网络管理员和用户能够精准地管理文件权限，有效保护数据安全，合理分配资源访问权限，确保系统稳定、高效地运行。