1. 所有者与群组

Linux中有三个身份类别owner/group/others，各有read/write/exectue等权限。
** 所有者**
一般为文件的创建者，谁创建了该文件，就天然的成为该文件的所有者

群组
当某个用户创建了一个文件后，这个文件的所在组就是该用户所在的组。处在同一群组的人对文件有相同的权限，对同一组的用户进行权限管理。

其他组
除开文件的所有者和所在组的用户外，系统的其它用户都是文件的其它组

其他人
除了文件拥有者和群组内的其他用户，一般是可以公开的权限，对所有人都可以的权限的管理单元。

在我们Linux系统当中，默认的情况下，所有的系统上的帐号与一般身份使用者，还有那个
root的相关信息， 都是记录在/etc/passwd这个文件内的。至于个人的密码则是记录
在/etc/shadow这个文件下。 此外，Linux所有的群组名称都纪录在/etc/group内！这三个文件
可以说是Linux系统里面帐号、密码、群组信息的集中地啰！ 不要随便删除这三个文件啊！

2. Linux文件权限概念

查看文件属性ls -al ~

查看文件属性

第一栏的10个字符代表这个文件的类型与权限（permission）：

第一个字符代表这个文件的类型：文件（-）、目录（d）、链接（l）、设备（b）。
后面的字符每3个一组（“rwx”的组合），其中，[r]代表可读（read）、[w]代表可写（write）、[x]代表可执行（execute）。

• 第一组为“文件拥有者可具备的权限” ;
• 第二组为“加入此群组之帐号的权限”；
• 第三组为“非本人且没有加入本群组之其他帐号的权限”。

rwx所在的位置是不会改变的，有该权限就会显示字符，没有该权限就变成减号（-）

第三栏的字符串表示所有者。
第四栏的字符串表示所在群组。

权限也可用数字表示为：r=4，w=2，x=1 因此rwx=4+2+1=7。 在改变权限的命令中使用。

3. 更改文件的所有者、群组、权限

改变文件拥有者,chown
语法：

[root@localhost~]# chown    [-R]    帐号名称    文件或目录
[root@localhost~]# chown    [-R]    帐号名称:群组名称   文件或目录
# 选项：-R :进行递回（recursive）的持续变更，亦即连同次目录下的所有文件都变更

范例：

修改文件所有者

改变用户组,chmod
change group的缩写
语法：

[root@localhost ~]# chgrp [-R] dirname/filename ...
选项与参数：
-R: 进行递回（recursive）的持续变更，亦即连同次目录下的所有文件、目录
都更新成为这个群组之意。常常用在变更某一目录内所有的文件之情况。

案例：

[root@localhost ~]# ls -al .bashrc
-rw-r--r--. 1 root root 176 12月 29 2013 .bashrc
[root@localhost ~]# chgrp wangtao .bashrc
[root@localhost ~]# ls -al .bashrc
-rw-r--r--. 1 root wangtao 176 12月 29 2013 .bashrc

改变权限,chmod
权限设置有两种方法，分别 是使用数字和符号来变更。
数字来代表各个权限，各权限的分数对照表如下：
r:4 > w:2 > x:1
每种身份（owner/group/others）各自的三个权限（r/w/x）分数是需要累加的，例如当权限为：[-rwxrwx--x] 分数则是：owner=7,group=6,others=1, 则文件的权限数字就是761.

语法：

[root@localhost ~]# chmod   [-R]    xyz 文件或目录
# 选项与参数：
# xyz: 就是刚刚提到的数字类型的权限属性，为   rwx 属性数值的相加。
# -R: 进行递回（recursive）的持续变更，亦即连同次目录下的所有文件都会变更

范例

修改文件权限

符号更改文件权限
基本上就九个权限分别是（1）user （2）group （3）others三种身份，借由u, g, o来代表三种
身份的权限，此外，a则代表all亦即全部的身份！读写的权限就可以写成r ,w,x啰！
这样可以使用下面的方式来看：
| chmod | u g o a | +（加入）-（除去）=（设置）| r w x | 文件或目录 |
范例

[root@localhost ~]# chmod u=rxw,go=rx .bashrc
#注意喔！那个u=rwx,go=rx是连在一起的，中间并没有任何空白字符！
[root@localhost ~]# ls -al .bashrc
-rwxr-xr-x. 1 root root 176 12月 29 2013 .bashrc

[root@localhost ~]# chmod a-x .bashrc
[root@localhost ~]# ls -al .bashrc
-rw-r--r--. 1 root root 176 12月 29 2013 .bashrc
[root@localhost ~]# 

4. 文件与目录的默认权限与隐藏权限

除了基本r , w, x权限外，在Linux传统的Ext2/Ext3/Ext4文件系统下，我们还可以设置其他的系统隐藏属性， 这部份可使用 chattr 来设置，而以 lsattr 来查看，最重要的属性就是可以设置其不可修改的特性！

4.1 文件默认权限：umask

[root@localhost tmp]# ls -l
总用量 4
-rwx------. 1 root root 827 2月  15 01:46 ks-script-4K3G9g
-rw-------. 1 root root   0 2月  15 01:35 yum.log
[root@localhost tmp]# mkdir dir1
[root@localhost tmp]# touch test1
[root@localhost tmp]# ls -l
总用量 4
drwxr-xr-x. 2 root root  18 2月  15 12:32 dir1
-rwx------. 1 root root 827 2月  15 01:46 ks-script-4K3G9g
-rw-r--r--. 1 root root   0 2月  15 12:33 test1
-rw-------. 1 root root   0 2月  15 01:35 yum.log

如上创建一个目录和文件时，他的默认权限是drwxr-xr-x和-rw-r--r--。那么指定这个默认值就是umash了。

查看umash的值：

[root@localhost ~]# umash
0022

注意，最小Linux安装没有umash命令

第1个数字代表特殊字符，第2，3，4个数字代表ower,gourp,others。

一般文件和目录创建的默认权限一般是：

• 若使用者创建为“文件”则默认“没有可执行（ x ）权限”，亦即只有 rw 这两个项目，也就
  是最大为 666 分，默认权限如下： -rw-rw-rw-
• 若使用者创建为“目录”，则由于 x 与是否可以进入此目录有关，因此默认为所有权限均开
  放，亦即为 777 分，默认权限如下： drwxrwxrwx

而umash的分数指的是“该默认值需要减掉的权限！”，当要拿掉能写的权限，就是输入2分。

从上面的例子中： umask为022，所当使用者：

• 创建文件时：（-rw-rw-rw-） - （-----w--w-） ==> -rw-r--r--
• 创建目录时：（drwxrwxrwx）-（d----w--w-）==> drwxr-xr-x

正如上面范例所示！

那么如何设置umask的值呢，umash 后面加数字。

范例：

umash

在默认的情况中， root 的 umask 会拿掉比较多的属性，root 的 umask 默认是 022 ， 这是基
于安全的考虑啦～至于一般身份使用者，通常他们的 umask 为 002 ，亦即保留同群组的写入
权力！ 其实，关于默认 umask 的设置可以参考 /etc/bashrc 这个文件的内容，不过，不建议
修改该文件.

4.2 文件隐藏属性

除了那9个权限，另还有文件的隐藏属性，在系统安全上面重要的紧。

下面的chattr指令只能在Ext2/Ext3/Ext4的Linux传统文件系统上面完整生效， 其他的文件系统可能就无法完整的支持这个指令了，例如xfs仅支持部份参数而已。

如何设置这个文件与检查这些隐藏的属性。chattr

[root@localhost~]#  chattr  [+-=][ASacdistu]    文件或目录名称
选项与参数：
+：增加某一个特殊参数，其他原本存在参数则不动。
-：移除某一个特殊参数，其他原本存在参数则不动。
=：设置一定，且仅有后面接的参数
A：当设置了  A   这个属性时，若你有存取此文件（或目录）时，他的存取时间 atime   将不会被修改，可避免  I/O 较慢的机器过度的存取磁盘。（目前建议使用文件系统挂载参数处理这个项目）
S：一般文件是非同步写入磁盘的（原理请参考[前一章sync](../Text/index.html#sync)的说明），如果加上    S   这个属性时，当你进行任何文件的修改，该更动会“同步”写入磁盘中。
a：当设置a之后，这个文件将只能增加数据，而不能删除也不能修改数据，只有root才能设置这属性
c：这个属性设置之后，将会自动的将此文件“压缩”，在读取的时候将会自动解压缩，但是在储存的时候，将会先进行压缩后再储存（看来对于大文件似乎蛮有用的！）
d：当dump程序被执行的时候，设置d属性将可使该文件（或目录）不会被dump备份
i：这个i可就很厉害了！他可以让一个文件“不能被删除、改名、设置链接也无法写入或新增数据！”对于系统安全性有相当大的助益！只有root 能设置此属性
s：当文件设置了s属性时，如果这个文件被删除，他将会被完全的移除出这个硬盘空间，所以如果误删了，完全无法救回来了喔！
u：与s相反的，当使用u来设置文件时，如果该文件被删除了，则数据内容其实还存在磁盘中，可以使用来救援该文件喔！
注意1：属性设置常见的是a与  i的设置值，而且很多设置值必须要身为root才能设置
注意2：xfs文件系统仅支持AadiS而已

范例

[root@localhost tmp]# touch attrtest
[root@localhost tmp]# chattr +i attrtest
[root@localhost tmp]# rm attrtest
rm：是否删除普通空文件 "attrtest"？y
rm: 无法删除"attrtest": 不允许的操作
[root@localhost tmp]# ls -l
总用量 4
-rw-r--r--. 1 root root   0 2月  15 13:23 attrtest
drwxr-xr-x. 2 root root  18 2月  15 12:32 dir1
-rwx------. 1 root root 827 2月  15 01:46 ks-script-4K3G9g
-rw-r--r--. 1 root root   0 2月  15 12:33 test1
-rw-------. 1 root root   0 2月  15 01:35 yum.log
[root@localhost tmp]# lsattr attrtest
----i----------- attrtest
[root@localhost tmp]# chattr -i attrtest
[root@localhost tmp]# 

这个指令在系统的数据安全上面很重要，由于这些属性是隐藏的性质，所以要以lsattr才能看到该属性。最重要的是设置+i与 +a， +i 可以让一个文件无法被更改，+a只可以log file 这种文件只能增加。

显示文件隐藏属性 lsattr

[root@localhost ~]# lsattr [-adR] 文件或目录
选项与参数：
-a：将隐藏文件的属性也秀出来；
-d：如果接的是目录，仅列出目录本身的属性而非目录内的文件名；
-R：连同子目录的数据也一并列出来！

5. 文件特殊权限： SUID, SGID, SBIT

查看 /tmp 和/usr/bin/passwd 的权限

[root@localhost ~]# ls -ld /tmp; ls -l /usr/bin/passwd
drwxrwxrwt. 8 root root 4096 2月  15 13:23 /tmp
-rwsr-xr-x. 1 root root 27832 6月  10 2014 /usr/bin/passwd

可以看到s跟t权限...

Set UID
当s这个标志出现在文件拥有者的x权限上时，例如刚刚提到的/usr/bin/passwd 这个文件的权限状态：“-rwsr-xr-x”，此时就被称为Set UID，简称为SUID的特殊权限。基本上SUID有这样的限制与功能：

• SUID 权限仅对二进制程序（binary program）有效；
• 执行者对于该程序需要具有 x 的可执行权限；
• 本权限仅在执行该程序的过程中有效（run-time）；
• 执行者将具有该程序拥有者（owner）的权限。

这个权限在一些特殊文件上非常有用，需要好好琢磨。
另外，SUID 仅可用在binary program 上， 不能够用在 shell script 上面！这是因为 shellscript 只是将很多的 binary 可执行文件叫进来执行而已！所以 SUID 的权限部分，还是得要看
shell script 调用进来的程序的设置，而不是 shell script 本身。当然，SUID 对于目录也是无效的～这点要特别留意。

Set GID

当s标志在文件拥有者的x项目为SUID，那s在群组的x时则称为Set GID, SGID

与 SUID 不同的是，SGID 可以针对文件或目录来设置！如果是对文件来说， SGID 有如下的功能：

• SGID 对二进制程序有用；
• 程序执行者对于该程序来说，需具备 x 的权限；
• 执行者在执行的过程中将会获得该程序群组的支持！

举例来说，上面的 /usr/bin/locate 这个程序可以去搜寻 /var/lib/mlocate/mlocate.db 这个文件的内容 （详细说明会在下节讲述）， mlocate.db 的权限如下：

[root@study ~]# ll  /usr/bin/locate /var/lib/mlocate/mlocate.db
-rwx--s--x. 1   root    slocate         40496   Jun 10      2014    /usr/bin/locate
-rw-r-----. 1   root    slocate 2349055 Jun 15  03:44   /var/lib/mlocate/mlocate.db

与 SUID 非常的类似，若我使用 dmtsai 这个帐号去执行 locate 时，那 dmtsai 将会取得slocate 群组的支持， 因此就能够去读取 mlocate.db 啦！非常有趣吧！
除了 binary program 之外，事实上 SGID 也能够用在目录上，这也是非常常见的一种用途！当一个目录设置了 SGID 的权限后，他将具有如下的功能：

• 使用者若对于此目录具有 r 与 x 的权限时，该 使用者能够进入此目录；
• 使用者在此目录下的有效群组（effective group）将会变成该目录的群组；
• 用途：若使用者在此目录下具有 w 的权限（可以新建文件），则使用者所创建的新文件，该新文件的群组与此目录的群组相同

Sticky Bit
这个 Sticky Bit,SBIT目前只针对目录有效，对于文件已经没有效果了。SBIT对于目录的作用是：

• 当使用者对于此目录具有 w, x 权限，亦即具有写入的权限时；
• 当使用者在该目录下创建文件或目录时，仅有自己与 root 才有权力删除该文件

SUID/SGID/SBIT 权限设置

使用数字代表这几个权限

• 4 为 SUID
• 2 为 SGID
• 1 为 SBIT

设要将一个文件权限改为“-rwsr-xr-x”时，由于 s 在使用者权限中，所以是 SUID ，因此，在原先的 755 之前还要加上 4 ，也就是：“ chmod 4755 filename ”来设置！

范例

[root@localhost ~]# cd /tmp
[root@localhost tmp]# touch test
[root@localhost tmp]# chmod 4755 test;ls -l test
-rwsr-xr-x. 1 root root 0 2月  15 15:33 test
[root@localhost tmp]# chmod 6755 test; ls -l test
-rwsr-sr-x. 1 root root 0 2月  15 15:33 test
[root@localhost tmp]# chmod 1755 test; ls -l test
-rwxr-xr-t. 1 root root 0 2月  15 15:33 test
[root@localhost tmp]# chmod 7666 test; ls -l test
-rwSrwSrwT. 1 root root 0 2月  15 15:33 test

我们是下达7666喔！也就是说，user ,group以及others 都没有 x这个可执行的标志（因为666 嘛），所以，这个 S, T 代表的就是“空的”啦！怎