使用 ACL 设置用户访问指定文件/目录的权限 | Linux 中国,acllinux

使用 ACL 设置用户访问指定文件/目录的权限 | Linux 中国,acllinux

ACL 表示访问控制列表(Access Control
List,ACL),它为文件系统提供了附加的、更具有弹性的权限机制。
它被设计来为补充 UNIX 文件权限机制。– Magesh Maruthamuthu

本文导航◈ 什么是 ACL?16%◈ 什么是 setfacl?20%◈ 什么 getfacl?21%◈ 如何确认是否启用了 ACL?24%◈ 如何查看默认的 ACL 值38%◈ 如何为文件设置 ACL43%◈ 如何为目录设置 ACL56%◈ 如何为组设置 ACL68%◈ 如何删除 ACL75%◈ 如何备份并还原 ACL88%编译自 |  
 作者 | Magesh Maruthamuthu
 译者 | lujun9972

当提到文件和目录的权限时,你的第一反应可能是“属主/群组/其它”权限。
这些权限可以通过 chmod、 chown 等命令来修改。

文件和目录都有属主 (文件所有者 )、群组 (所属组)
以及其它权限,这些权限构成一个集合。
然而这些权限集合有它的局限性,无法做到为不同的用户设置不同的权限。

Linux 对文件和目录有以下默认权限。

◈ 文件
-> 644 -> -rw-r-r- (所有者有读写权限,组成员有只读权限,
其他人也只有读权限)◈ 目录
-> 755 -> drwxr-xr-x (所有者有读、写和执行权限,组成员有读和执行的权限,其他人也有读和执行的权限)

比如: 默认情况下,所有者可以访问和编辑他们自己主目录中的文件,
也可以访问相关同组人的文件,但他们不能修改这些文件,因为组成员没有写权限,而且让组成员有写权限也是不明智的。
基于同样的原因,他/她也不能修改其他人的文件。
然而在某些情况下,多个用户想要修改同一个文件, 那该怎么办呢?

假设有个名叫 magi 的用户,他想要修改 httpd.conf 文件怎么办呢?
这个文件是归 root 用户所有的,这样如何授权呢?
为了解决这种情况,访问控制列表Access Control List(ACL)诞生了。

什么是 ACL?

ACL 表示访问控制列表Access Control
List(ACL),它为文件系统提供了附加的、更具有弹性的权限机制。
它被设计来为补充 UNIX 文件权限机制。 ACL
允许你赋予任何某用户/组访问某项资源的权限。 setfacl 与 getfacl 命令会帮助你管理
ACL 而不会有任何麻烦。

什么是 setfacl?

setfacl 用于设置文件和目录的 ACL。

什么 getfacl?

getfacl – 获取文件的 ACL
。对于每个文件, getfacl 都会显示文件名、文件所有者、所属组以及ACL。
如果目录有默认 ACL, getfacl 也会显示这个默认的 ACL。

如何确认是否启用了 ACL?

运行 tune2fs 命令来检查是否启用了 ACL。

  1. # tune2fs -l /dev/sdb1 | grep options

  2. Default mount options: (none)

上面的输出很明显第说明 /dev/sdb1 分区没有启用 ACL。

如果结果中没有列出 acl,则你需要在挂载选项中加上 acl
为了让它永久生效, 修改 /etc/fstab 中 /app 这一行成这样:

  1. # more /etc/fstab

  2. UUID=f304277d-1063-40a2-b9dc-8bcf30466a03 / ext4 defaults 1 1

  3. /dev/sdb1        /app ext4 defaults,acl 1 1

或者,你也可以使用下面命令将其添加道文件系统的超级块中:

  1. # tune2fs -o +acl /dev/sdb1

现在,通过运行以下命令来动态修改选项:

  1. # mount -o remount,acl /app

再次运行 tune2fs 命令来看选项中是否有 acl 了:

  1. # tune2fs -l /dev/sdb1 | grep options

  2. Default mount options: acl

嗯,现在 /dev/sdb1 分区中有 ACL 选项了。

如何查看默认的 ACL 值

要查看文件和目录默认的 ACL
值,可以使用 getfacl 命令后面加上文件路径或者目录路径。 注意,
当你对非 ACL 文件/目录运行 getfacl 命令时,
则不会显示附加的 user和 mask 参数值。

  1. # getfacl /etc/apache2/apache2.conf

  2. # file: etc/apache2/apache2.conf

  3. # owner: root

  4. # group: root

  5. user::rw-

  6. group::r--

  7. other::r--

如何为文件设置 ACL

以下面格式运行 setfacl 命令可以为指定文件设置
ACL。在下面的例子中,我们会给 magi 用户对 /etc/apache2/apache2.conf 文件 rwx 的权限。

  1. # setfacl -m u:magi:rwx /etc/apache2/apache2.conf

仔细分析起来:

◈ setfacl: 命令◈ -m: 修改文件的当前 ACL◈ u: 指明用户◈ magi
用户名◈ rwx: 要设置的权限◈ /etc/apache2/apache2.conf: 文件名称

再查看一次新的 ACL 值:

  1. # getfacl /etc/apache2/apache2.conf

  2. # file: etc/apache2/apache2.conf

  3. # owner: root

  4. # group: root

  5. user::rw-

  6. user:magi:rwx

  7. group::r--

  8. mask::rwx

  9. other::r--

注意: 若你发现文件或目录权限后面有一个加号(+),就表示设置了 ACL。

  1. # ls -lh /etc/apache2/apache2.conf

  2. -rw-rwxr--+ 1 root root 7.1K Sep 19 14:58 /etc/apache2/apache2.conf

如何为目录设置 ACL

以下面格式运行 setfacl 命令可以递归地为指定目录设置
ACL。在下面的例子中,我们会将 /etc/apache2/sites-available/ 目录中的 rwx 权限赋予 magi 用户。

  1. # setfacl -Rm u:magi:rwx /etc/apache2/sites-available/

其中:

◈ -R: 递归到子目录中

再次查看一下新的 ACL 值。

  1. # getfacl /etc/apache2/sites-available/

  2. # file: etc/apache2/sites-available/

  3. # owner: root

  4. # group: root

  5. user::rwx

  6. user:magi:rwx

  7. group::r-x

  8. mask::rwx

  9. other::r-x

现在 /etc/apache2/sites-available/ 中的文件和目录都设置了 ACL。

  1. # ls -lh /etc/apache2/sites-available/

  2. total 20K

  3. -rw-rwxr--+ 1 root root 1.4K Sep 19 14:56 000-default.conf

  4. -rw-rwxr--+ 1 root root 6.2K Sep 19 14:56 default-ssl.conf

  5. -rw-rwxr--+ 1 root root 1.4K Dec 8 02:57 mywebpage.com.conf

  6. -rw-rwxr--+ 1 root root 1.4K Dec 7 19:07 testpage.com.conf

如何为组设置 ACL

以下面格式为指定文件运行 setfacl 命令。在下面的例子中,我们会给 appdev 组赋予 /etc/apache2/apache2.conf 文件的 rwx 权限。

  1. # setfacl -m g:appdev:rwx /etc/apache2/apache2.conf

其中:

◈ g: 指明一个组

对多个用户和组授权,只需要用 逗号 区分开,就像下面这样。

  1. # setfacl -m u:magi:rwx,g:appdev:rwx /etc/apache2/apache2.conf

如何删除 ACL

以下面格式运行 setfacl 命令会删除文件对指定用户的
ACL。这只会删除用户权限而保留 mask 的值为只读。

  1. # setfacl -x u:magi /etc/apache2/apache2.conf

其中:

◈ -x: 从文件的 ACL 中删除

再次查看 ACL 值。在下面的输出中我们可以看到 mask 的值是读。

  1. # getfacl /etc/apache2/apache2.conf

  2. # file: etc/apache2/apache2.conf

  3. # owner: root

  4. # group: root

  5. user::rw-

  6. group::r--

  7. mask::r--

  8. other::r--

使用 -b 来删除文件中所有的 ACL。

  1. # setfacl -b /etc/apache2/apache2.conf

其中:

◈ -b: 删除所有的 ACL 条目

再次查看删掉后的 ACl
值就会发现所有的东西都不见了,包括 mask 的值也不见了。

  1. # getfacl /etc/apache2/apache2.conf

  2. # file: etc/apache2/apache2.conf

  3. # owner: root

  4. # group: root

  5. user::rw-

  6. group::r--

  7. other::r--

如何备份并还原 ACL

下面命令可以备份和还原 ACL 的值。要制作备份,
需要进入对应的目录然后这样做(假设我们要备份 sites-available 目录中的
ACL 值)。

  1. # cd /etc/apache2/sites-available/

  2. # getfacl -R * > acl_backup_for_folder

还原的话,则运行下面命令:

  1. # setfacl --restore=/etc/apache2/sites-available/acl_backup_for_folder

via: 

作者:Magesh Maruthamuthu[2] 译者:lujun9972 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

LCTT 译者lujun9972 ? ? ? ?共计翻译:51 篇贡献时间:39 天

推荐文章

< 左右滑动查看相关文章 >

点击图片、输入文章 ID 或识别二维码直达

原文链接请访问“原文链接”获得可点击的文内链接、全尺寸原图和相关文章。

一、文件和目录权限概述

图片 1

 

当提到文件和目录的权限时,你的第一反应可能是“属主/群组/其它”权限。
这些权限可以通过 chmodchown 等命令来修改。

在linux中的每一个文件或目录都包含有访问权限,这些访问权限决定了谁能访问和如何访问这些文件和目录。

文件和目录都有属主 (文件所有者 )、群组 (所属组)
以及其它权限,这些权限构成一个集合。
然而这些权限集合有它的局限性,无法做到为不同的用户设置不同的权限。

 

Linux 对文件和目录有以下默认权限。


过设定权限可以从以下三种访问方式限制访问权限:只允许用户自己访问;允许一个预先指定的用户组中的用户访问;允许系统中的任何用户访问。同时,用户能够
控制一个给定的文件或目录的访问程度。一个文件活目录可能有读、写及执行权限。当创建一个文件时,系统会自动地赋予文件所有者读和写的权限,这样可以允许
所有者能够显示文件内容和修改文件。文件所有者可以将这些权限改变为任何他想指定的权限。一个文件也许只有读权限,禁止任何修改。文件也可能只有执行权
限,允许它想一个程序一样执行。

  • 文件 -> 644 -> -rw-r-r-
    (所有者有读写权限,组成员有只读权限, 其他人也只有读权限)
  • 目录 -> 755 -> drwxr-xr-x
    (所有者有读、写和执行权限,组成员有读和执行的权限,其他人也有读和执行的权限)

 

比如: 默认情况下,所有者可以访问和编辑他们自己主目录中的文件,
也可以访问相关同组人的文件,但他们不能修改这些文件,因为组成员没有写权限,而且让组成员有写权限也是不明智的。
基于同样的原因,他/她也不能修改其他人的文件。
然而在某些情况下,多个用户想要修改同一个文件, 那该怎么办呢?


种不同的用户类型能够访问一个目录或者文件:所有着、用户组或其他用户。所有者就是创建文件的用户,用户是所有用户所创建的文件的所有者,用户可以允许所
在的用户组能访问用户的文件。通常,用户都组合成用户组,例如,某一类或某一项目中的所有用户都能够被系统管理员归为一个用户组,一个用户能够授予所在用
户组的其他成员的文件访问权限。最后,用户也将自己的文件向系统内的所有用户开放,在这种情况下,系统内的所有用户都能够访问用户的目录或文件。在这种意
义上,系统内的其他所有用户就是other用户类。

假设有个名叫 magi 的用户,他想要修改 httpd.conf 文件怎么办呢?
这个文件是归 root 用户所有的,这样如何授权呢?
为了解决这种情况,访问控制列表Access Control List(ACL)诞生了。

 

什么是 ACL?


一个用户都有它自身的读、写和执行权限。第一套权限控制访问自己的文件权限,即所有者权限。第二套权限控制用户组访问其中一个用户的文件的权限。第三套权
限控制其他所有用户访问一个用户的文件的权限,这三套权限赋予用户不同类型(即所有者、用户组和其他用户)的读、写及执行权限就构成了一个有9种类型的权限组。

ACL 表示访问控制列表Access Control
List(ACL),它为文件系统提供了附加的、更具有弹性的权限机制。
它被设计来为补充 UNIX 文件权限机制。 ACL
允许你赋予任何某用户/组访问某项资源的权限。 setfaclgetfacl
命令会帮助你管理 ACL 而不会有任何麻烦。

 

什么是 setfacl?

我们可以用-l参数的ls命令显示文件的详细信息,其中包括权限。如下所示:

setfacl 用于设置文件和目录的 ACL。

 

什么 getfacl?

[root@localhost ~]# ls -lh

getfacl – 获取文件的 ACL 。对于每个文件, getfacl
都会显示文件名、文件所有者、所属组以及ACL。 如果目录有默认 ACL,
getfacl 也会显示这个默认的 ACL。

总用量 368K

如何确认是否启用了 ACL?

-rw-r–r– 1 root root 12K 8月
15 23:18 conkyrc.sample

运行 tune2fs 命令来检查是否启用了 ACL。

drwxr-xr-x 2 root root 48 9月 4
16:32 Desktop

# tune2fs -l /dev/sdb1 | grep optionsDefault mount options: (none)

-r–r–r– 1 root root 325K 10月
22 21:08 libfreetype.so.6

上面的输出很明显第说明 /dev/sdb1 分区没有启用 ACL。

drwxr-xr-x 2 root root 48 8月 12
22:25 MyMusic

如果结果中没有列出 acl,则你需要在挂载选项中加上 acl
为了让它永久生效, 修改 /etc/fstab/app 这一行成这样:

-rwxr-xr-x 1 root root 9.6K 11月
5 08:08 net.eth0

# more /etc/fstab UUID=f304277d-1063-40a2-b9dc-8bcf30466a03 / ext4 defaults 1 1/dev/sdb1        /app ext4 defaults,acl 1 1 

-rwxr-xr-x 1 root root 9.6K 11月
5 08:08 net.eth1

或者,你也可以使用下面命令将其添加道文件系统的超级块中:

-rwxr-xr-x 1 root root 512 11月
5 08:08 net.lo

# tune2fs -o +acl /dev/sdb1

drwxr-xr-x 2 root root 48 9月 6
13:06 vmware

现在,通过运行以下命令来动态修改选项:

 

# mount -o remount,acl /app

当执行ls -l 或 ls -al 命令后显示的结果中,最前面的第2~10个字符是用来表示权限。第一个字符一般用来区分文件和目录:

再次运行 tune2fs 命令来看选项中是否有 acl 了:

 

# tune2fs -l /dev/sdb1 | grep optionsDefault mount options: acl

    d:表示是一个目录,事实上在ext2fs中,目录是一个特殊的文件。

嗯,现在 /dev/sdb1 分区中有 ACL 选项了。

    -:表示这是一个普通的文件。

如何查看默认的 ACL 值

    l: 表示这是一个符号链接文件,实际上它指向另一个文件。

要查看文件和目录默认的 ACL 值,可以使用 getfacl
命令后面加上文件路径或者目录路径。 注意, 当你对非 ACL 文件/目录运行
getfacl 命令时, 则不会显示附加的 usermask 参数值。

    b、c:分别表示区块设备和其他的外围设备,是特殊类型的文件。

# getfacl /etc/apache2/apache2.conf # file: etc/apache2/apache2.conf# owner: root# group: rootuser::rw-group::r--other::r-- 

    s、p:这些文件关系到系统的数据结构和管道,通常很少见到。

如何为文件设置 ACL

 

以下面格式运行 setfacl 命令可以为指定文件设置
ACL。在下面的例子中,我们会给 magi 用户对 /etc/apache2/apache2.conf
文件 rwx 的权限。

下面详细介绍一下权限的种类和设置权限的方法。

# setfacl -m u:magi:rwx /etc/apache2/apache2.conf

 

仔细分析起来:

二、一般权限

  • setfacl: 命令
  • -m: 修改文件的当前 ACL
  • u: 指明用户
  • magi: 用户名
  • rwx: 要设置的权限
  • /etc/apache2/apache2.conf: 文件名称

 

再查看一次新的 ACL 值:

第2~10个字符当中的每3个为一组,左边三个字符表示所有者权限,中间3个字符表示与所有者同一组的用户的权限,右边3个字符是其他用户的权限。这三个一组共9个字符,代表的意义如下:

# getfacl /etc/apache2/apache2.conf # file: etc/apache2/apache2.conf# owner: root# group: rootuser::rw-user:magi:rwxgroup::r--mask::rwxother::r--

r(Read,读取):对文件而言,具有读取文件内容的权限;对目录来说,具有浏览目
录的权限。

注意: 若你发现文件或目录权限后面有一个加号(+),就表示设置了 ACL。

w(Write,写入):对文件而言,具有新增、修改文件内容的权限;对目录来说,具有删除、移动目录内文件的权限。

# ls -lh /etc/apache2/apache2.conf-rw-rwxr--+ 1 root root 7.1K Sep 19 14:58 /etc/apache2/apache2.conf 

x(eXecute,执行):对文件而言,具有执行文件的权限;对目录了来说该用户具有进入目录的权限。

如何为目录设置 ACL

-:表示不具有该项权限。

以下面格式运行 setfacl 命令可以递归地为指定目录设置
ACL。在下面的例子中,我们会将 /etc/apache2/sites-available/ 目录中的
rwx 权限赋予 magi 用户。

 

# setfacl -Rm u:magi:rwx /etc/apache2/sites-available/

下面举例说明:

其中:

 

  • -R: 递归到子目录中

      -rwx——: 文件所有者对文件具有读取、写入和执行的权限。

再次查看一下新的 ACL 值。

      -rwxr—r–: 文件所有者具有读、写与执行的权限,其他用户则具有读取的权限。

# getfacl /etc/apache2/sites-available/ # file: etc/apache2/sites-available/# owner: root# group: rootuser::rwxuser:magi:rwxgroup::r-xmask::rwxother::r-x 

      -rw-rw-r-x: 文件所有者与同组用户对文件具有读写的权限,而其他用户仅具有读取和执行的权限。

现在 /etc/apache2/sites-available/ 中的文件和目录都设置了 ACL。

      drwx–x–x: 目录所有者具有读写与进入目录的权限,其他用户近能进入该目录,却无法读取任何数据。

# ls -lh /etc/apache2/sites-available/total 20K-rw-rwxr--+ 1 root root 1.4K Sep 19 14:56 000-default.conf-rw-rwxr--+ 1 root root 6.2K Sep 19 14:56 default-ssl.conf-rw-rwxr--+ 1 root root 1.4K Dec 8 02:57 mywebpage.com.conf-rw-rwxr--+ 1 root root 1.4K Dec 7 19:07 testpage.com.conf 

      Drwx——: 除了目录所有者具有完整的权限之外,其他用户对该目录完全没有任何权限。

如何为组设置 ACL

 

以下面格式为指定文件运行 setfacl 命令。在下面的例子中,我们会给
appdev 组赋予 /etc/apache2/apache2.conf 文件的 rwx 权限。

每个用户都拥有自己的专属目录,通常集中放置在/home目录下,这些专属目录的默认权限为rwx——:

# setfacl -m g:appdev:rwx /etc/apache2/apache2.conf

 

其中:

[root@localhost ~]# ls -al

  • g: 指明一个组

总用量 5

对多个用户和组授权,只需要用 逗号 区分开,就像下面这样。

drwxr-xr-x 9 root root 240 11月
8 18:30 .

# setfacl -m u:magi:rwx,g:appdev:rwx /etc/apache2/apache2.conf 

drwxr-xr-t 22 root root 568 10月
15 09:13 ..

如何删除 ACL

drwxr-xr-x 2 root root 48 8月 11
08:09 ftp

以下面格式运行 setfacl 命令会删除文件对指定用户的
ACL。这只会删除用户权限而保留 mask 的值为只读。

drwxrwxrwx 2 habil users 272 11月 13 19:13 habil

# setfacl -x u:magi /etc/apache2/apache2.conf

-rw-r–r– 1 root root 0 7月 31
00:41 .keep

其中:

drwxr-xr-x 2 root root 72 11月 3
19:34 mp3

  • -x: 从文件的 ACL 中删除

drwxr-xr-x 39 sailor users 1896 11月 11 13:35 sailor

再次查看 ACL 值。在下面的输出中我们可以看到 mask 的值是读。

drwxr-xr-x 3 temp users 168 11月
8 18:17 temp

# getfacl /etc/apache2/apache2.conf # file: etc/apache2/apache2.conf# owner: root# group: rootuser::rw-group::r--mask::r--other::r--

drwxr-xr-x 3 test users 200 11月
8 22:40 test

使用 -b 来删除文件中所有的 ACL。

drwxr-xr-x 65 wxd users 2952 11月 19 18:53 wxd

# setfacl -b /etc/apache2/apache2.conf

 

其中:

表示目录所有者本身具有所有权限,其他用户无法进入该目录。执行mkdir命令所创建的目录,其默认权限为rwxr-xr-x,用户可以根据需要修改目录的权限。

  • -b: 删除所有的 ACL 条目

 

再次查看删掉后的 ACl 值就会发现所有的东西都不见了,包括 mask
的值也不见了。

此外,默认的权限可用umask命令修改,用法非常简单,只需执行umask
777 命令,便代表屏蔽所有的权限,因而之后建立的文件或目录,其权限都变成000,依次类推。通常root帐号搭配umask命令的数值为022、027和077,普通用户则是采用002,这样所产生的权限依次为755、750、700、775。有关权限的数字表示法,后面将会详细说明。

# getfacl /etc/apache2/apache2.conf # file: etc/apache2/apache2.conf# owner: root# group: rootuser::rw-group::r--other::r-- 

 

如何备份并还原 ACL

用户登录系统时,用户环境就会自动执行rmask命令来决定文件、目录的默认权限。

下面命令可以备份和还原 ACL 的值。要制作备份,
需要进入对应的目录然后这样做(假设我们要备份 sites-available 目录中的
ACL 值)。

 

# cd /etc/apache2/sites-available/# getfacl -R * > acl_backup_for_folder

三、特殊权限

还原的话,则运行下面命令:

 

# setfacl --restore=/etc/apache2/sites-available/acl_backup_for_folder 

其实文件与目录设置不止这些,还有所谓的特殊权限。由于特殊权限会拥有一些“特权”,因而用户若无特殊需求,不应该启用这些权限,避免安全方面出现严重漏洞,造成黑客入侵,甚至摧毁系统!!!

【编辑推荐】

 

s或S(SUID,Set UID):可执行的文件搭配这个权限,便能得到特权,任意存取该文件的所有者能使用的全部系统资源。请注意具备SUID权限的文件,黑客经常利用这种权限,以SUID配上root帐号拥有者,无声无息地在系统中开扇后门,供日后进出使用。

 

s或S(SGID,Set GID):设置在文件上面,其效果与SUID相同,只不过将文件所有者换成用户组,该文件就可以任意存取整个用户组所能使用的系统资源。

 

T或T(Sticky):/tmp和 /var/tmp目录供所有用户暂时存取文件,亦即每位用户皆拥有完整的权限进入该目录,去浏览、删除和移动文件。

 

因为SUID、SGID、Sticky占用x的位置来表示,所以在表示上会有大小写之分。加入同时开启执行权限和SUID、SGID、Sticky,则权限表示字符是小写的:

 

     -rwsr-sr-t 1 root root 4096 6月 23 08:17 conf

 

如果关闭执行权限,则表示字符会变成大写:

 

     -rwSr-Sr-T 1 root root 4096 6月 23 08:17 conf

 

四、使用文件管理器来改变文件或目录的权限:

 

如果用户要改变一个文件目录的权限,右击要改变权限的文件或者目录,在弹出的快捷菜单中选择“属性”,系统将打开属性对话框

 

在“属性”对话框中,单击“权限”标签,就会打开“权限”选项卡。

 

在这里你可以修改文件或者目录的所有者、组群和其他用户的权限,而且可以设置特殊权限

 

对于特殊权限,最好不要设置,不然会带来很严重的安全问题。

 

当然,在这里你也可以改变文件和目录的所有者和所属组。

图片 2

图片 3

五、使用chmod和数字改变文件或目录的访问权限

 

文件和目录的权限表示,是用rwx这三个字符来代表所有者、用户组和其他用户的权限。有时候,字符似乎过于麻烦,因此还有另外一种方法是以数字来表示权限,而且仅需三个数字。

 

     r: 对应数值4

     w: 对应数值2

     x:对应数值1

     -:对应数值0

 

数字设定的关键是mode的取值,一开始许多初学者会被搞糊涂,其实很简单,我们将rwx看成二进制数,如果有则有1表示,没有则有0表示,那么rwx r-x r- -则可以表示成为:

 

  111 101 100

  再将其每三位转换成为一个十进制数,就是754。

  例如,我们想让a.txt这个文件的权限为:

   自己 同组用户 其他用户

  可读 是 是 是

  可写 是 是

    可执行

 

那么,我们先根据上表得到权限串为:rw-rw-r–,那么转换成二进制数就是110 110
100,再每三位转换成为一个十进制数,就得到664,因此我 们执行命令:

 

[root@localhost ~]# chmod 664 a.txt

 

按照上面的规则,rwx合起来就是4+2+1=7,一个rwxrwxrwx权限全开放的文件,数值表示为777;而完全不开放权限的文件“---------”其数字表示为000。下面举几个例子:

 

-rwx——:等于数字表示700。

-rwxr—r–:等于数字表示744。

-rw-rw-r-x:等于数字表示665。

drwx—x—x:等于数字表示711。

drwx——:等于数字表示700。

 

在文本模式下,可执行chmod命令去改变文件和目录的权限。我们先执行ls
-l 看看目录内的情况:

 

[root@localhost ~]# ls -l

总用量 368

-rw-r–r– 1 root root 12172 8月
15 23:18 conkyrc.sample

drwxr-xr-x 2 root root 48 9月 4
16:32 Desktop

-r–r–r– 1 root root 331844 10月 22 21:08 libfreetype.so.6

drwxr-xr-x 2 root root 48 8月 12
22:25 MyMusic

-rwxr-xr-x 1 root root 9776 11月
5 08:08 net.eth0

-rwxr-xr-x 1 root root 9776 11月
5 08:08 net.eth1

-rwxr-xr-x 1 root root 512 11月
5 08:08 net.lo

drwxr-xr-x 2 root root 48 9月 6
13:06 vmware

 

可以看到当然文件conkyrc.sample文件的权限是644,然后把这个文件的权限改成777。执行下面命令

 

[root@localhost ~]# chmod 777 conkyrc.sample

 

然后ls -l看一下执行后的结果:

 

[root@localhost ~]# ls -l

总用量 368

-rwxrwxrwx 1 root root 12172 8月
15 23:18 conkyrc.sample

drwxr-xr-x 2 root root 48 9月 4
16:32 Desktop

-r–r–r– 1 root root 331844 10月 22 21:08 libfreetype.so.6

drwxr-xr-x 2 root root 48 8月 12
22:25 MyMusic

-rwxr-xr-x 1 root root 9776 11月
5 08:08 net.eth0

-rwxr-xr-x 1 root root 9776 11月
5 08:08 net.eth1

-rwxr-xr-x 1 root root 512 11月
5 08:08 net.lo

drwxr-xr-x 2 root root 48 9月 6
13:06 vmware

 

可以看到conkyrc.sample文件的权限已经修改为rwxrwxrwx

 

如果要加上特殊权限,就必须使用4位数字才能表示。特殊权限的对应数值为:

 

     s或 S (SUID):对应数值4。

     s或 S (SGID):对应数值2。

     t或 T :对应数值1。

<code>

用同样的方法修改文件权限就可以了

 

例如:

<code>

[root@localhost ~]# chmod 7600 conkyrc.sample

[root@localhost ~]# ls -l

总用量 368

-rwS–S–T 1 root root 12172 8月
15 23:18 conkyrc.sample

drwxr-xr-x 2 root root 48 9月 4
16:32 Desktop

-r–r–r– 1 root root 331844 10月 22 21:08 libfreetype.so.6

drwxr-xr-x 2 root root 48 8月 12
22:25 MyMusic

-rwxr-xr-x 1 root root 9776 11月
5 08:08 net.eth0

-rwxr-xr-x 1 root root 9776 11月
5 08:08 net.eth1

-rwxr-xr-x 1 root root 512 11月
5 08:08 net.lo

drwxr-xr-x 2 root root 48 9月 6
13:06 vmware

 

加入想一次修改某个目录下所有文件的权限,包括子目录中的文件权限也要修改,要使用参数-R表示启动递归处理。

 

例如:

 

[root@localhost ~]# chmod 777 /home/user 注:仅把/home/user目录的权限设置为rwxrwxrwx

[root@localhost ~]# chmod -R 777 /home/user 注:表示将整个/home/user目录与其中的文件和子目录的权限都设置为rwxrwxrwx

 

六、使用命令chown改变目录或文件的所有权

 

文件与目录不仅可以改变权限,其所有权及所属用户组也能修改,和设置权限类似,用户可以通过图形界面来设置,或执行chown命令来修改。

 

我们先执行ls -l看看目录情况:

 

[root@localhost ~]# ls -l

总用量 368

-rwxrwxrwx 1 root root 12172 8月
15 23:18 conkyrc.sample

drwxr-xr-x 2 root root 48 9月 4
16:32 Desktop

-r–r–r– 1 root root 331844 10月 22 21:08 libfreetype.so.6

drwxr-xr-x 2 root root 48 8月 12
22:25 MyMusic

-rwxr-xr-x 1 root root 9776 11月
5 08:08 net.eth0

-rwxr-xr-x 1 root root 9776 11月
5 08:08 net.eth1

-rwxr-xr-x 1 root root 512 11月
5 08:08 net.lo

drwxr-xr-x 2 root root 48 9月 6
13:06 vmware

 

可以看到conkyrc.sample文件的所属用户组为root,所有者为root。

 

执行下面命令,把conkyrc.sample文件的所有权转移到用户user:

 

[root@localhost ~]# chown user conkyrc.sample

[root@localhost ~]# ls -l

总用量 368

-rwxrwxrwx 1 user root 12172 8月
15 23:18 conkyrc.sample

drwxr-xr-x 2 root root 48 9月 4
16:32 Desktop

-r–r–r– 1 root root 331844 10月 22 21:08 libfreetype.so.6

drwxr-xr-x 2 root root 48 8月 12
22:25 MyMusic

-rwxr-xr-x 1 root root 9776 11月
5 08:08 net.eth0

-rwxr-xr-x 1 root root 9776 11月
5 08:08 net.eth1

-rwxr-xr-x 1 root root 512 11月
5 08:08 net.lo

drwxr-xr-x 2 root root 48 9月 6
13:06 vmware

 

要改变所属组,可使用下面命令:

 

[root@localhost ~]# chown :users conkyrc.sample

[root@localhost ~]# ls -l

 

总用量 368

-rwxrwxrwx 1 user users 12172 8月 15 23:18 conkyrc.sample

drwxr-xr-x 2 root root 48 9月 4
16:32 Desktop

-r–r–r– 1 root root 331844 10月 22 21:08 libfreetype.so.6

drwxr-xr-x 2 root root 48 8月 12
22:25 MyMusic

-rwxr-xr-x 1 root root 9776 11月
5 08:08 net.eth0

-rwxr-xr-x 1 root root 9776 11月
5 08:08 net.eth1

-rwxr-xr-x 1 root root 512 11月
5 08:08 net.lo

drwxr-xr-x 2 root root 48 9月 6
13:06 vmware

相关文章