精通 Linux 文件权限管理：chmod 命令详解

目录#

理解 Linux 文件权限基础
chmod 命令语法与两种模式
符号模式（相对权限）
- 符号模式语法
- 符号模式示例
数字模式（绝对权限）
- 权限的数字表示
- 数字模式示例
特殊权限：SetUID, SetGID, Sticky Bit
递归修改权限
常见场景与最佳实践
- 常见权限设置
- 最佳实践
总结
参考

理解 Linux 文件权限基础#

在使用 chmod 之前，我们必须先理解权限是如何表示的。使用 ls -l 命令可以查看文件或目录的详细信息，其中就包含了权限信息。

$ ls -l
-rwxr-xr-- 1 user group 2048 Jan 10 10:30 my_script.sh
drwxr-xr-x 2 user group 4096 Jan 10 10:31 my_directory/

输出结果的第一列（如 -rwxr-xr--）就是权限字符串。它由 10 个字符组成：

第1个字符：表示文件类型（- 代表普通文件，d 代表目录，l 代表链接等）。
后9个字符：每3个为一组，分别代表所有者、所属组和其他用户的权限。

用户类别#

u (user/owner)：文件或目录的所有者。
g (group)：文件或目录所属的用户组。
o (others)：既不是所有者，也不在所属组内的其他所有用户。
a (all)：代表以上所有用户，即 u+g+o。

权限类型#

每组3个字符分别代表：

r (read)：读权限。
- 对于文件：允许读取文件内容。
- 对于目录：允许列出目录内的文件列表（如使用 ls 命令）。
w (write)：写权限。
- 对于文件：允许修改或覆盖文件内容。
- 对于目录：允许在目录内创建、删除、重命名文件或子目录。
x (execute)：执行权限。
- 对于文件：允许将文件作为程序或脚本来执行。
- 对于目录：允许进入该目录（如使用 cd 命令）。

查看文件权限#

使用 ls -l 是最直接的方式。-n 选项可以同时显示用户和组的 UID、GID，这在某些情况下更有用。

ls -nl filename

chmod 命令语法与两种模式#

chmod 命令的基本语法如下：

chmod [选项]... 模式[,模式]... 文件...
chmod [选项]... 八进制模式 文件...

chmod 主要有两种方式来修改权限：

符号模式：使用 u, g, o, a 和 r, w, x 等符号来相对地增加或移除权限。更直观，适合微调。
数字模式：使用一个三位或四位的八进制数字来绝对地设置权限。更精确、高效，适合批量操作。

符号模式（相对权限）#

符号模式语法#

符号模式的格式是：[用户类别][操作符][权限]

用户类别：u, g, o, a 或其组合。如果省略，默认为 a。
操作符：
- +：增加指定的权限。
- -：移除指定的权限。
- =：精确设置权限，将指定用户类别的权限直接设置为等号后的值。如果等号后为空，则表示移除所有权限。
权限：r, w, x 或其组合。

可以同时指定多个操作，用逗号分隔，例如 u+x,g-w。

符号模式示例#

假设有一个文件 example.txt，初始权限为 -rw-r--r--。

# 1. 为所有者（user）增加执行（x）权限
$ chmod u+x example.txt
# 结果：-rwxr--r--
 
# 2. 为所属组（group）和其他用户（others）移除读（r）权限
$ chmod go-r example.txt
# 结果：-rwx------
 
# 3. 为所有用户（all）增加写（w）权限
$ chmod a+w example.txt
# 结果：-rwx-w--w-
 
# 4. 将所属组（group）的权限设置为“读和写”（rw-）
$ chmod g=rw example.txt
# 结果：-rwxrw--w-
 
# 5. 移除其他用户（others）的所有权限
$ chmod o= example.txt
# 结果：-rwxrw----
 
# 6. 一次性进行多个操作：为所有者加执行，为组移除写
$ chmod u+x,g-w example.txt

数字模式（绝对权限）#

权限的数字表示#

数字模式使用八进制数字来代表权限，每个权限对应一个数字：

r (读) = 4
w (写) = 2
x (执行) = 1
无权限 = 0

所需权限是这些数字的相加组合：

7 (4+2+1) = rwx（读、写、执行）
6 (4+2+0) = rw-（读、写）
5 (4+0+1) = r-x（读、执行）
4 (4+0+0) = r--（只读）
0 (0+0+0) = ---（无权限）

然后，我们将三个数字按顺序组合：所有者、所属组、其他用户。例如，常见的 755 表示：

所有者：7 -> rwx
所属组：5 -> r-x
其他用户：5 -> r-x

数字模式示例#

同样以 example.txt 为例，初始权限为 -rw-r--r--（即 644）。

# 1. 将权限设置为 755 (rwxr-xr-x)
$ chmod 755 example.txt
# 结果：-rwxr-xr-x
 
# 2. 将权限设置为 600 (只有所有者可读可写)
$ chmod 600 example.txt
# 结果：-rw-------
 
# 3. 将权限设置为 644 (所有者可读写，组和其他只读)
$ chmod 644 example.txt
# 结果：-rw-r--r--

特殊权限：SetUID, SetGID, Sticky Bit#

除了基本的 rwx，还有三个特殊权限，它们在权限字符串中占用执行权限（x）的位置。

SetUID (Set User ID)：数字表示为 4。
- 当设置在可执行文件上时，无论谁执行这个文件，它都会以文件所有者的权限运行。
- 例如，/usr/bin/passwd 命令就有 SetUID 位，允许普通用户修改自己的密码（该操作需要写入 /etc/shadow 文件的 root 权限）。
- 符号模式：u+s
- 数字模式：在普通三位数字前加一位，如 4755。ls -l 显示为 -rwsr-xr-x（所有者执行位变为 s）。
SetGID (Set Group ID)：数字表示为 2。
- 当设置在可执行文件上时，类似 SetUID，但以文件所属组的权限运行。
- 当设置在目录上时，在该目录下创建的任何新文件或子目录，其所属组都会自动继承该目录的所属组，而不是创建者的主要组。
- 符号模式：g+s
- 数字模式：如 2755。ls -l 显示为 -rwxr-sr-x（组执行位变为 s）。
Sticky Bit (粘滞位)：数字表示为 1。
- 通常设置在目录上（如 /tmp）。在具有粘滞位的目录中，用户只能删除或重命名自己创建的文件或目录，即使该目录对所有用户都可写（w）。
- 符号模式：+t
- 数字模式：如 1755 或 1777。ls -l 显示为 drwxrwxrwt（其他用户执行位变为 t）。

设置特殊权限示例：

# 数字模式设置 /shared_dir 的 SetGID 位
$ chmod 2775 /shared_dir
 
# 符号模式为 /tmp 目录设置粘滞位
$ chmod +t /tmp

递归修改权限#

使用 -R（大写）选项可以递归地修改一个目录及其内部所有文件和子目录的权限。这是一个非常强大的操作，务必谨慎使用。

# 将一个网站目录及其所有内容设置为 web 服务器可读
$ chmod -R 644 /var/www/my_website/*  # 错误！这会破坏目录的执行权限
$ chmod -R u=rw,go=r /var/www/my_website/*  # 同样错误
 
# 正确做法：分别处理文件和目录，或使用 find 命令
# 方法1：分别设置（推荐）
$ find /var/www/my_website -type f -exec chmod 644 {} \;  # 所有文件设为644
$ find /var/www/my_website -type d -exec chmod 755 {} \;  # 所有目录设为755
 
# 方法2：使用一个命令，但风险较高
$ chmod -R 755 /var/www/my_website/  # 赋予所有文件执行权限，可能不安全

常见场景与最佳实践#

常见权限设置#

755 (rwxr-xr-x)：可执行文件、脚本、程序目录。所有者可读写执行，其他人可读执行。
644 (rw-r--r--)：普通配置文件、文本文件、图片等。所有者可读写，其他人只读。
600 (rw-------)：私密文件，如 SSH 私钥 (~/.ssh/id_rsa)。只有所有者可读写。
700 (rwx------)：私密目录，如 SSH 配置目录 (~/.ssh)。只有所有者可完全访问。
775 (rwxrwxr-x)：协作目录，同组用户可共同管理目录内的文件。
1777 / 1770 (rwxrwxrwt): 公共临时目录（如 /tmp），配合粘滞位。

最佳实践#

遵循最小权限原则：只授予完成工作所必需的最小权限。不要随意使用 777 或 chmod -R 777，这是极大的安全风险。
谨慎使用 -R 递归选项：在执行递归修改前，最好先在一个测试目录验证命令，或者使用 find 命令进行更精细的控制。
理解目录的执行权限：没有 x 权限，就无法 cd 进入目录，即使有 r 权限也无法列出其内容。目录的典型权限是 755 或 750。
安全处理脚本：脚本文件需要同时有读和执行权限（如 755）才能运行。只有执行权限是不够的。
备份重要权限：在修改系统关键文件或目录的权限前，可以先使用 getfacl 命令备份权限，以便出错时恢复。
```
getfacl -R /some/important/dir > permissions_backup.acl
# 恢复时使用
setfacl --restore=permissions_backup.acl
```

总结#

chmod 命令是 Linux 权限管理的核心工具。通过符号模式和数字模式，我们可以灵活、精确地控制文件与目录的访问权。

符号模式 (u+rx, go-w) 适合快速、直观的微调。
数字模式 (755, 644) 适合精确、高效的批量设置。
牢记特殊权限（SetUID, SetGID, Sticky Bit）的应用场景与安全影响。
使用递归选项 -R 时务必小心，遵循最小权限原则。

熟练掌握 chmod，将使你能够更好地维护 Linux 系统的安全性与协作效率。

参考#

chmod 手册页：在终端中输入 man chmod
GNU Coreutils 文档：https://www.gnu.org/software/coreutils/manual/html_node/chmod-invocation.html
Linux 文件权限详解：man 7 inode