查看文件权限的语句:

  在终端输入:
ls -l xxx.xxx 
xxx.xxx是文件名)

  那么就会出现相类似的信息,主要都是这些:
-rw-rw-r--

  一共有10位数

  其中: 最前面那个 - 代表的是类型

  中间那三个 rw- 代表的是所有者(user

  然后那三个 rw- 代表的是组群(group

  最后那三个 r-- 代表的是其他人(other

  然后我再解释一下后面那9位数:

表示文件可以被读(read

表示文件可以被写(write

表示文件可以被执行(如果它是程序的话)

表示相应的权限还没有被授予

  现在该说说修改文件权限了

chmod 

  在终端输入:

chmod o w xxx.xxx

  表示给其他人授予写xxx.xxx这个文件的权限

chmod go-rw xxx.xxx

  表示删除xxx.xxx中组群和其他人的读和写的权限

  其中:

代表所有者(user

代表所有者所在的组群(group

代表其他人,但不是uother

代表全部的人,也就是包括ugo

表示文件可以被读(read

表示文件可以被写(write

表示文件可以被执行(如果它是程序的话)

  其中:rwx也可以用数字来代替

r ------------4

w -----------2

x ------------1

- ------------0

  行动:

 表示添加权限

表示删除权限

表示使之成为唯一的权限

  当大家都明白了上面的东西之后,那么我们常见的以下的一些权限就很容易都明白了:

-rw------- (600) 只有所有者才有读和写的权限

-rw-r--r-- (644) 只有所有者才有读和写的权限,组群和其他人只有读的权限

-rwx------ (700) 只有所有者才有读,写,执行的权限

-rwxr-xr-x (755) 只有所有者才有读,写,执行的权限,组群和其他人只有读和执行的权限

-rwx--x--x (711) 只有所有者才有读,写,执行的权限,组群和其他人只有执行的权限

-rw-rw-rw- (666) 每个人都有读写的权限

-rwxrwxrwx (777) 每个人都有读写和执行的权限

 


Linux文件和目录访问权限设置

使用chmod和数字改变文件或目录的访问权限
文件和目录的权限表示,是用rwx这三个字符来代表所有者、用户组和其他用户的权限。有时候,字符似乎过于麻烦,因此还有另外一种方法是以数字来表示权限,而且仅需三个数字。
r: 
对应数值4
w: 
对应数值2
x
:对应数值1
-:对应数值0
数字设定的关键是mode的取值,一开始许多初学者会被搞糊涂,其实很简单,我们将rwx看成二进制数,如果有则有1表示,没有则有0表示,那么rwx r-x r- -则可以表示成为:
111 101 100
再将其每三位转换成为一个十进制数,就是754
例如,我们想让a.txt这个文件的权限为:
自己 同组用户 其他用户
可读   
可写  
可执行
那么,我们先根据上表得到权限串为:rw-rw-r--,那么转换成二进制数就是110 110 100,再每三位转换成为一个十进制数,就得到664,因此我 们执行命令:
[root@localhost ~]# chmod 664 a.txt
按照上面的规则,rwx合起来就是4 2 17,一个rwxrwxrwx权限全开放的文件,数值表示为777;而完全不开放权限的文件---------其数字表示为000。下面举几个例子:
-rwx------:
等于数字表示700
-rwxr—r--:
等于数字表示744
-rw-rw-r-x:
等于数字表示665
drwx—x—x:
等于数字表示711
drwx------:
等于数字表示700
在文本模式下,可执行chmod命令去改变文件和目录的权限。我们先执行ls -l 看看目录内的情况:
[root@localhost ~]# ls -l
总用量 368
-rw-r--r-- 1 root root 12172 8
 15 23:18 conkyrc.sample
drwxr-xr-x 2 root root 48 9
 4 16:32 Desktop
-r--r--r-- 1 root root 331844 10
 22 21:08 libfreetype.so.6
drwxr-xr-x 2 root root 48 8
 12 22:25 MyMusic
-rwxr-xr-x 1 root root 9776 11
 5 08:08 net.eth0
-rwxr-xr-x 1 root root 9776 11
 5 08:08 net.eth1
-rwxr-xr-x 1 root root 512 11
 5 08:08 net.lo
drwxr-xr-x 2 root root 48 9
 6 13:06 vmware
可以看到当然文件conkyrc.sample文件的权限是644,然后把这个文件的权限改成777。执行下面命令
[root@localhost ~]# chmod 777 conkyrc.sample
然后ls -l看一下执行后的结果:
[root@localhost ~]# ls -l
总用量 368
-rwxrwxrwx 1 root root 12172 8
 15 23:18 conkyrc.sample
drwxr-xr-x 2 root root 48 9
 4 16:32 Desktop
-r--r--r-- 1 root root 331844 10
 22 21:08 libfreetype.so.6
drwxr-xr-x 2 root root 48 8
 12 22:25 MyMusic
-rwxr-xr-x 1 root root 9776 11
 5 08:08 net.eth0
-rwxr-xr-x 1 root root 9776 11
 5 08:08 net.eth1
-rwxr-xr-x 1 root root 512 11
 5 08:08 net.lo
drwxr-xr-x 2 root root 48 9
 6 13:06 vmware
可以看到conkyrc.sample文件的权限已经修改为rwxrwxrwx
如果要加上特殊权限,就必须使用4位数字才能表示。特殊权限的对应数值为:
s
 S SUID):对应数值4
s
 S SGID):对应数值2
t
 T :对应数值1

用同样的方法修改文件权限就可以了
例如:

[root@localhost ~]# chmod 7600 conkyrc.sample
[root@localhost ~]# ls -l
总用量 368
-rwS--S--T 1 root root 12172 8
 15 23:18 conkyrc.sample
drwxr-xr-x 2 root root 48 9
 4 16:32 Desktop
-r--r--r-- 1 root root 331844 10
 22 21:08 libfreetype.so.6
drwxr-xr-x 2 root root 48 8
 12 22:25 MyMusic
-rwxr-xr-x 1 root root 9776 11
 5 08:08 net.eth0
-rwxr-xr-x 1 root root 9776 11
 5 08:08 net.eth1
-rwxr-xr-x 1 root root 512 11
 5 08:08 net.lo
drwxr-xr-x 2 root root 48 9
 6 13:06 vmware
加入想一次修改某个目录下所有文件的权限,包括子目录中的文件权限也要修改,要使用参数-R表示启动递归处理。
例如:
[root@localhost ~]# chmod 777 /home/user 
注:仅把/home/user目录的权限设置为rwxrwxrwx
[root@localhost ~]# chmod -R 777 /home/user 
注:表示将整个/home/user目录与其中的文件和子目录的权限都设置为rwxrwxrwx

chown

使用命令chown改变目录或文件的所有权

文件与目录不仅可以改变权限,其所有权及所属用户组也能修改,和设置权限类似,用户可以通过图形界面来设置,或执行chown命令来修改。

我们先执行ls -l看看目录情况:

[root@localhost ~]# ls -l

总用量 368

-rwxrwxrwx 1 root root 12172 8月 15 23:18 conkyrc.sample

drwxr-xr-x 2 root root 48 9月 4 16:32 Desktop

-r--r--r-- 1 root root 331844 10月 22 21:08 libfreetype.so.6

drwxr-xr-x 2 root root 48 8月 12 22:25 MyMusic

-rwxr-xr-x 1 root root 9776 11月 5 08:08 net.eth0

-rwxr-xr-x 1 root root 9776 11月 5 08:08 net.eth1

-rwxr-xr-x 1 root root 512 11月 5 08:08 net.lo

drwxr-xr-x 2 root root 48 9月 6 13:06 vmware

可以看到conkyrc.sample文件的所属用户组为root,所有者为root。

执行下面命令,把conkyrc.sample文件的所有权转移到用户user:

[root@localhost ~]# chown user conkyrc.sample

[root@localhost ~]# ls -l

总用量 368

-rwxrwxrwx 1 user root 12172 8月 15 23:18 conkyrc.sample

drwxr-xr-x 2 root root 48 9月 4 16:32 Desktop

-r--r--r-- 1 root root 331844 10月 22 21:08 libfreetype.so.6

drwxr-xr-x 2 root root 48 8月 12 22:25 MyMusic

-rwxr-xr-x 1 root root 9776 11月 5 08:08 net.eth0

-rwxr-xr-x 1 root root 9776 11月 5 08:08 net.eth1

-rwxr-xr-x 1 root root 512 11月 5 08:08 net.lo

drwxr-xr-x 2 root root 48 9月 6 13:06 vmware

要改变所属组,可使用下面命令:

[root@localhost ~]# chown :users conkyrc.sample

[root@localhost ~]# ls -l

总用量 368

-rwxrwxrwx 1 user users 12172 8月 15 23:18 conkyrc.sample

drwxr-xr-x 2 root root 48 9月 4 16:32 Desktop

-r--r--r-- 1 root root 331844 10月 22 21:08 libfreetype.so.6

drwxr-xr-x 2 root root 48 8月 12 22:25 MyMusic

-rwxr-xr-x 1 root root 9776 11月 5 08:08 net.eth0

-rwxr-xr-x 1 root root 9776 11月 5 08:08 net.eth1

-rwxr-xr-x 1 root root 512 11月 5 08:08 net.lo

drwxr-xr-x 2 root root 48 9月 6 13:06 vmware

要修改目录的权限,使用-R参数就可以了,方法和前面一样。



chgrp命令

  功能:改变文件或目录所属的组。

  语法:chgrp [选项] group filename

  该命令改变指定指定文件所属的用户组。其中group可以是用户组ID,也可以是/etc/group文件中用户组的组名。文件名是以空格分开的要改变属组的文件列表,支持通配符。如果用户不是该文件的属主或超级用户,则不能改变该文件的组。

  该命令的各选项含义为:

  - R 递归式地改变指定目录及其下的所有子目录和文件的属组。

  例1:$ chgrp - R book /opt/local /book

  改变/opt/local /book/及其子目录下的所有文件的属组为book。

chown 命令

  功能:更改某个文件或目录的属主和属组。这个命令也很常用。例如root用户把自己的一个文件拷贝给用户xu,为了让用户xu能够存取这个文件,root用户应该把这个文件的属主设为xu,否则,用户xu无法存取这个文件。

  语法:chown [选项] 用户或组 文件

  说明:chown将指定文件的拥有者改为指定的用户或组。用户可以是用户名或用户ID。组可以是组名或组ID。文件是以空格分开的要改变权限的文件列表,支持通配符。

  该命令的各选项含义如下:

  - R 递归式地改变指定目录及其下的所有子目录和文件的拥有者。

  - v 显示chown命令所做的工作。

  例1:把文件shiyan.c的所有者改为wang。

  $ chown wang shiyan.c

  例2:把目录/his及其下的所有文件和子目录的属主改成wang,属组改成users。

  $ chown - R wang.users /his



Linux的chattr与lsattr


如果权限是可以修改的,但是文件还是只读,或者其他类似的问题,

有时候你发现用root权限都不能修改某个文件,大部分原因是曾经用chattr命令锁定该文件了。chattr命令的作用很大,其中一些功能是由Linux内核版本来支持的,不过现在生产绝大部分跑的linux系统都是2.6以上内核了。通过chattr命令修改属性能够提高系统的安全性,但是它并不适合所有的目录。chattr命令不能保护/、/dev、/tmp、/var目录。lsattr命令是显示chattr命令设置的文件属性。

这两个命令是用来查看和改变文件、目录属性的,与chmod这个命令相比,chmod只是改变文件的读写、执行权限,更底层的属性控制是由chattr来改变的。

chattr命令的用法:chattr [ -RVf ] [ -v version ] [ mode ] files…
最关键的是在[mode]部分,[mode]部分是由+-=和[ASacDdIijsTtu]这些字符组合的,这部分是用来控制文件的
属性。

+ :在原有参数设定基础上,追加参数。
- :在原有参数设定基础上,移除参数。
= :更新为指定参数设定。
A:文件或目录的 atime (access time)不可被修改(modified), 可以有效预防例如手提电脑磁盘I/O错误的发生。
S:硬盘I/O同步选项,功能类似sync。
a:即append,设定该参数后,只能向文件中添加数据,而不能删除,多用于服务器日志文件安全,只有root才能设定这个属性。
c:即compresse,设定文件是否经压缩后再存储。读取时需要经过自动解压操作。
d:即no dump,设定文件不能成为dump程序的备份目标。
i:设定文件不能被删除、改名、设定链接关系,同时不能写入或新增内容。i参数对于文件 系统的安全设置有很大帮助。
j:即journal,设定此参数使得当通过mount参数:data=ordered 或者 data=writeback 挂 载的文件系统,文件在写入时会先被记录(在journal中)。如果filesystem被设定参数为 data=journal,则该参数自动失效。
s:保密性地删除文件或目录,即硬盘空间被全部收回。
u:与s相反,当设定为u时,数据内容其实还存在磁盘中,可以用于undeletion。
各参数选项中常用到的是a和i。a选项强制只可添加不可删除,多用于日志系统的安全设定。而i是更为严格的安全设定,只有superuser (root) 或具有CAP_LINUX_IMMUTABLE处理能力(标识)的进程能够施加该选项。

应用举例:

1、用chattr命令防止系统中某个关键文件被修改:
# chattr +i /etc/resolv.conf

然后用mv /etc/resolv.conf等命令操作于该文件,都是得到Operation not permitted 的结果。vim编辑该文件时会提示W10: Warning: Changing a readonly file错误。要想修改此文件就要把i属性去掉: chattr -i /etc/resolv.conf

# lsattr /etc/resolv.conf
会显示如下属性
----i-------- /etc/resolv.conf

2、让某个文件只能往里面追加数据,但不能删除,适用于各种日志文件:
# chattr +a /var/log/messages