Linux文件授权命令有哪些？

Linux文件授权命令是Linux系统中管理文件和目录访问权限的核心工具，它通过控制用户、用户组及其他用户对资源的操作权限，保障系统安全与数据隔离，Linux文件权限基于“用户-用户组-其他”的三级权限模型，通过读（r）、写（w）、执行（x）三种基本权限组合，实现对文件和目录的精细化控制，以下将详细解析Linux文件授权命令的核心概念、常用命令及实际应用场景。

文件权限的基本概念

Linux文件权限由10位字符表示，例如-rwxr-xr--，

• 第1位表示文件类型（为普通文件，d为目录，l为链接文件等）；
• 第2-4位属主权限（文件所有者）；
• 第5-7位属组权限（文件所属用户组）；
• 第8-10位其他用户权限。

权限字符含义如下：

• r（读）：允许查看文件内容或列出目录内容。
• w（写）：允许修改文件内容或在目录中创建/删除文件。
• x（执行）：允许运行文件或进入目录。

核心授权命令详解

chmod：修改文件权限

chmod命令用于变更文件或目录的权限,支持符号模式和数字模式两种操作方式。

符号模式：通过[ugoa][+-=][rwx]组合修改权限，

• u（属主）、g（属组）、o（其他用户）、a（所有用户）；
• （添加权限）、（取消权限）、（设置精确权限）。

示例：

chmod u+x script.sh          # 属主添加执行权限
chmod g-w document.txt       # 属组取消写权限
chmod a=rwx public/          # 所有用户设置读/写/执行权限

数字模式：通过数字表示权限，r=4、w=2、x=1,将权限值相加后组合：

• 7（rwx）、6（rw-）、5（r-x）、4（r–）、0（—）。

示例：

chmod 755 script.sh          # 属主rwx，属组r-x，其他r-x
chmod 644 data.txt          # 属主rw-，属组r--，其他r--
chmod 1777 /tmp/sticky_dir  # 设置粘滞位（特殊权限）

递归修改：使用-R参数递归修改目录及其内容权限（需谨慎使用）。

chmod -R 700 private_dir/    # 递归设置目录及其内容仅属主可访问

chown：修改文件所有者

chown命令用于更改文件或目录的属主和属组，格式为chown [属主][:][属组] 文件。

示例：

chown user1 file.txt          # 仅修改属主
chown user1:group1 file.txt  # 同时修改属主和属组
chown -R user1:group1 dir/   # 递归修改目录及其内容

chgrp：修改文件所属用户组

chgrp命令专门用于修改文件属组,用法较简单：

chgrp group1 file.txt         # 修改文件属组
chgrp -R group1 dir/          # 递归修改目录属组

umask：设置默认权限掩码

umask定义了新建文件和目录的默认权限（权限取反值）。umask 022表示新建文件默认权限为644（666-022），目录为755（777-022）。

查看和修改umask：

umask                          # 查看当前umask值
umask 027                      # 设置umask为027（新建文件权限为640，目录为750）

特殊权限

除了基本权限,Linux还支持三种特殊权限：

• SUID（4）：执行文件时以文件属主权限运行（如passwd命令）。
• SGID（2）：执行文件时以文件属组权限运行,或目录中新建文件继承目录属组。
• 粘滞位（1）：仅允许文件属主或root删除目录中的文件（如/tmp）。

设置特殊权限：

chmod 4755 suid_file          # 设置SUID
chmod 2755 sgid_dir           # 设置SGID
chmod 1777 sticky_dir         # 设置粘滞位

权限管理最佳实践

1. 最小权限原则：仅授予用户完成任务的必要权限,避免过度授权。
2. 定期审计：使用find命令检查异常权限文件（如find / -perm -4000 -print查找SUID文件）。
3. 目录权限：目录需有x权限才能进入，w权限才能在目录中创建/删除文件（即使无文件权限）。
4. 符号链接权限：链接文件权限取决于目标文件权限,而非链接本身权限。

常见场景示例

场景1：配置Web服务器目录

mkdir -p /var/www/html
chown -R www-data:www-data /var/www/html  # 设置属主为Web服务用户
chmod -R 755 /var/www/html                # 允许Web服务读/执行，用户组写

场景2：保护敏感配置文件

chmod 600 /etc/config.conf   # 仅允许root读写
chown root:root /etc/config.conf

场景3：共享目录配置

mkdir /shared
chown :shared_group /shared
chmod 2777 /shared           # 设置SGID和粘滞位，确保新建文件继承属组

相关问答FAQs

Q1：如何批量修改目录下所有文件的权限，但保留目录本身的权限不变？
A：使用find命令结合-exec参数，通过-type f筛选文件，排除目录：

find /target_dir -type f -exec chmod 644 {} \;  # 仅修改文件权限为644

Q2：为什么目录没有执行权限时，即使有读权限也无法进入？
A：目录的x权限（执行）是进入目录的必要条件，仅r权限只能查看目录内容（如ls），但无法使用cd命令进入，若需允许用户进入目录但不查看内容，可设置--x权限（如chmod 711 dir）。