前言：

linux的权限管理是比较复杂的，主要原因是linux系统是一个多用户的并且是一个多种权限的权限系统。

1. 基本权限有：读，写，执行。
2. 特殊权限有：SUID，SGID，SBIT，隐藏权限 a  i
3. 用户：超级用户root以及其它的普通用户，普通用户里又有管理员用户，体现在文件（夹）上，我们通常也叫属主
4. 用户组：超级用户组wheel以及其它普通用户组，体现在文件（夹）上，我们通常也叫属组

以上这些构成了Linux系统的完整的权限系统。

例如我们查看一个文件，ls -al它的所有权限和属组：

[root@node3 ~]# ls -al admin.conf 
-rw------- 1 root root 5643 Nov  3 11:26 admin.conf

 输出可以分隔为如下（以|为分隔符）；

- |rw- | --- |  --- |  1 | root |root |5643 |Nov  3 11:26 |admin.conf

• 第一部分：文件类型，-表示普通文件，如果是文件夹，此处会是d，如果是链接文件，此处会是l
• 第二部分：用户权限---可读可写不可执行（三种基本权限r是读，w是写，x是执行）-代表没有权限，这一组权限通常用字母u表示，user的简写，以上面的文件为例，给它增加用户执行权限：

chmod u+x admin.conf

 再次查询它的权限：

[root@node3 ~]# ls -al admin.conf 
-rwx------ 1 root root 5645 Nov 11 16:22 admin.conf

• 第三部分：组权限----  -代表没有权限，因此，任何组都无读写执行的权限。这一组权限通常用字母g表示，group的简写，以上面的文件为例，给它增加组执行权限：

[root@node3 ~]# chmod g+x admin.conf
[root@node3 ~]# ls -al admin.conf 
-rwx--x--- 1 root root 5645 Nov 11 16:22 admin.conf

• 第四部分：其它用户和组的权限---- -代表没有权限，因此，其它的任何用户和组都没有读写执行权限，这里的其它相对的是六七，也就是属组，这一组权限通常用字母o表示，other 的简写，例子和上面一样就不举例了，需要注意的是，ugo这三个是可以合并起来使用的，比如，用户和其它用户增加写权限：

[root@node3 ~]# chmod uo+w admin.conf 
[root@node3 ~]# ls -al admin.conf 
-rwx--x-w- 1 root root 5645 Nov 11 16:22 admin.conf

• 第五部分：链接次数---此文件的软硬链接， 这里是1，表示没有任何链接文件
• 第六部分：归属用户---- 这里是归属于root用户
• 第七部分：归属组---- 这里是归属于root组
• 第八部分：文件的字节数--- 这里是5643个字节大小
• 第九部分：文件的创立时间----这里是11月3号 11点26创建的
• 第十部分： 文件的名称---- 这里是admin.conf

那么，以上这个admin.conf 文件的实际意义是：此文件仅仅能够由root用户读取和修改，不可以执行。

OK，什么是数字权限？什么是字母权限？权限如何增删改查呢？如何更加快速准确的设定权限？这些问题将在下面的内容逐一介绍。

一，

什么是数字权限？

Linux的权限系统内规定：

读权限=字母r=4

写权限=字母w=2

执行权限=字母x=1

SUID=字母s（S）=4

SGID=字母s（S）=2

SBIT=字母t（T）=1

例如，下面这个文件的，通过ls -al命令列出了它的详细信息，那么，-rw------- 就是该文件的详细权限，那么，用数字表示它的权限，数字应该是多少呢：

[root@node4 ~]# ls -al admin.conf 
-rw-------. 1 root root 5478 Nov  3 14:24 admin.conf

根据以上的定义，我们可以说这个admin.conf 现有的权限是600，具体的含义是rw也就是读写权限给予了属主root和属组root，（6是r+w=4+2，剩下的位置都是无权限因此是600），如何证明呢？

[root@node4 ~]# stat admin.conf File: ‘admin.conf’Size: 5478      	Blocks: 16         IO Block: 4096   regular file
Device: 801h/2049d	Inode: 67110625    Links: 1
Access: (0600/-rw-------)  Uid: (    0/    root)   Gid: (    0/    root)
Context: unconfined_u:object_r:admin_home_t:s0
Access: 2022-11-03 14:24:20.859979527 +0800
Modify: 2022-11-03 14:24:15.161979592 +0800
Change: 2022-11-03 14:24:15.161979592 +0800Birth: -

那么，问题来了，0600是什么情况？为什么不是600？

根本原因是stat命令会显示SUID这些权限，但此文件并没有这些权限，因此用0表示了嘛。

二，

常用的数字权限有哪些？

• 600 -rw-------   重要的专属于某个用户的配置文件一般配置此权限，一般认为这个是最低权限
• 644 -rw-r--r--   比上面的权限稍高
• 700 -rwx------   比上面的权限稍高
• 755 -rw-r-xr-x   大部分普通文件都是此权限
• 777 -rwxrwxrwx  暴力权限，一般是不使用的，安全性没有保障

三，

如何设置权限？

【linux的默认权限】

通常Linux有一个默认的umask，也就是默认的权限，一般是不需要修改的，此权限可以满足大部分的多用户工作，如果有安全方面以及使用范围的考虑才会针对某个文件（夹）做特别的指定。

[root@node4 ~]# umask 
0022

• 用户创建文件夹权限值=初始创建文件夹默认值-umask的预设值如：
• 775=777-002
• 用户创建文件权限值=初始创建文件默认值-umask的预设值
• 664=666-002

证明：

可以看到新建的文件file1和文件夹dir1权限用数字表示，分别是644和755

[root@node4 ~]# ls -al file1 dir1/
-rw-r--r--. 1 root root 0 Nov 12 13:12 file1dir1/:
total 4
drwxr-xr-x. 2 root root    6 Nov 12 13:12 .
dr-xr-x---. 9 root root 4096 Nov 12 13:12 ..

使用普通用户仍然是这两个权限：

[zsk@node4 ~]$ touch file1 && mkdir dir1
[zsk@node4 ~]$ ls -al file1 dir1/
-rw-rw-r--. 1 zsk zsk 0 Nov 12 13:15 file1dir1/:
total 0
drwxrwxr-x. 2 zsk zsk  6 Nov 12 13:15 .
drwx------. 3 zsk zsk 87 Nov 12 13:15 ..

OK，修改umask的值临时为0044，那么，现在的默认新建文件（夹）的权限是多少呢？

答案是：文件---622 文件夹---733

[zsk@node4 ~]$ umask 0044
[zsk@node4 ~]$ touch file1 && mkdir dir1
[zsk@node4 ~]$ ls
dir1  file1
[zsk@node4 ~]$ ls -al file1 dir1/
-rw--w--w-. 1 zsk zsk 0 Nov 12 13:20 file1dir1/:
total 0
drwx-wx-wx. 2 zsk zsk  6 Nov 12 13:20 .
drwx------. 3 zsk zsk 87 Nov 12 13:20 ..

再次临时修改umask的值为0077，以上默认权限会是多少呢？

计算式子为：文件 666 -077=600，文件夹 777-077=700

[zsk@node4 ~]$ stat file1 File: ‘file1’Size: 0         	Blocks: 0          IO Block: 4096   regular empty file
Device: 801h/2049d	Inode: 67390885    Links: 1
Access: (0600/-rw-------)  Uid: ( 1000/     zsk)   Gid: ( 1000/     zsk)
Context: unconfined_u:object_r:user_home_t:s0
Access: 2022-11-12 13:29:17.495681844 +0800
Modify: 2022-11-12 13:29:17.495681844 +0800
Change: 2022-11-12 13:29:17.495681844 +0800Birth: -
[zsk@node4 ~]$ stat dir1/File: ‘dir1/’Size: 6         	Blocks: 0          IO Block: 4096   directory
Device: 801h/2049d	Inode: 1430410     Links: 2
Access: (0700/drwx------)  Uid: ( 1000/     zsk)   Gid: ( 1000/     zsk)
Context: unconfined_u:object_r:user_home_t:s0
Access: 2022-11-12 13:29:24.680681565 +0800
Modify: 2022-11-12 13:29:17.498681844 +0800
Change: 2022-11-12 13:29:17.498681844 +0800Birth: -

指定权限：

设置权限无疑是使用数字会更加的快，例如，上面的文件和文件夹指定为满权限777：

数字指定：

[zsk@node4 ~]$ chmod 777 file1 dir1/
[zsk@node4 ~]$ ls -al file1 dir1/
-rwxrwxrwx. 1 zsk zsk 0 Nov 12 13:29 file1dir1/:
total 0
drwxrwxrwx. 2 zsk zsk   6 Nov 12 13:29 .
drwx------. 3 zsk zsk 103 Nov 12 13:29 ..

字母指定：

[zsk@node4 ~]$ chmod u=rwx,g=rwx,o=rwx file1 
[zsk@node4 ~]$ ls -al file1 
-rwxrwxrwx. 1 zsk zsk 0 Nov 12 13:40 file1

赋权指令可以简化为如下：

chmod ugo=rwx file1

也可以写成如下形式：

a等于ugo，也就是等于属主，属组，其它用户。

 chmod a+rwx file1

那么，减掉此文件的写权限呢？

chmod a-w file1
chmod ago-w file1

数字赋权呢？

[zsk@node4 ~]$ chmod 555 file1 
[zsk@node4 ~]$ stat file1 File: ‘file1’Size: 0         	Blocks: 0          IO Block: 4096   regular empty file
Device: 801h/2049d	Inode: 67390885    Links: 1
Access: (0555/-r-xr-xr-x)  Uid: ( 1000/     zsk)   Gid: ( 1000/     zsk)
Context: unconfined_u:object_r:user_home_t:s0
Access: 2022-11-12 13:40:18.838656141 +0800
Modify: 2022-11-12 13:40:18.838656141 +0800
Change: 2022-11-12 13:49:41.845634259 +0800Birth: -

上面的数字赋权其实都省略了特殊权限，比如上面的chmod 555 file1 其实是chmod 055 file1 ，那么，快速建立一个SBIT权限的文件夹是这样的：

[zsk@node4 ~]$ chmod 1755 dir1
[zsk@node4 ~]$ ls -al dir1/
total 0
drwxr-xr-t. 2 zsk zsk   6 Nov 12 13:40 .
drwx------. 3 zsk zsk 103 Nov 12 13:40 ..

同理，SUID和SGID数字赋权分别是4755和2755，当然，普通文件和文件夹赋予SUID并没有实际的意义，这里就不过多解释了。

权限设置需要谨慎，一般是最小化权限的原则，同时考虑实际的应用情况来综合设计。