linux文件属性、权限

0.目录

1 .命令ls

命令ls，用于列出（list）各文件。
默认仅显示非隐藏文件文件名。

各选项：

• 选项“-a”：显示包括隐藏文件在内的所有文件名。
  
  • 文件名第一个字符为“.”的即为隐藏文件。
• 选项“-d”：若参数为目录1，该选项表示仅列出目录本身，而非目录内的文件。
• 选项“-R”：若参数为目录，该选项表示连同子目录及其下文件都列出。
  
• 选项“-l”：列出详细的文件和属性。
  
  各字段以空格分隔，各字段意义：
  
  1. 共10个字符。第一个字符表示文件类型2；后9个字符，每3个一组分别表示文件属主（u）、属组（g）、其他用户（o）对于此文件是否有读（r）、写（w）、执行（x）权限。
  2. 该文件被硬链接的次数。
  3. 文件属主。
  4. 文件属组。
  5. 文件大小，默认单位为B。3
  6. 文件内容最近一次被修改的时间，即mtime。
  7. 文件名。
• 选项“-h”：与选项“-l”连用，使显示的文件大小使用人类（human）常用单位，如KB、MB等，而非B。
• 选项“–time={atime,ctime}”：与选项“-l”连用，输出文件最近访问时间（atime）或属性改变时间（ctime），而非内容修改时间（mtime）。
• 选项“–full-time”：与选项“-l”连用。选项“-l”输出的时间默认显示月、日、时间；若距离现在过久，则仅显示年月。该选项表示显示完整时间。
  

2 .文件权限

2.1 读、写、执行权限的意义

• 对于普通文件
  
  • r：表示读取文件的内容的权限。
    
    • 例如读取一个文本文件的文字；
    • 对某文件执行复制操作时，需用户对该文件有“r”权限4。
  • w：表示编辑修改文件内容的权限（但不含删除该文件）。
  • x：表示文件是否可以被执行。
    
    • windows可通过文件扩展名判断文件是否可以被执行，而linux的文件名并无特别意义，文件是否可执行完全看是否有此权限。

• 对于目录文件

  • r：表示读取目录结构列表的权限，即可使用命令“ls”查看目录中的文件名列表。
    
    • 目录的主要内容就是记录文件名列表。

  • w：表示更改目录结构列表的权限，即：

    • 可在该目录创建新的目录或文件；
    • 可在该目录删除已存在的目录或文件，不论被删除的文件权限为何；
      
    • 可在该目录重命名已存在的目录和文件；
    • 可在该目录剪切已存在的目录和文件等。

    综上，“w”权限对目录来讲可理解为，变动该目录下的文件名列表的权限。

  • x：表示能否切换到该目录作为当前工作目录，即：

    • 可使用命令“cd”至该目录；
    • 可读取、执行该目录下的文件（如果文件本身开放读、执行权限的话），若目录无“x”权限，则无法读取、执行该目录下的文件；
    • 可使用“ls -l”查看该目录下各文件属性等。

    注：
    1、目录开放“x”权限时，一般也要开放“r”权限。否则虽然可以“cd”至该目录，但不能“ls”（所以更不能“ls -l”）。
    2、用户在某目录下创建、删除、剪切文件（这些操作属于该目录的“w”权限），或对该目录下的文件进行复制等操作时，若仅有“w”权限而无“x”权限，则仍会提示无权限操作，需同时对该目录有“x”权限才可5。
    
    从上图也可看出，若开放目录的“w”权限给“其他用户（others）”，系统会为目录名着背景色。

2.2 读、写、执行权限的修改

命令chmod，用于修改文件权限。仅root和文件属主可修改文件权限，两种方式：

• 使用8进制数修改
  文件的读、写、执行权限共9位（每位取值0或1），每3位一组分别代表属主（u）、属组用户（g）、其他用户（o）的读、写、执行权限，共3组。每组取值范围是0到7（- - - 到rwx），可视作3个8进制数。所以修改的权限可用3个8进制数表示：
  

  
  如上，可使用3位8进制数来修改属主、属组用户、其他用户（上图显示的是4位8进制数，第1位是用来修改特殊权限的，如无需修改特殊权限，可省略此位）。使用“-R”选项可一次修改目录及其下所有文件的权限。

• 使用符号修改

  	修改谁的权限	添加、减去、指定	权限
  chmod	u、g、o、a	+、-、=	r、w、x	文件

  如上所示，可修改属主（u）、属组用户（g）、其他用户（o）或全部（a，包含ugo）用户的“rwx”权限，修改方式包括添加、删除、指定。

  例如使某文件的属主权限添加“x”权限，其他用户去掉“r”权限：
  
  没有指定改变属组用户的权限，故属组用户权限不会变化。

  又如，不改变其他权限，使所有人都有文件的“x”权限：
  

2.3 文件默认权限

默认权限计算

• 普通文件常常是为了记录数据，且为安全起见，不随便开放“x”权限，所以默认最大为开放读写（rw-rw-rw-），即“666”；
• 目录则需开放“x”以便切换至该目录，默认最大是“777”；
• 创建一个新目录或普通文件，其默认权限为上述的最大默认权限减去遮罩码。
  
  • 比如遮罩码设置为0022（第一位用于特殊权限，下述），则新建文件即为“rw-rw-rw-”减去“- - - -w - - w -”等于“rw- r- -r- -”；新建目录用同样方法计算可得默认权限为“rwxr-xr-x”。

命令umask，用于显示、设置遮罩码（仅在当前shell生效，）

• 显示遮罩码，选项“-S”表示以符号（Symbolic）方式显示
  
• 设置遮罩码
  
  
  • 使用命令设置的遮罩码仅在当前shell生效。永久生效的是配置文件，/etc/bashrc中使用了该命令设置了各用户的默认遮罩码。根据这个设置可知，root的默认遮罩码为0022；普通用户的遮罩码为0002。
  • 如需使设置的遮罩码永久生效，一般也不在/etc/bashrc中直接修改（且普通用户无该文件“w”权限）。可在bashshell的环境参数配置文件“~/.bashrc”中设置，可以看到该文件的内容也就是读取了文件/etc/bashrc。
    

2.4 文件特殊权限及修改

• SUID权限
  Set UID，简称SUID。该权限仅对二进制文件有效6，且仅在该文件执行过程中生效。当文件具有SUID权限时，文件属主的“x”权限位置变为“s”。

  效果：若文件具有SUID权限，且执行者对于该文件有“x”权限，当文件被其执行时，执行者将具有该文件属主的权限。

  以命令“passwd”为例，它具有SUID权限，可以看到具有SUID的文件会被系统着背景色。
  
  命令“passwd”可以修改用户的密码，即改变了文件“/etc/shadow”中的内容，该文件权限如下：
  
  显然只有root可以读取和强制写入7该文件。
  那么普通用户在使用命令“passwd”修改密码时，为何可修改文件“/etc/shadow”中的内容？
  因为文件“/usr/bin/passwd”有SUID权限，普通用户又对其有执行权限。所以普通用户在执行“passwd”的过程中（SUID仅在执行过程中生效），会具有文件“/usr/bin/passwd”属主（即root）的权限，所以可修改文件“/etc/shadow”的内容。

• SGID权限
  Set GID，简称SGID。文件具有此权限时，属组用户的“x”权限位置变为“s”。SGID仅对于二进制文件和目录有效，二者具有不同的意义：

  • 对于二进制文件
    类似SUID权限。若执行者对于文件具备“x”权限，当文件被其执行时，执行者在执行过程中将具有该文件属组用户的权限。
    例如命令“locate”执行时，可以查询文件“/var/lib/mlocate/mloca
    te.db”，二者权限如下：
    
    文件“/usr/bin/locate”也会被着背景色。这类似于上述的命令“passwd”与文件“/etc/shadow”的关系，不再赘述。

  • 对于目录
    当一目录具有SGID权限时，若用户对该目录有“r、x”权限（可“cd”至该目录），则用户“cd”至该目录后，用户的有效用户组不会变化，但在这个目录中创建的文件的属组，则不是用户的当前有效用户组，而是该目录的属组。如下所示：
    
    可以看到用户user1在家目录下创建的文件的属组是user1，而在目录ant下创建的文件test1的属组是目录ant的属组test_group。

    该功能常用于共同编辑文件。比如用户user1、user2均属于用户组test_group，目录bag的属组应为test_group，且属组用户权限开放为“rwx”。用户user1、user2在同一目录bag下共同开发项目8。
    
    如上，若目录“bag”没有SGID权限，则user1、user2虽然都可以在其下创建文件，但属组用户仍然是各自的当前有效用户组，所以用户user2对于user1创建的文件“test1_bag”为其他用户。普通用户的遮罩码为0002，所以文件“test_bag”对user2仅开放“r”权限。
    因为普通用户的遮罩码为0002，所以user1创建的文件的属组权限是有“w”权限的。所以如果目录“bag”开放SGID权限，则文件“test1_bag”的属组就会是“test_group”，从而使user2对其有“w”权限。二者就可互相修改对方创建的文件了9。

• SBIT权限
  Sticky Bit，简称SBIT。仅对目录有效。若目录有此权限，目录的其他用户的“x”权限位置变为“t”。

  效果：具有SBIT权限的目录A，其中有文件B，则仅目录A的属主、文件B的属主和root可以对其重命名、剪切、删除等。

  
  如上，目录有SBIT权限时也会着背景色。目录car具有SBIT权限。用户user2在该目录创建了文件“by_user2”，但user1不能删除、重命名，即使目录car对所有用户都开放了“w”权限。

• 修改文件的特殊权限
  仍使用命令“chmod”，同样有8进制数和符号两种方式：

  • 使用8进制数修改
    修改“rwx”权限时，可直接使用3位8进制数，在前面增加1位8进制数，可用来表示特殊权限。类似于“r、w、x”分别对应“4、2、1”，“SUID、SGID、SBIT”也分别对应“4、2、1”。
    
    如上，先开放了文件的SUID权限，然后取消SUID，开放SGID、SBIT权限（SBIT不会有任何效果，因为这个文件不是目录，这里只是说明如何修改权限）。

  • 使用符号修改

    	修改谁的权限	添加、减去、指定	权限
    chmod	u、g、o、a	+、-、=	s、t	文件

    如下所示，使用符号修改文件的特殊权限
    

  特殊情况：
  
  如上，文件开放SUID、SGID权限，其属主、属组成员的“x”权限位置会变为“s”，但若其本就没开放属主或属组成员的“x”权限，则SUID、SGID会用“S”表示。

  • 显然SUID在这种情况下不会再有效果，因为属主本身不具备“x”权限了，执行者当然无法以文件属主的权限运行文件。
  • SGID对于二进制文件的情况类似于SUID，即如果文件属组用户并没有开放“x”权限，那么执行者以文件属组用户的权限执行文件并没有意义。
  • 但若是目录开放SGID，即便属组用户不开放“x”权限，SGID依然会影响到属主和其他用户，即若属主或其他用户可以在该目录下创建文件，则它们创建的文件的属组同该目录的属组。

  
  如上，目录开放SBIT权限，其他用户的“x”权限位置变为“t”，但若其他用户的“x”权限本就未开放，则使用“T”表示SBIT。SBIT的效果不受影响。

2.5 文件隐藏权限及修改

文件隐藏权限有多个，对于数据安全较为重要。

• 命令lsattr，用于显示文件隐藏权限。
  
  上图中，除权限“e”，其他均未开放。“e”开放表示文件使用的是ext文件系统。在红帽6中使用的是ext文件系统，所以新建的文件都有“e”权限，且无法使用“chattr”删除该权限10。

• 命令chattr，用于修改文件隐藏权限。

  • 命令“chattr”仅可在ext文件系统使用。
  • 普通命令也可使用该命令，但某些隐藏权限仅root可设置。
  • 该命令可使用“=”“+”“-”三种方式，分别表示指定、添加、减去权限。
    
    如上图分别表示文件test2添加“i”权限；test3指定为“i、e”权限11；test4去掉“a”权限。

• 两个常用权限

  • 权限“i”，仅root可设置。表示文件不可被修改、删除、重命名、设置链接（即使root也不能）。完全变为只读文件，对系统安全有很大帮助。
  • 权限“a”，仅root可设置。表示文件仅可追加数据，文件不可被修改、删除12。可用于日志文件，使其可以增加内容，旧数据不能被修改和删除。

2.6 facl

facl：file access control list，文件访问控制列表。

对于普通用户来说，他所创建的文件，默认其他用户都是没有w和x权限的。如果想开放某个其他用户对其创建的文件有相关权限，就必须开放所有其他用户的权限。
facl机制作为文件的额外的赋权机制（即除了u、g、o方式的权限），可解决这个问题。

命令setfacl可设置某用户或组对指定文件有何权限，选项“-m”用于赋予权限，选项“-x”用于收回权限。
命令getfacl可查看指定文件对哪些用户和组开放了权限。

[root@localhost tmp]# setfacl -m u:hadoop:w by_root
[root@localhost tmp]# getfacl by_root
# file: by_root
# owner: root
# group: root
user::rw-
user:hadoop:-w-
group::r--
mask::rw-
other::r--

# 显示文件权限的结果中，显示用户hadoop对该文件有w权限。

[root@localhost tmp]# ll by_root 
-rw-rw-r--+ 1 root root 0 Aug 27 06:59 by_root

# 文件的详细信息中，权限位的右侧也会出现符号“+”，表示该文件有额外开放的权限。

也可对指定用户组开放权限，比如仍对文件by_root，令用户组user1对其有rw权限：

[root@localhost tmp]# setfacl -m g:user1:rw by_root 
[root@localhost tmp]# getfacl by_root
# file: by_root
# owner: root
# group: root
user::rw-
user:hadoop:-w-
group::r--
group:user1:rw-
mask::rw-
other::r--

撤销上述赋予的权限：

[root@localhost tmp]# setfacl -x u:hadoop by_root
[root@localhost tmp]# setfacl -x g:user1 by_root
[root@localhost tmp]# getfacl by_root
# file: by_root
# owner: root
# group: root
user::rw-
group::r--
mask::r--                           # mask指什么，哪位高手给解释下
other::r--

2.7 文件权限检查次序

一个用户发起的进程访问（或写、执行）某文件，系统检查其权限过程如下：

Created with Raphaël 2.1.0 用户访问某文件 该用户是否为文件属主 使用该文件属主的权限 文件访问控制列表是否设置了该用户的权限 使用访问控制列表中指定给该用户的权限 用户是否属于文件属组 使用文件属组的权限 文件访问控制列表是否设置了该用户所属的组的权限 使用文件访问控制列表中设置的用户所属的组的权限 使用文件的其他用户权限 yes no yes no yes no yes no

比如，在文件by_root的访问控制列表中，设置用户gentoo无任何权限。可验证上述的文件权限检查次序：

[root@localhost tmp]$ls -l by_root 
-rw-r--r--. 1 root root 0 Aug 27 10:06 by_root      # 用户gentoo作为该文件的其他用户是有r权限的。
[root@localhost tmp]$setfacl -m u:gentoo:--- by_root   # 访问控制列表中设置用户gentoo对该文件无任何权限 
[root@localhost tmp]$su - gentoo 
[gentoo@localhost ~]$cat /tmp/by_root 
cat: /tmp/by_root: Permission denied            #读取该文件提示无权限，可以看出是文件访问控制列表生效，而没有使用文件的其他用户权限。

3.文件属主、属组修改

• 管理员命令chgrp
  用于修改文件属组，修改的属组必须是“/etc/group”中已存在的。

  • “-R”选项，用于递归修改指定目录下的所有文件的属组

  

  

• 管理员命令chown
  用于修改用户属主、属组。修改的属主、属组必须是“/etc/passwd、/etc/group”中已存在的。

  默认修改属主，使用格式：“chown user:group file”13可同时修改属主属组，该格式若不写用户，则仅修改属组。如下所示：
  

  • chown的“-R”选项用于递归修改文件属主、属组，效果类似上述命令“chgrp”，不再赘述。

4.文件时间戳

文件时间戳包括：modification time（mtime）、status time（ctime）、access time（atime）。

• mtime
  mtime表示文件内容最近被修改（modify）的时间。
  当文件的数据、内容被修改时，mtime会更新。数据、内容不包括文件属性、权限。
  命令“ls -l”显示的时间默认是mtime。
• ctime
  ctime表示文件状态（status）最近被改变（change）的时间。
  当文件的状态被修改时，ctime会更新。比如文件的权限、属性被改变。
• atime
  atime表示文件最近被访问（access）的时间。比如“cat”了某文件，其atime会更新。

命令“touch”，用于更新文件的时间戳为现在的时刻（若文件不存在，则用于创建文件）。

• 默认三个时间都更新。
  
• 选项“-a”：仅更新atime。
  
  由上操作截图可看出，仅更新atime时，ctime也会被更新。因为“最近被访问时间”也是文件属性之一。
• 选项“-m”：仅更新mtime。
  与atime同理，，更新mtime时，ctime也会被更新。
• 选项“-c”：仅更新文件时间，若文件不存在，也不创建文件。
  

• 选项“-d”：同“–date=”，表示更改为指定日期，而非当前日期。
  
  由上述操作也可看出，ctime是无法被指定的14，它被更新成了当前时间。
  日期格式也可为“YYYY/MM/DD、YYYYMMDD”。

  “-d”选项也可将atime、mtime更新为当前时间的某段时间前，不论文件原来的时间是多少：
  
  注意上述操作是把atime、mtime更新为当前时间的十年前，而非文件原atime、mtime的十年前（虽然这好像更合逻辑）。

• 选项“-t”：更改为指定时间而非当前时间，时间格式为“YYMMDDhhmm”。
  

（完）

---

1. linux一切皆文件，为方便叙述，把目录文件直接称为目录。 ↩
2. linux文件类型：
   1、普通文件（-），普通文件又可按内容划分为文本文件、二进制文件、数据库文件等；
   2、目录文件（d）；
   3、链接文件（l），确切的说是符号链接或软链接；
   4、字符设备文件（c）；
   5、块设备文件（b）；
   6、管道文件（p）；
   7、套接字文件（s）。 ↩
3. 注意，如果是目录文件，该字段显示的也仅是目录文件本身的大小，不包括目录所指向的各文件的大小。这个要和windows的文件夹大小区分开。目录也是文件并不是容器。 ↩
4. 能“看到”文件内容，才能复制文件内容。剪切与复制不同，剪切并不访问文件内容，仅改变目录的文件名列表，所以剪切操作不需文件自身开放“r”权限。 ↩
5. 能“进入”目录，才能在其中创建文件；
   能“进入”目录，“看到”目录下的各文件，才能操作它们。 ↩
6. shell脚本不是二进制程序，它是很多命令（二进制程序）的堆砌。 ↩
7. 只有root可为文本文件“/etc/shadow”添加“w”权限，而后写入。 ↩
8. 两个或以上的用户共同在同一目录下开发，这些用户应有共同的用户组A（主要是为了指派权限，不一定作为当前有效用户组），且目录的属组应为A，然后该目录需把属组权限开放为“rwx”才能保证这些用户都能进入该目录并能创建文件；为防止干扰，该目录的其他用户权限均关闭即可。 ↩
9. 当然可以修改umask，使user1创建的文件对其他用户也开放“w”，反正只有属于用户组“test_group”的才能进目录“bag”；或者user1、user2在创建文件前都“newgrp”把当前有效组变为“test_group”，使创建的属组为“test_group”，也可达到互相修改对方创建的文件的目的。不过显然都不如设置SGID权限，对其他文件无影响且操作简单。 ↩
10. 显然，文件系统的变更，不可能通过修改某个文件的“e”权限来实现。 ↩
11. 显然，在ext文件系统，使用“=”指定特殊权限，必须有“e”权限。 ↩
12. 开放权限“a”的文件，不能通过“vim”编辑也不能使用“>”输入重定向增加内容，即使该文件本来是空的。这应该是因为“vim”和“>”输入重定向被视作修改文件内容。而使用“>>”追加重定向增加文件内容则不会报错。 ↩
13. 该格式中的“：”替换为“.”效果一样，但一般使用“：”，因为用户名中是允许出现“.”的，这样会造成系统的误判；而“：”是不允许出现在用户名中的。 ↩
14. ctime记录的是文件的状态最近被改变的时间，文件的属性、权限变化时它才会跟着变（具有客观性）。所以ctime无法被人为指定为某时间，也无法单独被更新为当前时间。“touch 文件”也可看做是atime、mtime更新所以ctime 更新。 ↩