Linux权限管理与ACL访问控制详解
作者:失因
一、基本权限概述
Linux 系统通过权限控制用户对文件和目录的访问,核心权限分为读(r)、写(w)、执行(x),分别对应数字权限值 4、2、1。
权限针对三类对象设置:所有者(u)、所属组(g)、其他用户(o),三者共同构成完整的权限控制体系。
1. 基本权限与数字对应关系
权限字符 | 权限含义 | 数字值 | 组合示例(文件 / 目录) | 数字表示 |
r | 读权限 | 4 | 只读(r--r--r--) | 444 |
w | 写权限 | 2 | 读写(rw-rw-rw-) | 666 |
x | 执行权限 | 1 | 读写执行(rwxrwxrwx) | 777 |
- | 无权限 | 0 | 所有者读写执行,其他无(rwx------) | 700 |
注意:目录必须拥有 x(执行)权限,否则无法通过 cd 命令切换到该目录。
二、权限管理命令(chmod)
chmod 用于修改文件或目录的权限,支持字符模式和数字模式两种操作方式。
1. 字符模式语法
chmod [对象][操作][权限] 文件名/目录名
- 对象:u(所有者)、g(所属组)、o(其他用户)、a(所有用户,默认)
- 操作:+(添加权限)、-(移除权限)、=(设置权限,覆盖原有)
- 权限:r、w、x
示例:
# 给文件所有者添加执行权限 chmod u+x file.txt # 移除所属组的写权限 chmod g-w file.txt # 给所有用户设置读写权限(覆盖原有) chmod a=rw dir/
2. 数字模式语法
chmod [所有者权限][所属组权限][其他用户权限] 文件名/目录名
通过三位数字分别指定所有者、所属组、其他用户的权限(每位数字为 r/w/x 的数值和)。
示例:
# 所有者读写执行,所属组读执行,其他用户只读(754) chmod 754 script.sh # 所有用户读写执行(777,谨慎使用) chmod 777 data/
三、特殊权限
特殊权限在基本权限基础上扩展了额外功能,适用于特定场景(如权限继承、身份临时切换)。
1. SUID(Set User ID)
- 标识:u+s(数字表示 4xxx)
- 作用:应用于二进制命令文件,执行该命令时临时获得文件所有者的身份(通常为 root)。
- 典型用途:允许普通用户执行需要 root 权限的命令(如 passwd 修改密码)。
示例:
# 给 mkdir 命令添加 SUID 权限 chmod u+s /usr/bin/mkdir
2. SGID(Set Group ID)
标识:g+s(数字表示 2xxx)
作用:
- 应用于命令文件:执行时临时获得文件所属组的身份。
- 应用于目录:目录中新建的文件 / 目录会继承该目录的所属组(而非创建者的基本组)。
示例:
# 给目录添加 SGID 权限(新文件继承目录所属组) chmod g+s /tmp/shared_dir
3. Sticky Bit(粘滞位)
- 标识:o+t(数字表示 1xxx)
- 作用:仅应用于目录,限制删除权限 ——只有文件所有者或 root 可删除该目录下的文件,其他用户即使有写权限也无法删除他人文件。
- 典型场景:系统临时目录 /tmp 默认设置该权限。
示例:
# 给共享目录添加粘滞位 chmod o+t /data/public
四、默认权限与 umask
新建文件或目录的默认权限由 umask(权限掩码)决定,umask 用于从最高权限中 “减去” 不需要的权限。
1. 最高权限基准
- 目录:最高权限为 0777(rwxrwxrwx)
- 文件:最高权限为 0666(rw-rw-rw-,默认无执行权限)
2. 默认 umask 值
- root 用户:0022(目录默认权限:0777-0022=0755;文件默认权限:0666-0022=0644)
- 普通用户:0002(目录默认权限:0777-0002=0775;文件默认权限:0666-0002=0664)
3. 临时修改 umask
# 临时将 umask 改为 0002(仅当前会话有效) umask 0002
注意:不建议永久修改 umask,可能导致新建文件 / 目录权限过松,存在安全风险。
五、所有者与所属组管理
1. 修改所有者(chown)
用于变更文件或目录的所有者,语法:
# 修改所有者 chown 新所有者 文件名/目录名 # 同时修改所有者和所属组(用 : 分隔) chown 新所有者:新所属组 文件名/目录名 # 递归修改目录(包括子文件/子目录) chown -R 新所有者:新所属组 目录名
示例:
# 将 file.txt 的所有者改为 admin chown admin file.txt # 递归将 data/ 目录的所有者改为 root,所属组改为 dev chown -R root:dev data/
2. 修改所属组(chgrp)
专门用于变更文件或目录的所属组,语法:
# 修改所属组 chgrp 新所属组 文件名/目录名 # 递归修改目录所属组 chgrp -R 新所属组 目录名
示例:
# 将 dir/ 的所属组改为 test chgrp test dir/
六、ACL 访问控制(setfacl)
ACL(Access Control List)提供更精细的权限控制,允许为特定用户或组单独设置权限,突破传统的 “所有者 - 所属组 - 其他” 三层权限限制。
1. 基本语法(setfacl)
# 给用户设置权限 setfacl -m u:用户名:权限 文件/目录 # 给组设置权限 setfacl -m g:组名:权限 文件/目录
- 权限:支持 r(读)、w(写)、x(执行),目录需 x 权限才能进入。
2. 常用示例
(1)给特定用户设置文件权限
# 允许 admin 用户对 file.txt 拥有读写权限 setfacl -m u:admin:rw file.txt
(2)给特定组设置目录权限
# 允许 lisi 组对 dir/ 拥有读写执行权限 setfacl -m g:lisi:rwx dir/
(3)设置目录权限继承(默认权限)
为目录设置默认 ACL 后,新建的子文件 / 子目录会自动继承该权限:
# 允许 admin 用户对 dir/ 有读写执行权限,并设置继承 setfacl -m u:admin:rwx dir/ # 目录本身权限 setfacl -m d:u:admin:rwx dir/ # 默认继承权限(d 表示 default)
3. ACL 权限管理命令
命令 | 功能 |
setfacl -b 文件名 | 清除文件 / 目录的所有 ACL 权限 |
setfacl -k 目录名 | 清除目录的默认继承权限 |
getfacl 文件名 | 查看文件 / 目录的 ACL 权限详情 |
总结
- 基本权限:通过 chmod 管理 rwx 权限,支持字符和数字两种模式。
- 特殊权限:SUID、SGID、Sticky Bit 适用于身份临时切换、权限继承等场景。
- 默认权限:由 umask 决定,root 与普通用户默认值不同。
- 所有者 / 组管理:chown 和 chgrp 用于变更文件的归属关系。
- ACL 权限:setfacl 提供精细化控制,支持为特定用户 / 组单独授权及权限继承。
掌握权限管理是保障 Linux 系统安全的核心技能,需根据实际场景合理配置权限,避免过度开放或权限不足。
以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。