【深度解析】Linux文件权限的“生存法则”!

原创 已于 2026-01-03 20:24:04 修改 · 619 阅读 · 30 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#linux #运维 #服务器 #权限管理 #后端开发
于 2025-12-18 23:00:00 首次发布

目录

一.引言

二.权限的“身份证”:理解rwx

2.1 角色

2.2 文件类型

2.3 基本权限

2.4 文件权限值的表示方法

三.变更“身份” :chown 与 chgrp

四.权限“变脸术”:chmod

五.默认规则的“守门员”:umask

六.特殊权限:粘滞位

6.1奇怪的现象        

6.2具体用途

一.引言

       在 Linux 的世界里,有一句名言:“一切皆文件”。但你是否想过,如果这些文件可以被任何人随意查看、修改或删除,那系统安全将无从谈起。Linux 权限机制就像是一套严密的“门禁系统”,决定了谁能进门、谁能动屋子里的东西。今天,我们就来拆解这套系统的核心指令,带你彻底玩转 Linux 权限管理。

二.权限的“身份证”:理解rwx

2.1 角色

       在 Linux 的世界里,为了实现多用户环境下的安全和协作,系统将每个文件或目录的访问者划分为三个特定的“身份”。

  • 拥有者(Owner):通常是创建该文件或目录的用户。在命令中通常用字母u(user)表示。

  • 所属组(Group)Linux允许将多个用户编成一个“组”。如果一个文件被设定为属于某个组,那么这个组内的所有成员都享有该文件对“组”开放的权限。在命令中通常用字母g(Group) 表示。

  • 其他人(Other):既不是文件的拥有者,也不属于文件所属组的任何其他用户。在严谨的服务器环境中,为了安全,通常会限制“其他人”的权限。在命令中通常用字母 o(Others) 表示。

那么如何在Linux中识别它们呢?当你输入 ls -l 命令时,你会看到类似下面的一行信息:

-  rw-  r--  r--   1  root  root  1024  Dec 18 10:00  test.txt
^   ^    ^    ^        ^      ^
|   |    |    |        |      |
类型 拥有者 组 其他人   拥有者名 组名

显然,当前这个test.txt文件,拥有者就是root,所属组同样也是root,其他人是余下的所有用户。

2.2 文件类型

        为了后续的介绍,我们有必要了解一下 Linux 的权限体系中,文件类型有哪些?即上面命令输出信息的第1位内容 - 是什么含义呢?

① -:普通文件 (Regular File)

这是最常见的文件类型。包含纯文本文件、源代码、二进制可执行程序、压缩包、图片等。

② d:目录 (Directory)

在 Linux 中,文件夹也被视为一种特殊的文件,里面记录了该目录下所有文件的列表。

        其余文件类型不是本文重点,以表格形式给出,不做过多介绍。

符号类型描述例子
l符号链接本身是一个文件,但内容指向另一个文件或目录/bin/sh是一个指向bash或dash的链接
c字符设备文件顺序读写的设备,一次一个字符键盘、鼠标、终端、(/dev/tty)
b块设备文件按块读写的存储设备,支持随机访问硬盘(/dev/sda)、U盘
s套接字文件用于进程间的网络通信MySQL的通信文件(/tmp/mysql.sock)
p命名管道用语进程间单向传递数据系统日志传递过程中可能用到

2.3 基本权限

        现在,我们再来谈谈这串神秘字符,rw-  r--  r-- 具体表示什么。这九个字符遵循严谨的‘三位一组’逻辑:自左向右依次界定了拥有者(Owner)、所属组(Group)以及其他人(Others)对该文件的操作权限边界。

①对于普通文件

  • r (Read):你可以读取文件的内容。

  • w (Write):你可以修改文件的内容。

  • x (Execute):你可以把这个文件当成程序或脚本来运行。

  • -:无权限。

②对于目录

  • r (Read):你可以列出目录里的内容。没有它,你执行 ls 就会报错。

  • w (Write):你可以在这个目录下创建、删除、重命名文件。

  • x (Execute):你可以“进入”这个目录。没有它,你连 cd 都进不去,更别提访问目录里的文件了。

  • -:无权限。

2.4 文件权限值的表示方法

  • 字符表示法:即用rwx来表示

  • 8进制数值表示法

       在 Linux 底层,权限是用二进制表示的。为了方便人类操作,我们将其转换成了简单的十进制累加。

权限符号权限名称二进制值十进制数字
r读(Read)1004
w写(Write)0102
x执行(Execute)0011
-无权限0000

权限组合公式:你只需要把对应的数字相加,就能得到一个 0-7 之间的数字:

  • rwx = 4 + 2 + 1 = 7(全开)

  • rw- = 4 + 2 + 0 = 6(读写)

  • r-x  = 4 + 0 + 1 = 5(读与执行)

  • r--  = 4 + 0 + 0 = 4(只读)

三.变更“身份” :chown 与 chgrp

如果你想改变文件的主人,这两条命令是首选。

1.chown(Change Owner)

用于修改文件的所有者,也可以顺便修改所属组。

格式:chown [参数] 用户名 文件名

sudo chown user1 file.txt(将所有者改为 user1)
sudo chown -R user1 filegroup1(递归所有文件均修改为 user1)
sudo chown user1:group1 file.txt (同时修改所有者和所属组)

2.chgrp(Change Group)

专门用于修改文件所属的群组。

格式:chgrp [参数] 用户组名 文件名

chgrp root project.log(将所属组改为 root)

注意:系统默认不允许我们把文件给别人,如果要给,必须提高自己的权限——>变为root。

四.权限“变脸术”:chmod

这是 Linux 中最常用的命令之一,依据文件权限值的两种表示方法,这里也有两种修改方式:

①数字模式

通过三个数字代表 u/g/o 的权限总和。

chmod 755 script.sh (拥有者读写执行,其他人读和执行)
chmod 644 config.txt (拥有者读写,其他人只读 —— 这是最常见的配置)

②符号模式

更直观地添加或删除权限。

  • + :向权限范围增加权限代号所表示的权限

  • -  :向权限范围取消权限代号所表示的权限

  • = :向权限范围赋予权限代号所表示的权限

chmod u+w /home/abc.txt (给拥有者增加写权限)
chmod o-x /home/abc.txt (给其他人减去执行权限)
chmod +x /home/abc.txt  (给所有人增加执行权限)
chmod g=rwx /home/abc.txt (所属组的权限变更为rwx)

注意:只有文件的拥有者和root才可以改变文件的权限。R——> 递归修改目录文件的权限。

五.默认规则的“守门员”:umask

当你新建一个文件时,它的默认权限是怎么来的???答案就是 umask

umask 是一种权限掩码,它定义了从满权限(文件 666,目录 777)中“扣除”哪些权限。超级用户root默认掩码值为 0022,普通用户默认为0002。

假设 umask 为 022:

  • 目录默认权限:777 - 022 = 755

  • 文件默认权限:666 - 022 = 644

// 实例
umask //查看
umask 044//设置

六.特殊权限:粘滞位

6.1奇怪的现象        

       我们先来看一个现象!超级管理员root在用户xxx的家目录下创建了一个root.txt文件。显然,xxx用户对于该文件此时没有任何权限。

[root@iZ2vc6as15jn39efepsimnZ xxx]# ll
total 4
-rw-r----- 1 root root  0 Dec 18 22:27 root.txt
-rw-rw-r-- 1 xxx  xxx  21 Dec 18 18:34 test1.c

但是,xxx用户此时却可以删掉该文件!

[xxx@iZ2vc6as15jn39efepsimnZ ~]$ ll
total 4
-rw-r----- 1 root root  0 Dec 18 22:27 root.txt
-rw-rw-r-- 1 xxx  xxx  21 Dec 18 18:34 test1.c
[xxx@iZ2vc6as15jn39efepsimnZ ~]$ rm -rf root.txt
[xxx@iZ2vc6as15jn39efepsimnZ ~]$ ll
total 4
-rw-rw-r-- 1 xxx xxx 21 Dec 18 18:34 test1.c
[xxx@iZ2vc6as15jn39efepsimnZ ~]$

这似乎看起来很不科学?xxx用户既然没有对该文件的任何权限,但是却可以删掉它?实际上,一个文件能否被删除,与文件本身无关,与文件所处的目录w权限有关!

[xxx@iZ2vc6as15jn39efepsimnZ home]$ ll
total 4
drwx------ 2 xxx xxx 4096 Dec 18 22:33 xxx

显然这个目录的拥有者正是用户xxx,并且拥有者有w权限,既可以在该目录中创建文件,同样也可以删除该目录中的文件,这是合理的。

6.2具体用途

        那么,在实际的开发中如果两个普通用户需要进行文件级别的协作呢?此时,我们不能放在任何一个用户的家目录中,因为该用户的家目录默认对其他人是没有任何权限的。

[root@iZ2vc6as15jn39efepsimnZ home]$ ll
total 16
drwx------ 2 zzz zzz 4096 Dec 18 22:33 zzz
drwx------ 2 www www 4096 Dec  8 20:22 www
drwx------ 2 xxx xxx 4096 Dec 18 22:28 xxx

此时,就需要root用户创建一个共享目录,即使大家都有写w权限,但只有文件的所有者才能删除或重命名该文件。防止恶意删除他人的文件。

// 设置方法
chmod +t /shared_dir
chmod 1777 /shared_dir(前面的 1 即代表粘滞位)

实际上,在linux的根目录下,就存在这样一个目录 tmp ,其对应的权限正是 drwxrwxrwt. 

五.其他讨论

        确定权限信息的时候,系统会先确定用户是谁?在Centos下,用户角色只会确定一次,顺序是:拥有者,所属组,其他人。

----rwxrwx 1 xxx  xxx  21 Dec 18 18:34 test1.c

例如在这样的场景下,对于拥有者xxx来说,他的权限是---即无任何权限。但是xxx同时也是所属组,而所属组的权限是rwx即所有权限都有。不过Linux是按照一个严格的顺序进行单次身份识别的,这意味着如果你是拥有者但被设为“无权限”,即便你所属的组拥有全权限,你依然会被系统无情拒绝。

        感谢观看!

OpenClaw本地部署生存指南:Node.js、Linux权限与Docker集成实战
weixin_30596343的博客
06-22 335
OpenClaw作为面向开发者的本地AI工作流编排工具,其本质是Node.js运行时与Linux系统深度耦合的工程实践。理解Node.js版本兼容性(如v18.20.2对SDK生态的稳定性保障)、Linux文件权限模型(尤其是docker.sock属组配置)及cgroup v1/v2内核特性差异,是实现可靠部署的核心原理。这类工具的技术价值不在于功能炫酷,而在于为私有化AI应用提供可控、可审计、低延迟的执行环境,广泛适用于NAS、边缘服务器及开发者本机构建轻量级AI代理。本文聚焦真实落地中的隐性成本——从n
Linux核心命令深度解析:20个高频命令的原理、陷阱与工程实践
a304096740的博客
06-19 429
Linux命令不是孤立语法,而是Shell、内核系统调用与权限机制协同运作的技术接口。理解其底层原理(如`fork`/`exec`进程创建、VFS路径解析、`getdents`目录读取)是规避误操作、构建可靠自动化脚本的基础。本文聚焦真实工作流中调用频次高、故障权重大的20个命令,覆盖定位、交互、诊断、协同四大能力层,深入解析`cd`的符号链接行为、`type`的四层命令查找、`rm -rf`的路径空格陷阱、`|`管道的stderr重定向逻辑等关键细节,直击运维、开发与安全人员在Ubuntu、Kali及sy
Ubuntu 18.04 Docker 兼容性生存指南:内核、存储驱动与网络深度适配
Eric.Net的专栏
06-21 444
Docker 是一种轻量级容器运行时技术,其核心依赖于 Linux 内核特性(如 cgroups、namespaces)和存储驱动机制。在 Ubuntu 18.04 这一长期支持但内核较旧(4.15)的发行版中,Docker 官方安装脚本存在显著兼容性盲区:cgroup v1/v2 混合支持不明确、默认 aufs 存储驱动已弃用且对 ext4 敏感、iptables 网络链缺失导致安全策略失效。这些问题直接引发 daemon 启动失败、镜像拉取卡顿、容器网络不通、权限越界等典型故障。本文聚焦 Ubuntu
FreeBSD 11.0 安装 Git 的深度实践:package 与 ports 方案对比
weixin_34192816的博客
06-20 355
Git 是现代软件开发中不可或缺的分布式版本控制系统,其核心能力依赖于安全通信(TLS/SSL)、可靠依赖管理和可定制编译。在类 Unix 系统中,包管理机制直接决定 Git 的版本时效性、协议兼容性与扩展能力。FreeBSD 以稳定性优先的 package 仓库和高度可控的 ports 源码构建体系著称,但这也带来 TLS 1.3 不兼容、OpenSSL/LibreSSL 链接冲突、子命令缺失等典型问题。本文围绕 FreeBSD 11.0 这一已终止支持的关键版本,解析如何通过 LD_LIBRARY_PA
Linux 网络应用层协议定制实战:从黏包处理到 Jsoncpp 序列化
我哎GIS博客
06-17 722
Linux 网络应用层协议定制实战:从黏包处理到 Jsoncpp 序列化
记录从0到1制作 Linux To Go
kusunoki的博客
06-17 470
本文介绍了如何制作一个便携的 Linux To Go 系统盘,适合计算机专业或有显卡需求的用户使用。通过 Ubuntu 启动盘,将系统完整安装到移动硬盘/U盘中,避免了双系统或虚拟机的复杂设置。文章详细讲解了准备工作、启动盘制作、BIOS 设置、系统安装步骤,以及网卡和显卡驱动的安装方法。这种方案可在不同电脑上即插即用,保留了完整的 Linux 系统功能和性能。
Linux 单用户模式 vs 救援模式的区别
weixin_53389944的博客
06-22 190
能看到GRUB、内核能加载、只是登录/配置出问题 → 用单用户模式,操作最快,不用外接介质;GRUB/内核/系统核心文件损坏、单用户根本进不去 → 用救援模式,独立外部环境兜底修复。补充:systemd体系里还有(本机救援目标,属于单用户类),和介质救援模式不是同一个东西,不要混淆。
Linux 设备驱动开发详解:基于最新的 Linux 4.0 内核》 第 1 章 Linux 设备驱动概述及开发环境搭建
qq_40843427的博客
06-21 327
本文介绍了Linux设备驱动的基本概念、功能及其在系统架构中的关键作用。主要内容包括: 设备驱动作为硬件与操作系统之间的接口层,实现了硬件无关性,为上层提供统一访问接口; 无操作系统时的裸机驱动开发模式,通过STM32 GPIO和UART驱动案例展示了直接寄存器操作方式; 对比了裸机驱动的特点(简单直接)与局限性(缺乏资源管理、无法并发访问等),为后续Linux驱动开发奠定基础。 (98字)
Linux 内核高速接口协议全方位深度解析
weixin_44932366的博客
06-23 16
高速接口驱动开发进阶手册本文聚焦 Linux 内核中主流高速接口的协议原理、信号机制、内核子系统架构、驱动开发流程及完整调用链分析。
Linux 【06-head命令超详细教程】
qq_16313575的博客
06-22 211
head用于,默认打印文件前10行;也可接收管道输出,截取命令输出的头部数据,日常排查日志、读取配置、过滤输出高频使用。
LINUX 网络编程2
qq_63242661的博客
06-23 224
三次握手:TCP建立连接的时候需经过三次握手,确保通讯双方都已经准备就绪。四次挥手:断开连接,确保通信双方在断开连接前都已经收发数据结束。3. 带有帧头帧尾的自定义协议,应用层根据协议精准解析。2. 每包数据增加分隔符,应用层根据分隔符解析。注意:注意结构体在不同平台上字节数不一致问题。粘包是 TCP 编程中最常见的问题之一,指。可以由客户端发起,也可以由服务端发起。
Linux 内核源码树深度解析
最新发布
ScilogyHunter的博客
06-23 294
Linux 内核作为开源世界的基石,其源码树结构经过三十多年的发展,已经形成了一套完整而严谨的组织体系。对于想要深入理解内核工作原理的开发者来说,熟悉源码树结构是第一步。本文将以 **Linux 6.18.35** 版本为例,详细介绍内核源码树的各个目录和关键文件,帮助读者建立完整的内核架构认知。
2025 年 Linux 平台的 Best Open Source Image Viewers 精选
xyo123的博客
06-20 190
## 引言 随着 Linux 桌面平台的持续演进,图片查看与管理工具不光要满足轻量、高效的日常浏览需求,还要兼容大量格式、支持多场景使用。2025 年的市场呈现出开源优先、跨平台协作与高吞吐量的使用偏好。本文在对比多款主流开源与主流图像查看工具时,聚焦在实际工作流中的性能差异、资源消耗、格式覆盖率与易用性,并结合品牌信息对主打产品“2345看图王”进行深入评测与推荐。评测以客观、数据化的方式呈现,
Linux 搭建及配置 DNS 服务器 — 实操指南
cpyaxjq的博客
06-17 297
本文是一篇关于在Linux系统上搭建和配置DNS服务器的实操指南。主要内容包括: DNS基础知识 DNS作用:将域名转换为IP地址 系统DNS配置文件解析(/etc/resolv.conf、/etc/hosts等) 常见DNS记录类型(A、AAAA、CNAME、MX等)及查询示例 DNS解析原理 解析流程图示:从根服务器到权威DNS的逐级查询 全球13组根服务器介绍 递归解析过程演示(使用dig +trace命令) BIND9服务器搭建 系统环境:Ubuntu 24.04 LTS 安装和配置BIND9服务
Linux 【07-tail命令超详细教程】
qq_16313575的博客
06-22 217
简写。
linux alphine下的文件获取问题
小小小猿
06-22 232
摘要:服务文件对接功能在处理中文文件名时出现"文件不存在"错误,原因是JVM编码(ANSI_X3.4-1968)与文件系统编码(UTF-8)不匹配。解决方案包括: 环境层面:在容器中设置LANG=en_US.UTF-8和LC_ALL=en_US.UTF-8,确保JVM使用UTF-8编码(sun.jnu.encoding=UTF-8); 代码层面:用Files.exists()替代File.exists(),使用Files.size()和Files.newBufferedReader()等NIO API处理文
Linux 常见缩写命令英文全称
lsyeei的博客
06-17 558
本文整理了一系列常用Linux命令及其名称来源和功能简介,涵盖了系统管理、文件操作、网络工具、用户管理等多个方面。包括awk文本处理、bash默认shell、rpm软件包管理、ssh安全登录、ping网络测试等基础命令,以及chmod权限修改、rm文件删除、df磁盘空间查询等实用工具。每个命令均标注了英文全称和核心用途,如sudo(superuser do)用于特权执行、tar(tape archive)实现文件打包等,为Linux用户提供了快速查阅参考。
linux通用基础
2302_80696251的博客
06-16 430
0:就绪的 fd 总数0:超时-1:出错(errno)定义 fd_setFD_ZERO 清空FD_SET 把需要监听的 fd 加进去调用 select用 FD_ISSET 遍历判断哪个就绪。
Linux 【04-more命令超详细教程】
qq_16313575的博客
06-22 246
more [参数] 文件命令 | more翻页:空格下一页、回车下一行、b上一页、q退出/关键词向下查找,n下一个匹配more -ds 文件名。
告别 PuTTY 和密钥拷贝:把 Linux 终端装进浏览器,实现无客户端远程运维
2401_84813926的博客
06-23 4258
本文介绍了如何在极空间NAS设备上部署WebSSH服务,并通过cpolar实现内网穿透,实现随时随地通过浏览器访问SSH终端。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值