在 Linux 中，每个文件和目录都关联了一组权限，定义了不同用户对其的访问能力。权限分为三类：读取（read, r）、写入（write, w）和执行（execute, x），分别用字母 r、w、x 表示。这些权限针对三类用户：

• 文件所有者（owner）：创建文件或目录的用户。
• 用户组（group）：与文件关联的用户组。
• 其他用户（others）：系统中既非所有者也非用户组成员的用户。

通过 ls -l 命令，可以查看文件的权限信息。例如：

ls -l
-rwxr-xr-x 1 user group 1024 Apr 28 2025 example.sh

上述输出中，-rwxr-xr-x 表示权限字符串：

• 第一个字符（-）表示文件类型（- 为普通文件，d 为目录，l 为符号链接等）。
• 接下来的 9 个字符分为三组，每组 3 个字符，分别表示所有者、用户组和其他用户的权限：
• rwx：所有者具有读、写、执行权限。
• r-x：用户组具有读、执行权限，无写权限。
• r-x：其他用户具有读、执行权限，无写权限。

权限的含义

读取（r）

• 文件：允许查看文件内容（如用 cat 或 less）。
• 目录：允许列出目录内容（如用 ls）。

写入（w）

• 文件：允许修改或删除文件内容。
• 目录：允许在目录中创建、删除或重命名文件。

执行（x）

• 文件：允许运行文件（如脚本或二进制文件）。
• 目录：允许进入目录（如用 cd）。

注意：目录的执行权限尤为重要。如果用户对目录没有执行权限，即使有读取权限，也无法访问目录内容。

八进制表示法

权限除了* Linux 文件权限也可以用八进制数字表示。例如：

• r = 4
• w = 2
• x = 1

因此，rwx = 4+2+1 = 7，r-x = 4+1 = 5。权限字符串 rwxr-xr-x 可以表示为 755。

查看和修改文件权限的命令

查看权限：ls 和 stat

• ls -l：显示文件的详细权限信息。

ls -l jstack.log

• stat：提供更详细的文件元数据，包括权限、所有者和时间戳。

stat jstack.log

修改权限：chmod

chmod（change mode）用于修改文件或目录的权限，支持符号表示法和八进制表示法。

符号表示法

• 格式：chmod [who][operator][permissions] 文件名
• who：u（所有者）、g（用户组）、o（其他用户）、a（所有用户）。
• operator：+（添加权限）、-（移除权限）、=（设置权限）。
• 示例：

chmod u+x example.sh  # 给所有者添加执行权限
chmod g-w example.sh  # 移除用户组的写权限
chmod a=r example.sh  # 设置所有用户只有读权限

八进制表示法

chmod 755 example.sh  # 设置 rwxr-xr-x
chmod 644 example.txt # 设置 rw-r--r--

递归修改：使用 -R 选项递归修改目录及其内容。

chmod -R 755 /path/to/directory

修改所有者：chown

chown（change owner）用于更改文件的所有者和用户组。

• 更改所有者：

chown user example.sh

• 更改用户组：

chown :group example.sh

• 同时更改：

chown user:group example.sh

• 递归更改：

chown -R user:group /path/to/directory

修改用户组：chgrp

chgrp（change group）专门用于更改文件或目录的用户组。

• 更改用户组：

chgrp group example.sh

• 递归更改：

chgrp -R group /path/to/directory

特殊权限：SUID、SGID 和 Sticky Bit

除了基本权限，Linux 还支持三种特殊权限：SUID（Set User ID）、SGID（Set Group ID）和 Sticky Bit。

SUID（Set User ID）

SUID 允许以文件所有者的身份运行可执行文件。例如，passwd 命令需要以 root 权限修改密码文件。

• 设置 SUID：

chmod u+s example.sh

• 权限显示：rws（小写 s 表示有执行权限，大写 S 表示无执行权限）。

ls -l
-rwsr-xr-x 1 root root 1024 Apr 28 2025 example.sh

SGID（Set Group ID）

SGID 类似 SUID，但以文件用户组的身份运行。对于目录，SGID 确保新创建的文件继承目录的用户组。

• 设置 SGID：

chmod g+s example.sh

• 权限显示：rwxrs。
• 目录示例：

chmod g+s /path/to/directory

Sticky Bit

Sticky Bit 通常用于目录，限制只有文件所有者才能删除或重命名目录中的文件。常见于 /tmp 目录。

• 设置 Sticky Bit：

chmod +t /path/to/directory

• 权限显示：rwxt。

ls -ld /tmp
drwxrwxrwt 10 root root 4096 Apr 28 2025 /tmp

3.4 八进制表示特殊权限

特殊权限在八进制表示法中占用额外一位（最高位）：

• SUID = 4
• SGID = 2
• Sticky Bit = 1

例如，4755 表示 SUID 和 rwxr-xr-x。

访问控制列表（ACL）

ACL（Access Control List）提供比传统权限更细粒度的控制，允许为特定用户或组设置权限。

查看 ACL：getfacl

getfacl example.sh
# file: example.sh
# owner: user
# group: group
user::rwx
group::r-x
other::r-x

设置 ACL：setfacl

• 给特定用户添加权限：

setfacl -m u:another_user:rw example.sh

• 给特定用户组添加权限：

setfacl -m g:another_group:rx example.sh

• 移除 ACL：

setfacl -x u:another_user example.sh

• 递归设置：

setfacl -R -m u:another_user:rw /path/to/directory

默认 ACL

默认 ACL 应用于目录，影响新创建的文件和子目录。

• 设置默认 ACL：

setfacl -m d:u:another_user:rw /path/to/directory

常见问题与调试

权限不足

如果收到 Permission denied，使用 ls -l 检查权限，或用 strace 跟踪系统调用：

strace -e openat cat example.txt

SELinux 或 AppArmor

某些系统启用 SELinux 或 AppArmor，可能导致权限问题。检查上下文：

ls -Z example.sh

批量修改

使用 find 结合 chmod 或 chown：

find /path -type f -exec chmod 644 {} \;
find /path -type d -exec chmod 755 {} \;