linux目录权限不自动继承,需通过umask(控制新建项初始权限)、setgid位(实现组继承)或acl默认权限(支持多主体精细控制)显式配置。
Linux 中目录的权限继承并非自动发生,所谓“异常”往往源于对 默认权限(umask)、setgid 位 和 ACL 默认权限 的误解或未正确配置。真正的继承行为需要显式启用,不是文件系统默认特性。
umask 决定新建文件/目录的初始权限
umask 不是继承机制,而是“减法工具”:它从默认值(目录 777,文件 666)中屏蔽对应位。例如 umask 002:
- 新建目录权限 = 777 & ~002 = 775(即 rwxrwxr-x)
- 新建文件权限 = 666 & ~002 = 664(即 rw-rw-r–)
注意:umask 影响的是创建瞬间的权限,不改变父目录设置,也不影响已有子项。用户登录时的 umask 通常来自 /etc/login.defs 或 shell 配置文件(如 ~/.bashrc)。
setgid 位实现组继承(最常用且有效)
在目录上设置 setgid(g+s),可确保该目录下新建的文件和子目录自动继承父目录的所属组(而不是创建者的主组):
- chmod g+s /path/to/dir —— 启用组继承
- ls -ld /path/to/dir —— 显示结果中,组权限的 x 位若为 s(如 drwxrwsr-x),表示 setgid 已生效
- 新建文件自动属该目录的组;新建子目录同样继承组,并自动带上 setgid 位(前提是父目录已设)
这是协作目录(如 /var/www/html、团队共享目录)的标准做法,无需额外工具或复杂配置。
ACL 默认权限提供更精细的继承控制
当需为多个用户或组设定不同权限,或要求新文件继承读写执行等特定组合时,应使用 ACL 的 default 权限:
- setfacl -d -m u:alice:rwX /shared —— alice 对未来新建项有读写+目录执行权
- setfacl -d -m g:devgroup:rwx /shared —— devgroup 组成员对新建项有完整权限
- default ACL 仅作用于后续新建项,不影响已有内容;且需文件系统挂载时支持 acl(ext4 默认支持)
ACL 默认权限优先级高于 umask,但比 setgid 更重,建议在明确需要多主体差异化权限时使用。
常见“异常”场景与排查要点
权限看似未继承,多数情况是以下原因:
- 未启用 setgid,却期望子目录继承父组 —— 检查 ls -ld 输出中是否有小写 s 或大写 S
- 编辑器(如 vim)或程序(如 cp、rsync)以非标准方式创建文件(绕过 shell umask),导致权限不符预期
- 挂载选项禁用了 acl 或设置了 noexec/nosuid,间接干扰权限行为
- SELinux 或 AppArmor 等 MAC 机制覆盖了 DAC 权限判断,需用 ls -Z 和 ausearch 辅助诊断
Linux 权限模型是叠加生效的:基础权限(mode)+ setgid + ACL(含 default)+ 安全模块,缺一不可地协同工作。