linux文件权限由三类用户(所有者、所属组、其他人)对三类操作(读、写、执行)的授权构成,通过10位字符结构和数字(如644、755)与符号(如rw-r–r–)两种方式表示,并包含SUID(4)、SGID(2)、Sticky Bit(1)等特殊权限。
Linux文件权限不是一串神秘符号,而是三个角色(所有者、所属组、其他人)对三类操作(读、写、执行)的明确授权。看懂它,关键在理解 10位字符的结构 和 数字与符号两种表示法的对应逻辑,而不是死记硬背。
一、最直观:用 ls -l 看懂那10个字符
运行 ls -l filename,输出第一列就是权限字符串,例如:-rw-r--r-- 或 drwxr-xr-x
- 第1位是文件类型:
-表示普通文件,d表示目录,l表示软链接,c/b是设备文件 - 第2–4位是所有者(user)权限:
rw-表示可读可写,不可执行 - 第5–7位是所属组(group)权限:
r--表示仅可读 - 第8–10位是其他人(others)权限:
r--同样仅可读
注意:权限位顺序固定为 rwx,缺哪项就用 - 占位。比如 -r-x 表示有读和执行权,但无写权。
二、快速换算:符号权限 ↔ 八进制数字权限
每种操作对应一个数值:r = 4,w = 2,x = 1,- = 0
每组三位加起来就是一个0–7之间的数字。
-
rw-r--r--→ 所有者rw-= 4+2+0 = 6,组r--= 4+0+0 = 4,其他r--= 4 → 数字表示为 644 -
drwxr-xr-x→ 目录,所有者rwx= 7,组r-x= 5,其他r-x= 5 → 755 -
-rwx------→ 所有者全开 7,组和其他都无权限 0 → 700(适合私密脚本或密钥文件)
用 chmod 644 file.txt 和 chmod u=rw,g=r,o=r file.txt 效果一样,但数字方式更高效;符号方式更适合微调,比如只给组加执行权:chmod g+x script.sh。
三、别漏掉隐藏权限:SUID、SGID 和 Sticky Bit
它们出现在传统 rwx 的“执行位”上,用小写 s 或大写 S、小写 t 或大写 T 表示,对应数字权限的千位数:
-
4:SUID(仅对可执行文件有效),运行时以文件所有者身份执行。如/usr/bin/passwd权限常为-rwsr-xr-x(4755) -
2:SGID(对文件或目录都有效): • 文件:运行时以文件所属组身份执行; • 目录:在此目录下新建的文件自动继承该目录的组(非常实用!) -
1:Sticky Bit(仅对目录有效),如/tmp,确保用户只能删自己创建的文件,即使有写权限也不能删别人文件。显示为drwxrwxrwt(1777)
设置方式:chmod 4755 file(SUID),chmod 2775 dir(SGID 目录),chmod 1777 /tmp(Sticky)。注意:如果执行位原本没开,设 SUID/SGID 会显示大写 S/S 或 T,表示权限无效。
四、进阶判断:谁真正能访问?结合用户身份和组成员关系
权限检查是顺序生效、不叠加的:系统先看你是文件所有者吗?是 → 应用 user 权限;不是 → 再看你是否属于该文件所属组?是 → 应用 group 权限;否则 → 只能用 others 权限。
- 用
id查看当前用户 uid、gid 和附加组列表 - 用
ls -l看文件的 owner 和 group 名称 - 注意:Linux 不看用户名,只认 uid/gid 数值。用户加入新组后,需重新登录或用
newgrp切换才能生效 - 目录的执行(x)权限很特殊:对目录来说,x = “可进入”,没有 x 就 cd 不进去,也列不出内容(即使有 r 权限);只有 r 没有 x,能
ls但看不到文件详情(ls -l报 Permission denied)
典型陷阱:把文件 chown 给了别人,却忘了 chmod g+r 让组员也能读;或者给脚本加了 x,但没给所在目录加 x,结果仍无法执行。
基本上就这些。权限机制看着琐碎,其实就一条主线:**谁(身份)→ 在什么位置(文件/目录)→ 能做什么(r/w/x)→ 是否有特殊行为(s/t)**。多练几次 ls -l 和 chmod,自然就熟了。