Linux如何设置文件系统权限？_Linux权限配置与安全加固方法-小浪学习网

linux文件系统权限核心在于界定“谁”对文件或目录能执行“何种操作”，主要通过chmod、chown、chgrp等命令控制读、写、执行权限，分别针对所有者、所属组和其他用户。1. chmod用于修改权限，支持数字模式（如755、644）和符号模式（如u+x、go-w）；2. chown用于更改所有者和所属组；3. chgrp专门改变所属组；4. umask设置新建文件或目录的默认权限；5. 特殊权限位包括setuid（赋予执行者所有者权限）、setgid（赋予执行者组权限）、sticky bit（防止非所有者删除文件）；6. acls提供更细粒度的权限控制，允许为特定用户或组单独设置权限；7. 实际应用中应遵循最小特权原则，合理配置权限以提升安全性，例如限制敏感文件访问、避免滥用suid/sgid、定期审计权限设置等。掌握这些机制是实现系统安全与稳定的关键。

Linux如何设置文件系统权限？_Linux权限配置与安全加固方法

linux文件系统权限的核心，在于界定谁能对文件或目录执行何种操作。说白了，就是控制“读、写、执行”这三板斧，分别针对“文件所有者、文件所属组、其他用户”这三类主体。要设置这些权限，我们主要会用到

chmod

、

chown

和

chgrp

这几个命令，它们是Linux系统安全与管理的基础。理解并恰当配置它们，是维护系统稳定和安全的关键一步。

Linux如何设置文件系统权限？_Linux权限配置与安全加固方法

解决方案

权限管理，说白了就是界定谁能对文件做什么，不能做什么。这事儿在Linux里，主要靠几个核心指令来搞定：

chmod

(change mode): 这是用来修改文件或目录权限的命令。它有两种常用的表示方式：数字（八进制）和符号。
- 数字模式： 这种方式通过一个三位或四位的八进制数字来表示权限。每一位数字代表一个用户类别（所有者、组、其他），而数字本身是读（4）、写（2）、执行（1）的组合。比如，
  755
  代表所有者可读写执行（4+2+1=7），组用户可读执行（4+1=5），其他用户也可读执行（4+1=5）。
  - 示例：
    - chmod 755 my_script.sh
      ：给脚本所有者读写执行权限，组用户和其他用户只读执行。
    - chmod 644 my_document.txt
      ：让文档所有者可读写，组用户和其他用户只读。
- 符号模式： 这种方式更直观，使用
```
u
```
  （所有者）、
```
g
```
  （组）、
```
o
```
  （其他）、
```
a
```
  （所有）来指定用户，用
```
+
```
  （增加）、
```
-
```
  （移除）、
```
=
```
  （设定）来操作权限，再配合
```
r
```
  （读）、
```
w
```
  （写）、
```
x
```
  （执行）。
  - 示例：
    - chmod u+x my_script.sh
      ：给脚本的所有者增加执行权限。
    - chmod go-w my_document.txt
      ：移除组用户和其他用户的写权限。
    - chmod a=rw- my_file.conf
      ：将所有用户的权限都设置为读写，移除执行。
    - chmod u=rw,go=r my_file.conf
      ：更精细地设置，所有者读写，组用户和其他用户只读。
chown

(change owner): 这个命令用来改变文件或目录的所有者。通常，只有root用户才能执行此操作。
- 示例：
  - ```
  chown user1 my_file.txt
```
  ：将
```
  my_file.txt
```
  的所有者改为
  user1
  。
- ```
chown user1:group1 my_dir/
```
    ：将
```
my_dir/
```
    的所有者改为
    user1
    ，所属组改为
    group1
    。
  - ```
  chown -R user1:group1 /var/www/html
```
  ：递归地将
  /var/www/html
  目录下所有文件和子目录的所有者和组都改为
  user1
  和
  group1
  。
chgrp

(change group): 专门用来改变文件或目录的所属组。
- 示例：
  - ```
  chgrp developers my_project.tar.gz
```
  ：将
```
  my_project.tar.gz
```
  的所属组改为
```
  developers
```
  。
- ```
chgrp -R www-data /var/www/html
```
    ：递归地将
    /var/www/html
    目录下所有文件和子目录的所属组都改为
    www-data
    。
umask

(user mask): 这是一个有点特别的命令，它不是直接设置某个文件的权限，而是设置新建文件或目录时的“默认”权限掩码。这个掩码决定了新创建的文件或目录会“减去”哪些权限。
- umask
  的值是八进制数，代表要“屏蔽”掉的权限。例如，一个典型的
  umask
  值是
```
0022
```
  。
  - 对于文件，默认权限是
```
666
```
    （所有者、组、其他都可读写）。如果
    umask
    是
    022
    ，那么最终权限是
```
666 - 022 = 644
```
    。
  - 对于目录，默认权限是
```
777
```
    （所有者、组、其他都可读写执行）。如果
    umask
    是
    022
    ，那么最终权限是
```
777 - 022 = 755
```
    。
- 查看当前umask：
  umask
- 临时设置umask：
```
umask 0027
```
  (这会使新文件默认权限为
```
640
```
  ，新目录为
```
750
```
  )。通常在用户的shell配置文件（如
```
.bashrc
```
  或
```
.profile
```
  ）中设置。

掌握这些命令，你就能对Linux的文件权限进行细致入微的控制了。

理解Linux文件权限中的数字与符号表示法有什么区别？

我个人觉得，刚接触Linux权限的时候，那个数字权限（八进制）确实有点绕，毕竟不像“读写执行”那么直白。但一旦你理解了其背后的逻辑，会发现它在某些场景下效率极高，尤其是在需要一次性设定完整权限集的时候。而符号表示法，则在需要微调或者增减特定权限时显得更加直观和灵活。

数字表示法（八进制）： 这种方式的核心是“位运算”的思维。每个权限（读、写、执行）都被赋予一个特定的数值：

读（r）= 4
写（w）= 2
执行（x）= 1

这些数值可以相加，形成一个代表特定权限组合的数字。例如：

读写执行：4 + 2 + 1 = 7
读写：4 + 2 = 6
读执行：4 + 1 = 5
只读：4
只写：2
只执行：1
无权限：0

然后，将这三位数字分别对应文件所有者、文件所属组、其他用户的权限。例如，

chmod 755

意味着：

所有者：7 (读、写、执行)
所属组：5 (读、执行)
其他用户：5 (读、执行)

这种方法紧凑且强大，尤其适合脚本自动化处理或快速设定标准权限。

符号表示法： 相较于数字，符号表示法更像是在用“自然语言”描述权限变更。它使用特定的字母和符号来指定操作：

用户类别：
- ```
u
```
  ：文件所有者（user）
- ```
g
```
  ：文件所属组（group）
- ```
o
```
  ：其他用户（others）
- ```
a
```
  ：所有用户（all），等同于
```
ugo
```
  的组合
操作符：
- ```
+
```
  ：增加权限
- ```
-
```
  ：移除权限
- ```
=
```
  ：精确设定权限，会覆盖原有权限
权限类型：
- ```
r
```
  ：读（read）
- ```
w
```
  ：写（write）
- ```
x
```
  ：执行（execute）

例如：

```
chmod u+x script.sh
```
：给所有者增加执行权限，不影响其他权限。
```
chmod go-w document.txt
```
：移除组用户和其他用户的写权限。
```
chmod a=rwx Directory/
```
：将所有用户的权限都精确设置为读、写、执行。

何时选择哪种方式？

数字模式： 当你需要一次性设置一个完整的权限模板时，或者在编写自动化脚本时，数字模式非常高效。比如，一个可执行脚本通常是
```
755
```
，一个配置文件通常是
```
644
```
。
符号模式： 当你只需要对某个特定用户类别增加或减少某个权限时，符号模式更直观，也更安全，因为它不会意外地改变其他权限。比如，只想给所有者添加执行权限而不动其他人的，
```
chmod u+x
```
就比计算一个新八进制数来得直接。

实际工作中，两者常常结合使用。理解了它们各自的优势和适用场景，权限管理就能得心应手。

除了基本权限，Linux还有哪些高级权限和特殊权限位？

在Linux的世界里，权限可不只停留在读、写、执行那三板斧上。为了应对更复杂的安全和功能需求，系统还引入了一些“特殊权限位”以及更高级的访问控制列表（ACLs）。有时候，这些特殊权限就像是系统里的一些“特权通行证”，用得好能提升效率，用不好就可能变成安全漏洞。

特殊权限位（SetUID, SetGID, Sticky Bit）：

这些权限位通常体现在文件权限的第四位数字上（即在三位八进制权限数字前面再加一位）。它们各自有独特的含义：

SetUID (SUID)
- 数字表示： 4
- 符号表示： 在所有者执行权限位上显示
  s
  （如果所有者有执行权限）或
  s
  （如果没有执行权限）。
- 作用： 当一个可执行文件设置了SUID位后，任何用户执行这个程序时，都会暂时获得该文件所有者的权限来运行。
- 典型应用： 最经典的例子就是
  passwd
  命令。普通用户执行
  passwd
  修改自己的密码时，需要写入
  /etc/shadow
  文件，而这个文件只有root用户有写权限。因为
  passwd
  程序设置了SUID位，所以普通用户在执行它时，能以root的身份来修改密码文件。
- 安全隐患： 如果一个恶意程序被设置为SUID，并且其所有者是root，那么任何用户执行它都可能导致系统被提权。因此，在设置SUID时必须极其谨慎。
- 示例：
```
chmod 4755 my_privileged_app
```
SetGID (SGID)
- 数字表示： 2
- 符号表示： 在组执行权限位上显示
  s
  （如果组有执行权限）或
  s
  （如果没有执行权限）。
- 作用：
  - 对可执行文件： 当一个可执行文件设置了SGID位后，任何用户执行这个程序时，都会暂时获得该文件所属组的权限来运行。
  - 对目录： 这是SGID更常见的应用场景。当一个目录设置了SGID位后，在该目录下创建的新文件和子目录都会自动继承该目录的所属组，而不是创建者的主组。这对于团队协作非常有用，确保所有成员创建的文件都在同一个工作组下。
- 典型应用： 团队项目目录，所有文件都希望属于同一个组，方便组内成员共享和协作。
- 示例：
  - ```
  chmod 2755 my_group_app
```
  (可执行文件)
- ```
chmod 2775 /shared/project_data
```
    (目录)
Sticky Bit (粘滞位)
- 数字表示： 1
- 符号表示： 在其他用户执行权限位上显示
```
t
```
  （如果其他用户有执行权限）或
```
t
```
  （如果没有执行权限）。
- 作用： 主要用于目录。当一个目录设置了粘滞位后，该目录下的文件只有其所有者、目录所有者或root用户才能删除或重命名，即使其他用户对该目录有写权限。
- 典型应用： 最常见的例子是
  /tmp
  目录。
  /tmp
  是所有用户都可以写入的临时目录，但设置了粘滞位后，用户只能删除自己创建的文件，而不能删除别人的文件，防止了恶意删除。
- 示例：
```
chmod 1777 /tmp
```
  (这是
  /tmp
  的默认权限)

访问控制列表（ACLs）：

虽然不是“位”，但ACLs是比传统权限更细粒度的权限控制机制。传统权限只能针对所有者、组、其他这三类。但如果我想让用户A对文件有读写权限，用户B只有读权限，而用户C完全没有权限，且他们都不属于文件的所有者或所属组，这时传统权限就无能为力了。ACLs解决了这个问题。

作用： 允许为特定用户或组设置单独的权限，超越了传统权限的限制。
命令：
```
getfacl
```
（查看ACLs）、
```
setfacl
```
（设置ACLs）。
示例：
- ```
setfacl -m u:john:rwx file.txt
```
  ：给用户
```
john
```
  对
```
file.txt
```
  设置读写执行权限。
- ```
setfacl -m g:devs:r-x file.txt
```
  ：给
```
devs
```
  组对
```
file.txt
```
  设置读执行权限。

这些高级权限和ACLs提供了强大的灵活性，但也增加了系统的复杂性。正确理解和使用它们，对于构建健壮安全的Linux环境至关重要。

在实际应用中，如何利用权限配置来提升Linux系统的安全性？

权限配置，别小看这些小小的设置，它们往往是系统安全的第一道防线，也是最容易被忽视的细节。在实际应用中，把权限管理当成一种“最小特权原则”的实践，能大大提升系统的抗攻击能力。我的经验是，永远不要给比所需更多的权限。

最小特权原则（Principle of Least Privilege）： 这是安全领域的核心原则之一。意思是，任何用户、程序或进程都应该只被授予完成其任务所需的最低限度的权限。
- 实践：
  - 文件和目录默认权限： 新建文件时，
    umask
    应设置为
    022
    或更严格的
    027
    。这能确保新文件默认不会有世界可写权限。对于目录，
    022
    通常是
    755
    ，
    027
    是
    750
    。
  - 服务用户： 运行Web服务器（如nginx、apache）、数据库（mysql、postgresql）或其他后台服务时，绝不应该使用
```
root
```
    用户。应该为它们创建专门的低权限用户（如
    www-data
    、
```
mysql
```
    ），并确保这些用户只对它们需要访问的特定目录和文件拥有权限。
  - 应用程序配置： 配置文件（如数据库连接串、API密钥）应该只有应用程序用户或root用户可读，绝不能世界可读。例如，
```
chmod 600 /etc/my_app/config.conf
```
    。
敏感文件和目录的严格控制： 有些文件和目录对系统安全至关重要，必须对其权限进行严格限制。
- ssh密钥：
```
~/.ssh/authorized_keys
```
  和
```
~/.ssh/id_rsa
```
  等私钥文件权限必须是
```
600
```
  ，目录
```
~/.ssh
```
  权限必须是
```
700
```
  。任何宽松的权限都可能导致未授权访问。
- 系统配置文件：
```
/etc
```
  目录下的关键配置文件，如
  /etc/passwd
  、
  /etc/shadow
  、
```
/etc/sudoers
```
  、
```
/etc/ssh/sshd_config
```
  等，权限应严格限制。
  - /etc/passwd
    通常是
    644
    ，但
    /etc/shadow
    （存储加密密码）必须是
    600
    。
  - /etc/sudoers
    （控制sudo权限）通常是
```
440
```
    或
```
400
```
    ，并且所有者必须是root。
- 日志文件：
```
/var/log
```
  下的日志文件通常只有root用户或特定服务用户有写权限，其他用户只读或无权限。这有助于防止日志被篡改或删除，影响审计。
避免SUID/SGID滥用： 虽然SUID和SGID提供了便利，但它们也是提权攻击的常见目标。
- 审计： 定期检查系统中设置了SUID或SGID位的文件，特别是那些非系统自带的可执行文件。可以使用
```
find / -perm /4000
```
  (SUID) 或
```
find / -perm /2000
```
  (SGID) 来查找。
- 审查： 仔细审查这些文件的来源和功能，确保它们是安全且必需的。如果不是，移除其特殊权限或直接删除。
合理使用ACLs： 当传统权限无法满足细粒度控制需求时，ACLs是强大的补充。
- 协作环境： 在多用户协作的项目目录中，ACLs可以精确地分配不同用户或组的权限，而无需修改文件所有者或所属组。
- 特定访问需求： 如果某个服务或用户需要访问一个通常受限的目录或文件，但又不想放宽其组权限或世界权限，ACLs是理想选择。
定期审计和监控： 权限配置不是一劳永逸的。随着时间的推移，新的文件和目录会被创建，权限可能会被不经意地修改。
- 工具： 利用工具如
```
auditd
```
  来监控文件和目录权限的变更。
- 脚本： 编写脚本定期检查关键文件和目录的权限是否符合预期基线。例如，检查
  /etc/passwd
  的权限是否仍然是
  644
  。