本篇讲述linux系统的文件权限。

1. liunx中权限的分类

linux系统中，对权限的管理的逻辑是：

• 只有三种权限：R（读）、W（写）、X（执行）
• 只有三种角色：所属用户、所属组、其他

使用ls -l 命令即可查看某个文件或文件夹的权限：

上图中的：-rw-r–r–，即是权限的详细内容，一共10位，分别表示：

所以上图表示：/tmp/123这个文件，root用户有读写权限、root组内的用户有读权限，其他用户有读权限

2. 三种特殊权限SUID、SGID、Sticky

大部分情况下，上述的权限分类就够了，但是某些情况下，就必须要使用到特殊权限。
特殊权限有三种：

• suid：拥有这个权限的文件（一般指可执行的二进制文件），运行的时候，它的所属用户不变，如/usr/bin/passwd，它不管是哪个用户来运行，运行起来的所属用户都是root。

所属用户权限有个s，说明有suid权限，一般这类权限不设置，除非是特定情况。
赋权限： # chmod u+s
取消权限： # chmod u-s

• sgid：这个权限一般赋给文件夹，拥有这个权限的文件夹，在此文件夹内部创建的文件，所创建的文件所属组都是这个文件夹的所属组，一般常用于文件夹共享的场景

所属组权限有个s，说明sgid权限
赋权限： # chmod g+s
取消权限： # chmod g-s

• sticky：这个权限也多赋给文件夹（一般这个文件夹的权限比较大，比如777），在有这个权限的文件夹下创建文件，所创建的文件其他人无法删除。比如系统自带的/tmp文件夹

所属其他权限有个t，说明有sticky权限
赋权限： # chmod o+t
取消权限： # chmod o-t

3. UMASK的作用

当我们创建一个文件或者文件夹的时候，默认的会有相应的权限，比如：

默认文件权限：600，默认文件夹权限：755，这个默认值是在哪里指定的呢？答案就是umask

修改umask的命令：umask 044

4. 文件系统的ACL

至此，linux的权限已经可以满足绝大部分的需求了，但是还是有一些特殊的要求，比如一个文件，它的所属主和所属组是X，但是却希望A用户可以RW，B用户只可以R，甚至还有其他的条件限制，那么上述的几种权限控制可能就不能满足了，那怎么办呢？答案就是文件系统的ACL。
为什么说是文件系统的ACL？因为这是特定的文件系统所拥有的功能，可幸的事，现在linux大部分的文件系统都支持ACL了。

• 查看linux分区文件系统可以使用命令：df -T
• 查看文件的acl信息： getfacl
• 设置文件的acl信息： setfacl

具体用法的详细信息可以man查看。

5. 文件系统的锁

还有一个命令：chattr，可以修改文件的属性。（如访问时间，不允许追加等等），这个命令只有管理员才可以执行。

• 文件加锁：chattr +i filename
• 文件去锁：chattr -i filename
• 查看文件是否有锁：lsattr filename

比如，我在工作经常遇到的服务器/etc/resolv.conf文件经常被修改掉（受NetworkManager影响的吧），而我并不希望它被修改，则可以： chattr +i /etc/resolv.conf

用lsattr查看文件的属性，有个i,表示文件已经被锁定，不允许任何用户（包括管理员用户）去修改了，如果想修改，需要先去锁了。