chmod是一条在Unix系统中用于控制用户对文件的权限的命令(changemode词组前缀的组合)和函数。只有文件所有者和超级用户可以更改文件或目录的权限。可以使用绝对模式,符号模式指定文件的权限。
一.八补码句型
chmod命令可以使用八补码数来指定权限。文件或目录的权限位是由9个权限位来控制,每三位为一组,它们分别是文件所有者(user)的读、写、执行,用户组(group)的读、写、执行以及(other)其它用户的读、写、执行。历史上,文件权限被置于一个比特网段中,网段食指定的比特位设为1,拿来说明一个类具有相应的优先级。
chmod的八补码句型的数字说明;
r4
w2
x1
-0
所有者的权限用数字抒发:属主的那三个权限位的数字加上去的总和。如rwx,也就是4+2+1,应当是7。
与文件所有者同属一个用户组的其他用户的权限用数字抒发:属组的那种权限位数字的相乘的总和。如rw-,也就是4+2+0,应当是6。
其它用户组的权限数字抒发:其它用户权限位的数字相乘的总和。如r-x,也就是4+0+1linux使用教程,应当是5。
二.符号模式
使用符号模式可以设置多个项目:who(用户类型),operator(操作符)和permission(权限),每位项目的设置可以用冒号隔开。命令chmod将更改who指定的用户类型对文件的访问权限,用户类型由一个或则多个字母在who的位置来说明,如who的符号模式表所示:
who
用户类型
说明
u
user
文件所有者
g
group
文件所有者所在组
o
others
所有其他用户
a
all
所用用户,相当于ugo
operator的符号模式表:
Operator
说明
+
为指定的用户类型降低权限
-
除去指定用户类型的权限
=
设置指定用户权限的设置,正式用户类型的所有权限重新设置
permission的符号模式表:
模式
名子
说明
r
读
设置为可读权限
w
写
设置为可写权限
x
执行权限
设置为可执行权限
X
特殊执行权限
只有当文件为目录文件,或则其他类型的用户有可执行权限时,才将文件权限设置可执行
s
setuid/gid
当文件被执行时,按照who参数指定的用户类型设置文件的setuid或则setgid权限
t
粘贴位
设置粘贴位,只有超级用户可以设置该位,只有文件所有者u可以使用该位
符号模式实例
对目录的所有者u和关联组g降低读r和写w权限:
$chmodug+rwmydir
$ls-ldmydir
drw-rw----2unixguyuguys96Dec812:53mydir
1、setuid、setgid
先看个实例,查看你的/usr/bin/passwd与/etc/passwd文件的权限
[root@MyLinux~]#ls-l/usr/bin/passwd/etc/passwd-rw-r--r--1rootroot154908-1913:54/etc/passwd-rwsr-xr-x1rootroot229842007-01-07/usr/bin/passwd
众所周知,/etc/passwd文件储存的各个用户的帐号与密码信息,/usr/bin/passwd是执行更改和查看此文件的程序,但从权限上看unix 改变文件权限,/etc/passwd仅有root权限的写(w)权unix 改变文件权限,可实际上每位用户都可以通过/usr/bin/passwd命令去更改这个文件,于是这儿就涉及了linux里的特殊权限setuid,正如-rwsr-xr-x中的s
setuid就是:让普通用户拥有可以执行“只有root权限能够执行”的特殊权限,setgid同理指”组“
作为普通用户是没有权限更改/etc/passwd文件的,但给/usr/bin/passwd以setuid权限后,普通用户就可以通过执行passwd命令,临时的拥有root权限,去更改/etc/passwd文件了
2、stickbit(粘贴位)
再看个实例,查看你的/tmp目录的权限
[root@MyLinux~]#ls-dl/tmpdrwxrwxrwt6rootroot409608-2211:37/tmp
tmp目录是所有用户共有的临时文件夹,所有用户都拥有读写权限,这就必然出现一个问题,A用户在/tmp里创建了文件a.file,此时B用户看了不爽,在/tmp里把它给删了(由于拥有读写权限),那肯定是不行的。实际上是不会发生此类情况,由于有特殊权限stickbit(粘贴位)权限,正如drwxrwxrwt中的最后一个t
stickbit(粘贴位)就是:除非文件的属主和root用户有权限删掉它,除此之外其它用户不能删掉和更改这个文件。
也就是说,在/tmp目录中,只有文件的拥有者和root能够对其进行更改和删掉,其他用户则不行,避开了前面所说的问题形成。用途通常是把一个文件夹的的权限都打开,然后来共享文件,象/tmp目录一样。
3、如何设置以上特殊权限
setuid:chmodu+sxxx
setgid:chmodg+sxxx
stickbit:chmodo+txxx
或则使用八补码形式,在原来的数字前加一个数字红旗linux操作系统,三个权限所代表的补码数与通常权限的方法类似,如下:
suidguidstickbit
111
所以:suid的二补码串为:100,换算十补码为:4
guid的二补码串为:010,换算:2
stickbit二补码串:001,换算:1
于是也可以这样设:setuid:chmod4755xxx
setgid:chmod2755xxx
stickbit:chmod1755xxx
最后,在一些文件设置了特殊权限后,字母不是大写的s或则t,而是小写的S和T,那代表此文件的特殊权限没有生效,是由于你仍未给它对应用户的x权限(可以参考文章末尾的英语)
四.文件详尽信息里各个符号的解释
-rw-r--r--1vivekadmin2558Jan807:41filename
-rw-r--r--:filemode+permission(下边有介绍)
1-numberoflinks(硬链接数)
vivek-Ownername(ifusernameisnotaknownuser,thenumericuseriddisplayed)
admin-Groupname(ifgroupnameisnotaknowngroup,thenumericgroupiddisplayed)
2558-numberofbytesinthefile(filesize)
Jan807:41-abbreviatedmonth,day-of-monthfilewaslastmodified,hourfilelastmodified,minutefilelastmodified
filename-Filename/pathname
ls-lfilemode(permissions)
Quotingfromtheunixlscommandmanpage-thefilemodeprintedunderthe-loptionconsistsoftheentrytypeandthepermissions.Theentrytypecharacterdescribesthetypeoffile,asfollows:
-
Regularfile.
b
Blockspecialfile.
c
Characterspecialfile.
d
Directory.
l
Symboliclink.
p
FIFO.
s
Socket.
w
Whiteout.
d:表示是一个目录,事实上在ext2fs中,目录是一个特殊的文件。-:表示这是一个普通的文件。l:表示这是一个符号链接文件,实际上它指向另一个文件。(即软联接)b、c:分别表示区块设备和其他的外围设备,是特殊类型的文件。s、p:那些文件关系到系统的数据结构和管线,一般甚少看见。
Thenextthreefieldsarethreecharacterseach:ownerpermissions,grouppermissions,andotherpermissions.Eachfieldhasthreecharacterpositions:
Ifr,thefileisreadable;if-,itisnotreadable.
Ifw,thefileiswritable;if-,itisnotwritable.
Thefirstofthefollowingthatapplies:
S:Ifintheownerpermissions,thefileisnotexecutableandset-user-IDmodeisset.Ifinthegrouppermissions,thefileisnotexecutableandset-group-IDmodeisset.
s:Ifintheownerpermissions,thefileisexecutableandset-user-IDmodeisset.Ifinthegrouppermissions,thefileisexecutableandsetgroup-IDmodeisset.
x:Thefileisexecutableorthedirectoryissearchable.
-:Thefileisneitherreadable,writable,executable,norset-user-IDnorset-group-IDmode,norsticky.
Thesenexttwoapplyonlytothethirdcharacterinthelastgroup(otherpermissions).
T:Thestickybitisset(mode1000),butnotexecuteorsearchpermission.
t:Thestickybitisset(mode1000),andissearchableorexecutable.
