來自 ls -l 的輸出可能包含清單中的第一個字符所顯示的文件和目錄以外的文件系統(tǒng)對象。本教程后面將會看到更多這樣的對象，但就目前而言，只需那些最常見的對象類型。

代碼             對象類型
-                普通文件
d                目錄
l                符號鏈接
c                字符特殊設(shè)備
b                塊特殊設(shè)備
p                FIFO
s                套接字

更改權(quán)限

添加權(quán)限

假設(shè)創(chuàng)建一個 “Hello world” shell 腳本。在首次創(chuàng)建該腳本時，它通常無法執(zhí)行?？梢允褂脦?+x選項的 chmod命令來添加執(zhí)行權(quán)限，如:

[ian@attic4-cent ~]$ echo 'echo "Hello world!"'>hello.sh
[ian@attic4-cent ~]$ ls -l hello.sh
-rw-rw-r--. 1 ian ian 20 Aug 8 22:18 hello.sh
[ian@attic4-cent ~]$ ./hello.sh
bash: ./hello.sh: Permission denied
[ian@attic4-cent ~]$ chmod +x hello.sh
[ian@attic4-cent ~]$ ./hello.sh
Hello world!
[ian@attic4-cent ~]$ ls -l hello.sh
-srwxrwxr-x. 1 ian ian 20 Aug 8 22:18 hello.sh

可以通過類似的方式使用 +r設(shè)置讀權(quán)限，使用 +w設(shè)置寫權(quán)限。事實(shí)上，您可以使用 r、w和 x 的任何組合。例如，使用 chmod +rwx會為文件設(shè)置所有讀、寫和執(zhí)行權(quán)限。這種形式的 chmod 會添加還未設(shè)置的權(quán)限。

保持選擇性

您可能在上面的示例中已注意到，我們?yōu)樗姓?、組和其他用戶設(shè)置了執(zhí)行權(quán)限。為了更具有選擇性，您可以為模式表達(dá)式添加:

• 前綴 u來設(shè)置用戶的權(quán)限，
• 添加前綴 g來為組設(shè)置用戶權(quán)限，
• 添加前綴 o來為其他用戶設(shè)置權(quán)限。
• 指定 a會為所有用戶設(shè)置該權(quán)限，這等效于省略它。
  下面的代碼展示了如何向用戶和組添加該 shell 腳本的另一個副本的寫和執(zhí)行權(quán)限。

[ian@attic4-cent ~]$ echo 'echo "Hello world!"'>hello2.sh**
[ian@attic4-cent ~]$ chmod ug+xw hello2.sh**
[ian@attic4-cent ~]$ ls -l hello2.sh
-rwxrwxr--. 1 ian ian 20 Aug 9 06:22 hello2.sh

刪除權(quán)限

有時您需要刪除權(quán)限，而不是添加它們。只需將 + 更改為 -，就可以刪除任何已設(shè)置的指定權(quán)限。下面的代碼展示了如何為其他用戶刪除這兩個 shell 腳本上的所有權(quán)限。

[ian@attic4-cent ~]$ ls -l hello*.sh
-rwxrwxr--. 1 ian ian 20 Aug 9 06:22 hello2.sh
-rwxrwxr-x. 1 ian ian 20 Aug 8 22:18 hello.sh
[ian@attic4-cent ~]$ chmod o-xrw hello*.sh
[ian@attic4-cent ~]$ ls -l hello*.sh
-rwxrwx---. 1 ian ian 20 Aug 9 06:22 hello2.sh
-rwxrwx---. 1 ian ian 20 Aug 8 22:18 hello.sh

您一次可以更改多個文件上的權(quán)限, 可以使用 -R （或 --recursive）選項來遞歸地操作目錄和文件。

設(shè)置權(quán)限

現(xiàn)在您已經(jīng)可以添加或刪除權(quán)限，您可能想知道如何僅設(shè)置一組特定的權(quán)限?？梢允褂?= 代替 + 或 -來實(shí)現(xiàn)此操作。要設(shè)置上述腳本上的權(quán)限，以便其他用戶沒有訪問權(quán)，可以使用 chmod o= hello，而不是我們用于刪除權(quán)限的命令。
如果您想為用戶、組或其他用戶設(shè)置不同的權(quán)限，可以使用逗號將不同表達(dá)式分開（例如 ug=rwx,o=rx），或者可以使用數(shù)值權(quán)限。

8421進(jìn)制權(quán)限

之前您已使用符號（ugoa 和 rxw）指定權(quán)限。每個組中有 3 種可能的權(quán)限。也可以使用八進(jìn)制數(shù)代替符號來設(shè)置權(quán)限。通過這種方式設(shè)置的權(quán)限最多使用 4 個八進(jìn)制數(shù)。我們在討論屬性時將介紹第 1 個數(shù)。第 2 個書定義用戶權(quán)限，第 3 個數(shù)定義組權(quán)限，第 4 個數(shù)定義其他權(quán)限。
這 3 個數(shù)中的每一個都通過添加想要的權(quán)限設(shè)置來構(gòu)造：讀 (4)、寫 (2) 和執(zhí)行 (1)。
在想要一次設(shè)置所有權(quán)限，而不為每個組提供相同的權(quán)限時，使用數(shù)值權(quán)限非常方便?？梢允褂?表 2 作為8421權(quán)限的方便參考。

符號      八進(jìn)制
rwx       7
rw-       6
r-x       5
r--       4
-wx       3
-w-       2
--x       1
---       0

訪問模式和S位程序

思考一個問題：/etc/shadow文件，它無法由普通用戶直接更改，因?yàn)橹挥?root 用戶能啟用寫權(quán)限。但是，在需要更改其密碼時，普通用戶需要能夠以某種方式修改 /etc/shadow。所以，如果用戶無法修改此文件，如何實(shí)現(xiàn)此目的？

root@ubuntu:/home/newer# ls -l /usr/bin/passwd 
-rwsr-xr-x 1 root root 47032 Jan 26  2016 /usr/bin/passwd

suid 和 sgid

Linux 權(quán)限模型有兩種特殊的訪問模式，稱為 suid（設(shè)置用戶 id）和 sgid（設(shè)置組 id）。一個可執(zhí)行程序設(shè)置了 suid 訪問模式時，它運(yùn)行起來就像是由文件的所有者啟動的一樣，而不是由真正啟動它的用戶啟動的。類似地，在設(shè)置 sgid 訪問模式后，該程序運(yùn)行起來就像啟動的用戶屬于該文件的組，而不是他自己的組?？蓡为?dú)或同時設(shè)置兩種訪問模式。
請注意，用戶的權(quán)限三元組中的 x被 s 替代。這表明對于這個特定的程序，設(shè)置了 suid 和可執(zhí)行位。所以當(dāng) passwd 運(yùn)行時，它執(zhí)行起來就像具有完整的超級用戶訪問權(quán)的 root 用戶啟動了它，而不是運(yùn)行它的用戶啟動 它。因?yàn)?passwd 使用 root 訪問權(quán)運(yùn)行，所以它可以修改 /etc/passwd。suid 和 sgid 位占用了長目錄清單中針對用戶和組的 x
位。如果該文件是可執(zhí)行的，suid 或 sgid 位（如果已設(shè)置）將顯示為小寫的 s。否則，它們顯示為大寫的 S。
盡管 suid 和 sgid 使用起來很方便，甚至在許多情況下必不可少，但是，如果不在當(dāng)?shù)厥褂眠@些訪問模式，可能破壞系統(tǒng)的安全性。您擁有盡可能少的 suid 程序。passwd命令是為數(shù)不多的必須 為 suid 的程序之一。

設(shè)置 suid 和 sgid

suid 和 sgid 位使用字母 s以符號方式設(shè)置和重新設(shè)置。例如，u+s
設(shè)置 suid 訪問模式，g-s 刪除 sgid 模式。在八進(jìn)制格式中，suid 在第一個（高階）數(shù)中具有值 4，而 sgid 具有值 2。

目錄和 sgid

當(dāng)一個目錄啟用了 sgid 模式時，其中創(chuàng)建的任何文件或目錄都將繼承該目錄的組 ID。這對一組參與同一個項目的人使用的目錄樹特別有用。

下圖 展示了用戶 greg 如何設(shè)置 development 組的所有用戶都可以訪問的一個目錄，以及用戶 jenni 在該目錄中創(chuàng)建一個文件的示例。在完成創(chuàng)建之后，文件 jenni.txt 允許組成員寫入該文件，所以 jenni 使用 chmod g-w
來禁用組寫入功能。

[jenni@attic4-cent ~]$ su - mary
Password:
 [mary@attic4-cent ~]$ **echo "something" >> ~greg/lpi101/jenni.txt**-bash: /home/greg/lpi101/jenni.txt:
 Permission denied
[mary@attic4-cent ~]$ rm ~greg/lpi101/jenni.txt**rm:
remove write-protected regular empty file `/home/greg/lpi101/jenni.txt'? y
[mary@attic4-cent ~]$ **ls -l ~greg/lpi101
total 0

粘滯位

你剛看到了擁有一個目錄的寫權(quán)限的用戶如何刪除其中的文件。這對組項目而言是可以接受的，但它對全局共享的文件空間（比如 /tmp 目錄）而言不太合意。幸運(yùn)的是，有一個相關(guān)的解決方案。
剩余的訪問模式位被稱為粘滯 位。它們在符號上由 t 表示，在數(shù)值上由高階八進(jìn)制數(shù)中的 1 表示。它在一個長目錄清單中顯示在其他用戶的可執(zhí)行標(biāo)志中（最后一個字符），大寫和小寫對 suid 和 sgid 具有相同的含義。
如果這個位是為一個目錄設(shè)置的，它僅允許所有者用戶或超級用戶 (root) 刪除或取消鏈接一個文件。
下面展示了用戶 greg 如何在他的 lpi101 目錄上設(shè)置粘滯位，還表明這個位是為 /tmp 設(shè)置的。

訪問模式摘要

訪問模式    符號      八進(jìn)制
suid      s with u    4000
sgid      s with g    2000
sticky    t           1000

將此信息與之前的權(quán)限信息相結(jié)合，您就可以看到與 greg 的 lpi101 權(quán)限對應(yīng)的完整的八進(jìn)制表示，而且 drwxrwsr-t 的訪問模式為 3775

ls -l 命令不能顯示文件的8421 權(quán)限，可以通過find命令來看看。

[greg@attic4-cent ~]$ find . -name lpi101 -printf "%M %m %f\n"
drwxrwsr-t 3775 lpi101

lsatr 和 chatr

在Linux中，提供了一種方式chatr +i 來鎖定文件，這個時候即使是root，在沒有去掉該屬性之前，也不能對其進(jìn)行操作。

[root@attic4-cent ~]# touch keep.me
[root@attic4-cent ~]# chattr +i keep.me
[root@attic4-cent ~]# lsattr keep.me
----i---------- keep.me
[root@attic4-cent ~]# rm -f keep.me
rm: cannot remove `keep.me': Operation not permitted
[root@attic4-cent ~]# chattr -i keep.me
[root@attic4-cent ~]# rm -f keep.me

文件創(chuàng)建掩碼

創(chuàng)建新文件時，創(chuàng)建進(jìn)程會指定新文件應(yīng)擁有的權(quán)限。通常，請求的模式為 0666，它使該文件可由任何人讀和寫。目錄的模式默認(rèn)情況下通常為 0777。但是，這種寬容性創(chuàng)建會受到一個 umask 值的影響，該值指定用戶不想向新創(chuàng)建的文件或目錄自動授予哪些權(quán)限。系統(tǒng)使用 umask 值來減少最初請求的權(quán)限。您可以使用 umask 命令查看 umask 設(shè)置。

請記住，umask 指定哪些權(quán)限不應(yīng)授予

[ian@attic4-cent ~]$ umask -S**u=rwx,g=rwx,o=rx
[ian@attic4-cent ~]$ umask u=rwx,g=,o=
[ian@attic4-cent ~]$ umask  0077
[ian@attic4-cent ~]$ touch newfile
[ian@attic4-cent ~]$ **ls -l newfile
-rw-------. 1 ian ian 0 Aug 9 07:09 newfile

新創(chuàng)建的文件的默認(rèn)權(quán)限為 0666，而且 umask 值指定其中哪些位應(yīng)刪除（屏蔽掉）。所以如果您想要執(zhí)行權(quán)限，必須將它顯式添加到文件中。