linux系统中一切皆文件，要说权限，有必要先了解一下文件的分类

在linux系统中一切都是文件，但是文件类型不同，具体如下：

可以从下面的图中看到部分文件类型

下面一张图表示出文件的类型为普通文件，用户具有读、写权限，组和其他用户具有读权限（644），所属root用户，所属root组，除了文件类型，其他都和权限相关。 文件权限的表示

如对一个文件进行权限设置，可以用下面的方法：

文件其他权限设置可参考类推；文件夹权限设置也可以查看上面的设置。

在复杂多变的生产环境中，文件的rwx权限无法满足我们对灵活性和安全性的需求，因此有了SUID、SGID和SBIT的特殊权限位，这是一种对文件权限进行设置的特殊功能，可与一般权限同时使用，弥补一些一般权限不能实现的功能。

是一种对二进制程序进行设置的特殊权限，可以让二进制程序的执行者临时拥有属主的权限（仅对拥有执行权限的二进制程序有效）。

/etc/shadow是用来存放用户密码的，权限位为000，除了root用户没有用户可以操作它； passwd是写密码的命令，passwd 加上SUID特殊权限位，普通用户执行该命令的时候就能使用root的身份将密码写入/etc/shadow中。 权限显示为rws就是被赋予了SUID的权限

chmod u+s executable 如修改zcat的SUID，原用户的权限显示为rwx chmod u+s zcat #为zcat加上SUID权限 ls -al zcat #x变为s就是被赋予了SUID权限 chmod u-s zcat #为zcat去掉SUID权限

如果用户对文件本身没有执行权限，为用户加上该权限后则权限会由-变为S chmod u+s zcat #为用户对zcat加上SUID权限 ls -al zcat #查看这个权限，发现权限显示为rwS 权限显示为rwS是不能够执行的，会显示权限不够

SGID和SUID类型，是一种对二进制程序进行设置的特殊权限，不过获取的不再是文件所有者的临时权限，而是获取文件所属组的权限。 SGID的作用: 1、让执行者拥有所属组的权限 2、在目录中创建的文件自动继承该目录的用户组权限

对可执行文件进行设置 chmod g+s executable #给可执行文件加上SGID权限 chmod g-s executable #给可执行文件去掉SGID权限 作用：ps命令原始权限为-rwxr-xr-x ，加SGID权限后变为-rwxr-sr-x，这会使用它other用户的权限也相当于r-x 对目录进行设置 chmod -Rf g+s pert/ pert目录设置上SGID特殊权限位，这样任何人在该目录创建的文件都归属于该目录所有组，而不再是自己的基本用户组。

SBIT 称为“粘滞位”或“保护位” SBIT特殊权限可确保用户只能删除自己的文件，而不能删除其他用户的文件。

chmod -R o+t forldname #设置成功后，原本other用户的执行权限x会被改写为t，原本没有执行权限的会显示为T。 ls -ald forldname #可以用该命令来查看

对文件或文件夹用chattr 命令进行配置，具体操作详见下面的链接 https://blog.csdn.net/wsuyixing/article/details/122862029?spm=1001.2014.3001.5501

chown[选项]…[所有者][:[组]]文件… #改变文件或文件夹detailf的用户和用户组 $ chown user:group detailf #改变文件或文件夹detailf的用户 $ chown user detailf #改变文件或文件夹detailf的用户和用户组为user（用户和用户组同名） $ chown user: detailf #改变文件或文件夹detailf的用户组 $ chown :group detailf

功能：改变文件或目录所属的组。

语法：chgrp ［选项］ group filename

参数：

-c或–changes 效果类似”-v”参数，但仅回报更改的部分。 -f或–quiet或–silent 　不显示错误信息。 -h或–no-dereference 　只对符号连接的文件作修改，而不更动其他任何相关文件。 -R或–recursive 　递归处理，将指定目录下的所有文件及子目录一并处理。 -v或–verbose 　显示指令执行过程。 –help 　在线帮助。 –reference= 　把指定文件或目录的所属群组全部设成和参考文件或目录的所属群组相同。 –version 　显示版本信息。 该命令改变指定指定文件所属的用户组。其中group可以是用户组ID，也可以是/etc/group文件中用户组的组名。文件名是以空格分开的要改变属组的文件列表，支持通配符。如果用户不是该文件的属主或超级用户，则不能改变该文件的组。

示例： 将/mnt/xing及其子目录下的所有文件的用户组改为xing chgrp -R xing /mnt/xing

用于对莫个对特用户进行权限控制，对普通文件设置ACL其实就是针对指定的用户或用户组设置文件或目录的操作权限。 如果对目录设置了ACL，则目录中的文件会继承其ACL；若针对文件设置了ACL，则不在继承目录的ACL。 如何设置文件或文件夹的ACL，通过setfacl命令来进行设置

用户taobao访问/root目录被告知权限不够，进行下面的授权 setfacl -Rm u:taobao:rwx /root 成功后发现进行**cd /root/**操作正常了

getfacl /root 查看上面设置 学习ACL权限设置可以参见https://blog.csdn.net/qq_44027353/article/details/124074569

ls -ald /root 权限最后一位显示为“+”的时候说明该文件夹具有ACL权限

sudo命令把特定命令的执行权限交付给指定用户，这样普通用户使用该命令就享有了root管理员的权限。 命令格式 ：sudo [参数] 命令名称

sudo服务中的可用参数以及作用参数作用

总结来说，sudo命令具有如下功能：

如给taobao用户设置poweroff执行命令，首先找到该命令的绝对路径，用whereis poweroff 命令

root用户执行visudo命令找到“ ## Allow root to run any commands anywhere”，添加taobao用户对poweroff命令的执行权限（如果把taobao换成ALL，那就是所有用户都有这个权限了）

su - username （意味着完全切换到新用户，即把环境变量信息也变更为新用户相应信息）

执行下面的命令

理论 可以看出root用户执行touch命令后生成的文件“456”权限位为664，文件夹“123”权限位为775，为何会是这样，什么决定了这些呢？ 答案是umask umask命令用来设置所创建文件和目录的默认权限。 用命令查看到的umask的值为0002，是什么意思呢？ umask值为一个掩码，第一个0为粘滞位，其他三位分别代表用户、组、其他用户的权限位，开启文件的全权限值为666，文件夹的全权限位为777，那么新建文件或文件夹的权限要是全权限位减掉umask的值

现实 用上面的例子来算一下吧 文件“456”用ls -al看到的权限位664 666-002=664 #不用考虑umask第一位粘滞位的值，那么umask是002；算出来的和用命令看到的值一致 文件“123”用ls -al看到的权限位775 777-002=775 #算出来的和用命令看到的值一致

按照以上方式改变的umask值在shell退出之前或者使用新的umask命令之前一直有效，如果想永久改变umask值，需要修改自己$ H O M E目录下的. p r o f i l e或. b a s h _ p r o f i l e文件中修改