从0到1，吃透Linux权限管理的底层逻辑 （详解文件权限、特殊权限与安全策略）

3. 查看权限：ls -l 的输出解读

执行 ls -l，你会看到类似 -rw-r--r-- 1 root root 1234 Feb 20 10:00 file.txt 的输出。第一列（如 -rw-r--r--）就是权限标志：

• 第1个字符：文件类型（-普通文件，d目录等）。
• 第2-4字符：所有者权限（rw- 表示可读可写不可执行）。
• 第5-7字符：所属组权限（r-- 表示只读）。
• 第8-10字符：其他人权限（r-- 表示只读）。

4. 修改权限：chmod 命令实战

有两种方式修改权限：

符号模式

chmod u+x file 给所有者增加执行权限；chmod go-w file 移除所属组和其他人的写权限。

数字模式

使用三位八进制数分别代表所有者、所属组、其他人的权限。例如 chmod 754 file 表示所有者权限 rwx (7=4+2+1)，所属组权限 r-x (5=4+1)，其他人权限 r-- (4)。

5. 改变所有者与组：chown 和 chgrp

chown alice file 将文件所有者改为 alice；chgrp group1 file 将所属组改为 group1。也可以一次修改：chown alice:group1 file。

6. 默认权限的秘密：umask

当我们创建新文件或目录时，系统会赋予一个默认权限。这个默认值由 umask 决定。umask 是一个掩码，它从最大可能权限中“扣除”某些权限。通常，文件的默认最大权限是666（无执行权限），目录是777。执行 umask 命令查看当前掩码（如022），则新建文件权限为 666 & (~022) = 644，目录为 777 & (~022) = 755。理解 umask 有助于避免意外暴露敏感文件。

7. 特殊权限：SUID、SGID、Sticky Bit

除了基本的rwx，Linux还有三个特殊权限，它们为可执行文件和目录提供更精细的控制。

SUID (Set User ID)

当可执行文件设置了SUID位（用 chmod u+s 设置），其他用户执行该文件时，将临时拥有文件所有者的权限。典型的例子是 /usr/bin/passwd，它允许普通用户修改自己的密码（而密码文件只有root可写）。SUID位在权限标志中显示为所有者执行位上的 s（如 -rwsr-xr-x）。

SGID (Set Group ID)

对可执行文件设置SGID，执行者将获得文件所属组的权限；对目录设置SGID，在该目录下新建的文件会继承目录的所属组，方便团队协作。SGID位显示为组执行位上的 s。

Sticky Bit

主要应用于目录（如 /tmp），设置了Sticky Bit的目录（用 chmod o+t 设置），用户只能删除属于自己的文件，即使有写权限也无法删除他人文件。显示为其他人执行位上的 t。

8. 进阶：访问控制列表（ACL）

当传统的ugo模型无法满足复杂权限需求时，可以使用ACL为特定用户或组设置权限。通过 setfacl 和 getfacl 命令管理。例如 setfacl -m u:alice:rw file 给用户alice读写权限，不改变原有权限。

9. 总结与最佳实践

理解Linux权限的底层逻辑是保障系统安全的基础。本文从用户分类、基本权限、修改命令，到特殊权限和ACL，构建了完整的知识体系。记住以下原则：

• 遵循最小权限原则：只给必要的权限。
• 谨慎使用SUID/SGID，避免权限提升漏洞。
• 合理设置umask，防止新建文件权限过大。
• 用ACL应对复杂场景，但不要过度复杂化。

现在，你已经从0到1掌握了Linux权限管理，快去实际环境中操练吧！