Debian文件权限设置详解

一、文件权限基础概念

Debian系统中的文件权限分为用户（Owner）、组（Group）、**其他用户（Others）**三类，每类包含三种基本权限：

• 读（r）：用户可查看文件内容（对目录可列出内部文件列表）；
• 写（w）：用户可修改文件内容（对目录可添加/删除文件）；
• 执行（x）：用户可将文件作为程序运行（对目录可进入访问）。

通过ls -l命令可查看权限详情，输出示例：
-rwxr-xr-- 1 user group 1234 Jan 1 12:34 file.txt
其中：

• 第1字符表示文件类型（-为普通文件，d为目录，l为符号链接）；
• 第2-4字符为用户权限（rwx），第5-7为组权限（r-x），第8-10为其他用户权限（r--）；
• 后续字段依次为硬链接数、所有者、所属组、文件大小、修改时间及文件名。

二、查看文件权限

使用ls -l命令可查看文件/目录的详细权限信息：

ls -l /path/to/file_or_directory

示例输出：
drwxr-xr-x 2 user dev 4096 Jun 1 10:00 mydir
解读：d表示目录，所有者（user）有读、写、执行权限，所属组（dev）和其他用户有读、执行权限。

三、修改文件权限（chmod命令）

chmod命令用于更改文件/目录权限，支持符号模式和八进制模式两种方式。

1. 符号模式

通过u（用户）、g（组）、o（其他）、a（所有）指定用户类别，结合+（添加）、-（移除）、=（设置）操作权限：

• 示例1：给所有者添加执行权限
  chmod u+x script.sh
• 示例2：移除组用户的写权限
  chmod g-w data.txt
• 示例3：设置其他用户为只读
  chmod o=r config.ini
• 示例4：给所有者、组和其他用户均添加执行权限
  chmod a+x backup.sh

2. 八进制模式

用三位八进制数表示权限，每位对应一组权限（r=4，w=2，x=1）：

• 示例1：设置所有者为rwx（4+2+1=7），组和其他为r-x（4+1=5）
  chmod 755 script.sh（适用于可执行程序、目录）
• 示例2：设置所有者为rw-（4+2=6），组和其他为r--（4）
  chmod 644 data.txt（适用于普通文本文件）
• 示例3：设置所有者为rwx，组为r-x，其他为无权限
  chmod 750 confidential.txt（适用于敏感文件）

四、修改文件所有者和所属组（chown/chgrp命令）

1. 更改所有者

使用chown命令，需root权限（或sudo）：

sudo chown new_owner /path/to/file

示例：将file.txt的所有者改为admin
sudo chown admin file.txt
若需同时更改所属组，可使用:分隔：
sudo chown admin:dev file.txt

2. 更改所属组

使用chgrp命令，需当前用户属于目标组或root权限：

sudo chgrp new_group /path/to/file

示例：将data.txt的所属组改为developers
sudo chgrp developers data.txt

五、设置默认权限（umask命令）

umask用于控制新创建文件/目录的默认权限，其值为权限掩码（取反后得到实际权限）。

• 默认情况下，Debian的umask为022：
  • 文件：666（rw-rw-rw-）取反后为644（rw-r–r–）；
  • 目录：777（rwxrwxrwx）取反后为755（rwxr-xr-x）。
• 临时修改umask（仅当前会话有效）：
  umask 077（新文件权限为600，目录为700）
• 永久修改umask：编辑~/.bashrc或/etc/profile文件，添加umask 077，然后执行source ~/.bashrc使更改生效。

六、特殊权限设置

1. SetUID（SUID）

允许用户以文件所有者的身份执行文件，而非自身身份。常用于需要提权的命令（如passwd）。

• 设置方法：chmod u+s file（如chmod u+s /usr/bin/passwd）
• 查看效果：文件权限中的用户x变为s（如-rwsr-xr-x）。
• 注意：滥用SetUID可能导致安全风险，需谨慎使用。

2. SetGID（SGID）

• 对文件：允许用户以文件所属组的身份执行文件；
• 对目录：新创建的文件/子目录会继承该目录的所属组。
• 设置方法：chmod g+s dir（如chmod g+s /shared_dir）
• 查看效果：文件权限中的组x变为s（如-rwxr-sr-x），目录权限中的组x变为s（如drwxr-sr-x）。

3. 粘滞位（Sticky Bit）

仅适用于目录，限制用户只能删除自己创建的文件，即使有目录的写权限。常用于共享目录（如/tmp）。

• 设置方法：chmod +t dir（如chmod +t /public_dir）
• 查看效果：目录权限中的其他用户x变为t（如drwxrwxrwt）。

七、高级权限管理（ACL）

若需更细粒度的权限控制（如给特定用户/组设置权限），可使用访问控制列表（ACL）。

1. 安装ACL工具

Debian默认未安装ACL，需通过以下命令安装：
sudo apt update && sudo apt install acl

2. 查看ACL

使用getfacl命令查看文件/目录的ACL规则：
getfacl /path/to/file

3. 设置ACL

使用setfacl命令添加/修改ACL规则：

• 示例1：给用户alice添加读、写、执行权限
  setfacl -m u:alice:rwx /path/to/file
• 示例2：给组dev添加读、执行权限
  setfacl -m g:dev:r-x /path/to/dir
• 示例3：删除用户bob的所有权限
  setfacl -x u:bob /path/to/file

八、注意事项

1. 权限安全性：避免给普通用户赋予777（所有权限）或775（写权限）等高危权限，防止文件被篡改或恶意执行；
2. 目录权限：目录的执行权限（x）是访问其内容的必要条件，若目录无x权限，即使有r权限也无法列出内容；
3. root权限：修改系统关键文件（如/etc/passwd、/bin目录下的文件）的权限时，需谨慎使用root权限，避免系统故障；
4. 备份权限：修改重要文件的权限前，建议备份原权限（如ls -l > permissions_backup.txt），便于恢复。