1. chmod
Usage: chmod [OPTION]... MODE[,MODE]... FILE... or: chmod [OPTION]... OCTAL-MODE FILE... or: chmod [OPTION]... --reference=RFILE FILE... Change the mode of each FILE to MODE. -c, --changes like verbose but report only when a change is made --no-preserve-root do not treat `/' specially (the default) --preserve-root fail to operate recursively on `/' -f, --silent, --quiet suppress most error messages -v, --verbose output a diagnostic for every file processed --reference=RFILE use RFILE's mode instead of MODE values -R, --recursive change files and directories recursively --help display this help and exit --version output version information and exit Each MODE is of the form `[ugoa]*([-+=]([rwxXst]*|[ugo]))+'.
$ chmod --version
chmod (GNU coreutils) 5.97
mode 权限设定字符串。其中:
u:User,即文件或目录的拥有者。 g:Group,即文件或目录的所属群组。 o:Other,除了文件或目录拥有者或所属群组之外,其他用户皆属于这个范围。 a:All,即全部的用户,包含拥有者,所属群组以及其他用户。
+ 表示增加权限、- 表示取消权限、= 表示唯一设定权限。
r:读取权限,数字代号为"4"。 w:写入权限,数字代号为"2"。 x:执行或切换权限,数字代号为"1"。 -:不具任何权限,数字代号为"0"。
X:表示只有当该档案是个子目录或者该档案已经被设定过为可执行。
s:
t:
S:
T:
关于s,t:小写表示能执行,大写表示不能执行。
(这两个请参考:
1. http://hi.baidu.com/reyleon/blog/item/0a0a6c115dab83e7c2ce7933.html
2. http://hi.baidu.com/d8t8/blog/item/908e9251e1a846100df3e341.html
)
举例:
[loong@localhost Desktop]$ ll c -rw-rw-r-- 1 loong loong 31 Apr 19 19:33 c [loong@localhost Desktop]$ chmod -c u=r,g=r,o=- c mode of `c' changed to 0440 (r--r-----) [loong@localhost Desktop]$ chmod -c 664 c mode of `c' changed to 0664 (rw-rw-r--)
1.1 -c 使用示例:仅在mode改变时,输出提示
[loong@localhost Desktop]$ ll a.txt -rw-rw-r-- 1 loong loong 30 Apr 19 19:03 a.txt [loong@localhost Desktop]$ chmod -c 664 a.txt [loong@localhost Desktop]$ chmod -c 666 a.txt mode of `a.txt' changed to 0666 (rw-rw-rw-) [loong@localhost Desktop]$ ll a.txt -rw-rw-rw- 1 loong loong 30 Apr 19 19:03 a.txt
1.2 -v 使用示例:
[loong@localhost Desktop]$ ll a.txt -rw-rw-rw- 1 loong loong 30 Apr 19 19:03 a.txt [loong@localhost Desktop]$ chmod -v 666 a.txt mode of `a.txt' retained as 0666 (rw-rw-rw-) [loong@localhost Desktop]$ chmod -v 664 a.txt mode of `a.txt' changed to 0664 (rw-rw-r--)
1.3 -R 递归地更改文件和目录的权限(这个还是少用吧,尤其是嵌套子目录太多的时候,容易引起异常)
drwxrwxr-x 3 loong loong 4096 Apr 19 20:34 test [loong@localhost Desktop]$ ll test total 4 drwxrwxr-x 2 loong loong 4096 Apr 19 20:45 a [loong@localhost Desktop]$ ll -R test test: total 4 drwxrwxr-x 2 loong loong 4096 Apr 19 20:45 a test/a: total 4 -rw-rw-r-- 1 loong loong 16 Apr 19 20:45 a.txt [loong@localhost Desktop]$ chmod -cR 777 test mode of `test' changed to 0777 (rwxrwxrwx) mode of `test/a' changed to 0777 (rwxrwxrwx) mode of `test/a/a.txt' changed to 0777 (rwxrwxrwx) [loong@localhost Desktop]$ ll -R test test: total 4 drwxrwxrwx 2 loong loong 4096 Apr 19 20:45 a test/a: total 4 -rwxrwxrwx 1 loong loong 16 Apr 19 20:45 a.txt [loong@localhost Desktop]$ chmod -cR 666 test mode of `test' changed to 0666 (rw-rw-rw-) chmod: `test': Permission denied [loong@localhost Desktop]$ ll -R test test: total 0 ?--------- ? ? ? ? ? a ls: test/a: Permission denied
呃,test文件夹下的a文件夹,出问题了~~权限不允许?换成root试试~
[root@localhost Desktop]# ll -R test test: total 4 drwxrwxrwx 2 loong loong 4096 Apr 19 20:45 a test/a: total 4 -rwxrwxrwx 1 loong loong 16 Apr 19 20:45 a.txt
哦,原来是将test的权限改为666(rw-rw-rw-)后,owner(也就是loong)就没有执行的权限了~~不能cd test……但是还可以chmod……改回来就是了。。。
[loong@localhost Desktop]$ chmod -v ug+x test mode of `test' changed to 0776 (rwxrwxrw-)
[loong@localhost Desktop]$ ll -R test test: total 4 drwxrwxrwx 2 loong loong 4096 Apr 19 20:45 a test/a: total 4 -rwxrwxrwx 1 loong loong 16 Apr 19 20:45 a.txt
1.4 关于linux中 s、t权限的说明
以下转自: http://hi.baidu.com/reyleon/blog/item/0a0a6c115dab83e7c2ce7933.html
特殊权限(SUID/SGID/SBIT)
[loong@localhost Desktop]$ ll /usr/bin/passwd -rwsr-xr-x 1 root root 23420 Aug 11 2010 /usr/bin/passwd [loong@localhost Desktop]$ ll /usr/bin/wall -r-xr-sr-x 1 root tty 10580 Jul 22 2011 /usr/bin/wall [loong@localhost Desktop]$ ll -d /tmp drwxrwxrwt 20 root root 4096 Apr 20 15:12 /tmp
第一个passwd文件在owner的rwx的执行x的地方为 s,
第二个wall文件在group的rwx的执行x的地方为 s,
第三个tmp文件夹的other的rwx的执行x的地方为 t。
1.4.1 Set UID
当s这个标志出现在文件所有者的x权限上时,如/usr/bin/passwd这个文件的权限状态:“-rwsr-xr-x.”,此时就被称为Set UID,简称为SUID。那么这个特殊权限的特殊性的作用是什么呢?
1、SUID权限仅对二进制程序(binary program)有效;
2、执行者对于该程序需要具有x的可执行权限;
3、本权限仅在执行该程序的过程中有效(run-time);
4、执行者将具有该程序拥有者(owner)的权限。
SUID的目的就是:让本来没有相应权限的用户运行这个程序时,可以访问他没有权限访问的资源。
passwd就是一个很鲜明的例子,下面我们就来了解一下这相passwd执行的过程。
我们知道,系统中的用户密码是保存在/etc/shadow中的,而这个文件的权限是———-. (这个权限和以前版本的RHEL也有差别,以前的是-r——–)。其实有没有r权限不重要,因为我们的root用户是拥有最高的权限,什么都能干了。关键是要把密码写入到/etc/shadow中。我们知道,除了root用户能修改密码外,用户自己同样也能修改密码,为什么没有写入权限,还能修改密码,就是因为这个SUID功能。
-----------------------分割线---------------------------
下面就是passwd这个命令的执行过程
1、因为/usr/bin/passwd的权限对任何的用户都是可以执行的,所以系统中每个用户都可以执行此命令。
2、而/usr/bin/passwd这个文件的权限是属于root的。
3、当某个用户执行/usr/bin/passwd命令的时候,就拥有了root的权限了。
4、于是某个用户就可以借助root用户的权力,来修改了/etc/shadow文件了。
5、最后,把密码修改成功。
注:这个SUID只能运行在二进制的程序上(系统中的一些命令),不能用在脚本上(script),因为脚本还是把很多的程序集合到一起来执行,而不是脚本自身在执行。同样,这个SUID也不能放到目录上,放上也是无效的。
1.4.2 Set GID
我们前面讲过,当s这个标志出现在文件所有者的x权限上时,则就被称为Set UID。那么把这个s放到文件的所属用户组x位置上的话,就是SGID。如开头的/usr/bin/wall命令。
那么SGID的功能是什么呢?和SUID一样,只是SGID是获得该程序所属用户组的权限。
这相SGID有几点需要我们注意:
1、SGID对二进制程序有用;
2、程序执行者对于该程序来说,需具备x的权限;
3、SGID主要用在目录上;
理解了SUID,我想SGID也很容易理解。如果用户在此目录下具有w权限的话,若使用者在此目录下建立新文件,则新文件的群组与此目录的群组相同。
1.4.3 Sticky Bit
这个就是针对others来设置的了,和上面两个一样,只是功能不同而已。
SBIT(Sticky Bit)目前只针对目录有效,对于目录的作用是:当用户在该目录下建立文件或目录时,仅有自己与 root才有权力删除。
最具有代表的就是/tmp目录,任何人都可以在/tmp内增加、修改文件(因为权限全是rwx),但仅有该文件/目录建立者与 root能够删除自己的目录或文件。
注:这个SBIT对文件不起作用。
1.4.4 关于 SUID/SGID/SBIT权限设置的例子
注,博主懒了,直接copy了原作者的例子,特注明出处:http://hi.baidu.com/reyleon/blog/item/0a0a6c115dab83e7c2ce7933.html
SUID/SGID/SBIT权限设置 和我们前面说的rwx差不多,也有两种方式,一种是以字符,一种是以数字。 4 为 SUID = u+s 2 为 SGID = g+s 1 为 SBIT = o+t 下面我们就来看看如何设置,并看看达到的效果。 先看SUID的作用及设置 [root@yufei ~]# cd /tmp/ [root@yufei tmp]# cp /usr/bin/passwd ./ [root@yufei tmp]# mkdir testdir 上面两步是在/tmp目录下创建passwd文件和testdir目录 下面看看这两个的权限 [root@yufei tmp]# ls -l passwd ; ls -ld testdir/ -rwxr-xr-x. 1 root root 26968 Jan 20 23:27 passwd drwxr-xr-x. 2 root root 4096 Jan 20 19:25 testdir/ 我们切换到yufei用户,然后修改自己的密码 [root@yufei tmp]# su yufei [yufei@yufei tmp]$ ./passwd Changing password for user yufei. Changing password for yufei. (current) UNIX password: New password: Retype new password: passwd: Authentication token manipulation error 发现上面的yufei改不了自己的密码,为什么呢?就是因为没有权限把密码写入到/etc/shadow中。想让普通用户能修改/etc/shadow的话,那就需要用到SUID了。 [yufei@yufei tmp]$ su root Password: [root@yufei tmp]# chmod u+s passwd [root@yufei tmp]# ls -l passwd -rwsr-xr-x. 1 root root 26968 Jan 20 23:27 passwd 看到有SUID权限了,下面再来修改yufei自己的密码 [yufei@yufei tmp]$ ./passwd Changing password for user yufei. Changing password for yufei. (current) UNIX password: New password: Retype new password: passwd: all authentication tokens updated successfully. 我们发现已经成功了。 我想这一下,你对SUID的作用已经了解了吧。 如果想把这个改回来(就是把SUID的权限去掉),我们用数字方式来设置 [root@yufei tmp]# chmod 0755 passwd [root@yufei tmp]# ls -l passwd -rwxr-xr-x. 1 root root 26968 Jan 20 23:27 passwd OK这样就改过来了,这个数字的原理和我们前面讲的rwx是一样的,只是在最前面设置相应的数字而已。 注:在普通用户修改自己的密码是,密码要设置的复杂点,否则的话,通过不了认证,普通用户和root用户的权限是不同的。 再看SGID的作用及设置 我们以前面建立的/tmp/testdir为例子 [root@yufei tmp]# ls -ld testdir/ [root@yufei tmp]# chmod 757 testdir/ [root@yufei tmp]# ls -ld testdir/ drwxr-xrwx. 2 root root 4096 Jan 20 19:25 testdir/ 这时候,任何用户对此目录都有写入权限,那么我们就在这个目录里面创建文件与目录,并看看他们的权限如何 [root@yufei tmp]# su yufei [yufei@yufei tmp]$ touch testdir/file1 [yufei@yufei tmp]$ mkdir testdir/dir1 [yufei@yufei tmp]$ ls -l testdir total 0 drw-rw-r–. 1 yufei yufei 0 Jan 21 10:33 dir1 -rw-rw-r–. 1 yufei yufei 0 Jan 21 10:33 file1 这时候的文件与目录权限都是创建者的本身 下面我们就来看看,把这个目录加上SGID权限后,再创建文件与目录,会是什么样的效果 [yufei@yufei tmp]$ su root Password: [root@yufei tmp]# chmod g+s testdir/ [root@yufei tmp]# ls -ld testdir/ drwxr-srwx. 2 root root 4096 Jan 21 10:33 testdir/ [root@yufei tmp]# su yufei [yufei@yufei tmp]$ touch testdir/file2 [yufei@yufei tmp]$ mkdir testdir/dir2 [yufei@yufei tmp]$ ls -l testdir/ total 0 drw-rw-r–. 1 yufei yufei 0 Jan 21 10:33 dir1 drw-rw-r–. 1 yufei root 0 Jan 21 10:36 dir2 -rw-rw-r–. 1 yufei yufei 0 Jan 21 10:33 file1 -rw-rw-r–. 1 yufei root 0 Jan 21 10:35 file2 [yufei@yufei tmp]$ ls -ld testdir/ drwxr-srwx. 2 root root 4096 Jan 21 10:36 testdir/ 这时候我们就发现,file2和dir2的用户组变成了root了,也就是他们上层目录testdir这个目录的所属用户组。 这个应用,应用在一个项目的共同开发上,是很方便的。 [yufei@yufei tmp]$ su root Password: [root@yufei tmp]# chmod g-s testdir/ [yufei@yufei tmp]$ ls -ld testdir/ drwxr-xrwx. 2 root root 4096 Jan 21 10:36 testdir/ 这样就还原了 最后我们来看SBIT的作用及设置 [root@yufei tmp]# rm -fr testdir/* [root@yufei tmp]# ls -ld testdir/ drwxr-xrwx. 2 root root 4096 Jan 21 11:42 testdir/ 清空/tmp/testdir/目录里面的全部内容。 我们切换成普通用户,然后再里面创建文件,至少需要两个普通用户来测试这个,如果没有的话,就自己建立。 [root@yufei tmp]# su yufei [yufei@yufei tmp]$ touch testdir/yufei_file [yufei@yufei tmp]$ ls -l testdir/ total 0 -rw-rw-r– 1 yufei yufei 0 Jan 21 11:45 yufei_file 这时候我们建立了一个文件,我们换成另外一个用户 [yufei@yufei tmp]$ suopsers Password: [opsers@yufei tmp]$ ls -ld testdir/ drwxr-xrwx. 2 root root 4096 Jan 21 11:45 testdir/ 我们看到,虽然其他用户对yufei_file只有只读权限,但由于yufei_file所在的目录,对其他人是全部的权限,所以,我们换其他用户还是可以删除这个文件的,看操作 [opsers@yufei tmp]$ rm -f testdir/yufei_file [opsers@yufei tmp]$ ls testdir/ 发现我们已经删除了这个不属于我们的权限。 下面我们就给这个目录加上SBIT权限,再来看看效果 [opsers@yufei tmp]$ su root Password: [root@yufei tmp]# chmod o+t testdir [root@yufei tmp]# ls -ld testdir/ drwxr-xrwt. 2 root root 4096 Jan 21 11:49 testdir/ 再一次切换普通用户,创建文件 [root@yufei tmp]# su yufei [yufei@yufei tmp]$ touch testdir/yufei_file [yufei@yufei tmp]$ ls -l testdir/yufei_file -rw-rw-r– 1 yufei yufei 0 Jan 21 11:51 testdir/yufei_file 这个文件的权限还是和第一次创建的时候是一样的,我们再换成其他的用户,看看能不能再次删除这个文件 [yufei@yufei tmp]$ su opsers Password: [opsers@yufei tmp]$ rm -f testdir/yufei_file rm: cannot remove `testdir/yufei_file’: Operation not permitted 看到提示,说权限不够了,只能由这个文件的创建者或root用户才能删除。这个我们就不演示了。 如果要还原权限的话, [opsers@yufei tmp]$ su root Password: [root@yufei tmp]# chmod o-t testdir [root@yufei tmp]# ls -ld testdir/ drwxr-xrwx. 2 root root 4096 Jan 21 11:51 testdir/ 两个需要注意的问题 OK,关于SUID/SGID/SBIT这些特殊权限的应用和作用我们已经讲完了。但如果你仔细一点的话,会发现,我并没有用数字方式来更改这个特殊的权限,为什么呢?且看下面的分析。 问题1:用数字改变目录的特殊权限,不起作用。 我们把/tmp/下面,我们自己建立的实验文件删除 [root@yufei tmp]# rm -fr testdir/ [root@yufei tmp]# rm -fr passwd 然后再重新创建一个文件和目录, [root@yufei tmp]# cp /usr/bin/passwd ./ [root@yufei tmp]# mkdir testdir [root@yufei tmp]# ls -l passwd ;ls -ld testdir/ -rwxr-xr-x 1 root root 26968 Jan 21 12:00 passwd drwxr-xr-x 2 root root 4096 Jan 21 12:00 testdir/ 下面我们就来用数字方式来更改这三个特殊的权限,看看会有什么样的结果 [root@yufei tmp]# chmod 4755 passwd [root@yufei tmp]# chmod 3755 testdir/ [root@yufei tmp]# ls -l passwd ;ls -ld testdir/ -rwsr-xr-x 1 root root 26968 Jan 21 12:00 passwd drwxr-sr-x 2 root root 4096 Jan 21 12:00 testdir/ 发现用这种方式增加这三个特殊权限没有问题,那么我们再把权限改回去看看 [root@yufei tmp]# chmod 0755 passwd [root@yufei tmp]# chmod 0755 testdir/ [root@yufei tmp]# ls -l passwd ;ls -ld testdir/ -rwxr-xr-x 1 root root 26968 Jan 21 12:00 passwd drwxr-sr-x 2 root root 4096 Jan 21 12:00 testdir/ 我们发现,对文件,权限是改回去了,而对于目录,只改回去了SBIT的权限,对SUID和SGID改不回去。这是RHEL6上的实验结果,可能是出于安全性的考虑吗?这个我就不清楚了,也找不到相关的资料。如果各位网友,有知道什么原因的,欢迎与我联系。在此先谢过了。 所以说,建议大家还是用最明了的方式,直接用+-来更改,无论方法如何,最终能得到结果就OK了。哈哈…… 问题2:为什么会有大写的S和T。 还是用上面的文件和目录 [root@yufei tmp]# ls -l passwd ;ls -ld testdir/ -rwxr-xr-x 1 root root 26968 Jan 21 12:00 passwd drwxr-sr-x 2 root root 4096 Jan 21 12:00 testdir/ 我们把passwd和testdir的x权限去掉 [root@yufei tmp]# chmod u-x passwd [root@yufei tmp]# chmod o-x testdir/ [root@yufei tmp]# ls -l passwd ;ls -ld testdir/ -rw-r-xr-x 1 root root 26968 Jan 21 12:00 passwd drwxr-sr– 2 root root 4096 Jan 21 12:00 testdir/ 再给他们加上SUID和SBIT权限 [root@yufei tmp]# chmod u+s passwd [root@yufei tmp]# chmod o+t testdir/ [root@yufei tmp]# ls -l passwd ;ls -ld testdir/ -rwSr-xr-x 1 root root 26968 Jan 21 12:00 passwd drwxr-sr-T 2 root root 4096 Jan 21 12:00 testdir/ 我们看到,这时候的小s和小t已经变成了大S和大T了,为什么呢?因为他们这个位置没有了x权限,如果没有了x权限,根据我们上面讲的内容,其实,这个特殊的权限就相当于一个空的权限,没有意义。也就是说,如果你看到特殊权限位置上变成了大写的了,那么,就说明,这里有问题,需要排除。
另外参考: http://hi.baidu.com/d8t8/blog/item/908e9251e1a846100df3e341.html