現(xiàn)在，您了解了 Linux 是一個多用戶的系統(tǒng)，每個用戶屬于一個主要 組，也可能是附加組。也可以作為一個用戶登錄，然后使用 su 或者 sudo -s 命令變?yōu)榱硪粋€用戶。Linux 的文件所有權(quán)和訪問授權(quán)是與用戶 id 和組密切相關(guān)的，所以我們要復(fù)習(xí)一下基本的用戶和組信息。

我是誰？

如果沒有切換到其他用戶，您的 id 就是登錄時的。如果切換到其他用戶，在本文的大多數(shù)例子中，您的提示中就會包括您的用戶 id。如果您的提示沒有包括用戶 id，可以使用 whoami 命令來檢查您當(dāng)前有效的 id。清單 1 顯示了一些例子，說明了提示字符串（來自 PS1 環(huán)境變量）與本文中的其他例子不同。在提示字符串中包含您的 id 是一個有用的功能。

清單 1. 決定有效的用戶 id

				
/home/ian$ whoami
tom
/home/ian$ exit
exit
$ whoami
ian

我在什么組中？

類似的，您可以使用 groups 命令找出您在什么組中。使用 id 命令，您可以找出用戶和組信息。添加一個用戶 id 參數(shù)到 groups 或者 id 來查看該用戶 id 的信息，而并非當(dāng)前用戶 id。查看 清單 2 中的示例。請注意，沒有用戶 id，id 命令也會顯示 SELinux 上下文和基本 id 信息。

清單 2. 決策組成員

				
[ian@echidna ~]$ id
uid=1000(ian) gid=1000(ian) groups=1000(ian),505(development),8093(editor)
context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
[ian@echidna ~]$ id ian
uid=1000(ian) gid=1000(ian) groups=1000(ian),8093(editor),505(development)
[ian@echidna ~]$ groups
ian development editor
[ian@echidna ~]$ id tom
uid=1012(tom) gid=1012(tom) groups=1012(tom),505(development)
[ian@echidna ~]$ groups tom
tom : tom development
[ian@echidna ~]$ su tom
Password: 
[tom@echidna ian]$ groups
tom development
[tom@echidna ian]$ groups ian
ian : ian editor development

文件的所有權(quán)和權(quán)限

如果每個用戶都有 id 并且是主要組的成員，那么 Linux 系統(tǒng)上的每個文件都有一個所有者和與其相關(guān)的組。

普通文件

使用 ls -l 命令顯示所有者和組。

清單 3. 決定文件所有權(quán)

				
[ian@echidna ~]$ ls -l /bin/bash .bashrc helloworld.C 
-rw-r--r--. 1 ian  ian            124 Mar 31  2010 .bashrc
-rwxr-xr-x. 1 root root        943360 May 21  2010 /bin/bash
-rw-rw-r--. 1 ian  development    116 Nov 30 10:21 helloworld.C

在這個特殊的例子中，用戶 ian 的 .bashrc 文件由他自己所有，并且屬于 ian 的主要組。類似的，/bin/bash 由用戶 root 所有，并且位于組 root。但是，helloworld.C 由用戶 ian 所有，但是屬于組 development。用戶名和組名來自不同的名稱空間，所以給定的名稱可能同時是用戶名和組名。事實上，很多版本默認(rèn)為每個新用戶創(chuàng)建一個匹配的組。

Linux 權(quán)限模型每個文件系統(tǒng)對象有 3 種類型。這些權(quán)限就是讀（r），寫（w）和執(zhí)行（x）。寫權(quán)限包括修改和刪除對象的能力。此外，這些權(quán)限被分別指定給文件所有者、文件組成員和其他人。

回到清單 3 第一列，注意，它包括一個 11 個字符的字符串。這第 11 個字符是最近才添加的。我們稍后再討論。第一個字母描述了對象的類型（- 在這個例子中表示普通文件），剩下的 9 個字母每三個字母為一組。第一組表示文件所有者的讀、寫和執(zhí)行權(quán)限。- 表示相應(yīng)的權(quán)限沒有被授予。因此，用戶 ian 就可以讀和寫 .bashrc 文件，但是不能執(zhí)行它；而 root 可以讀、寫 和 執(zhí)行 /bin/bash 文件。第二組表示文件組的讀、寫和執(zhí)行權(quán)限。development 組的成員能夠讀或者寫 ian 的 helloworld.C 文件，而其他人只能讀。類似的，root 組中的成員和其他人能夠讀或者執(zhí)行 /bin/bash 文件。

目錄

目錄和常規(guī)文件一樣使用相同的權(quán)限標(biāo)識，但是它們的翻譯不同。目錄的讀權(quán)限允許用戶使用該權(quán)限列出目錄內(nèi)容。寫權(quán)限意味著用戶使用該權(quán)限能夠在目錄中創(chuàng)建或者刪除文件。執(zhí)行權(quán)限允許用戶輸入目錄并訪問任意子目錄。沒有執(zhí)行權(quán)限，目錄下的文件系統(tǒng)對象就是不可訪問的。沒有讀權(quán)限，目錄下的文件系統(tǒng)對象在目錄清單下就是不可見的，但是如果知道磁盤上對象的完整路徑，這些對象仍是可訪問的。清單 4 是說明這些問題的非常人工的例子。

清單 4. 權(quán)限和目錄

				
[ian@echidna ~]$ ls -l /home
total 32
drwxr-x---. 38 editor   editor      12288 Nov 30 10:49 editor
drwxr-x---.  4 greg     development  4096 Nov 30 12:44 greg
drwx------. 21 gretchen gretchen     4096 Nov 30 11:26 gretchen
drwxr-xr-x. 41 ian      ian          4096 Nov 30 10:51 ian
drwx------. 21 ianadmin ianadmin     4096 May 28  2010 ianadmin
d-wx--x--x. 21 tom      tom          4096 Nov 30 11:30 tom
[ian@echidna ~]$ ls -a ~greg/.ba*
/home/greg/.bash_history  /home/greg/.bash_profile
/home/greg/.bash_logout   /home/greg/.bashrc
[ian@echidna ~]$ ls -a ~gretchen
ls: cannot open directory /home/gretchen: Permission denied
[ian@echidna ~]$ ls -a ~tom
ls: cannot open directory /home/tom: Permission denied
[ian@echidna ~]$ head -n 3 ~tom/.bashrc
# .bashrc

# Source global definitions

長清單的第一個字母表示對象的類型（d 表示目錄）。用戶 greg 的主目錄有 development 組成員的讀和寫權(quán)限，因此用戶 tom 和 ian 能夠列出目錄。用戶 gretchen 的主目錄沒有 gretchen 組或者其他用戶的讀和執(zhí)行權(quán)限，所以用戶 ian 不能訪問它。用戶 tom 的主目錄有執(zhí)行權(quán)限，但是沒有讀權(quán)限，所以用戶 ian 不能列出內(nèi)容，但是如果知道對象存在，就可以訪問目錄下的對象。

其他文件系統(tǒng)對象

ls -l 的輸出可能包含文件系統(tǒng)對象，而不是文件和目錄，如清單中第一個字母所示。在后面的文章中我們還會見到更多，但是現(xiàn)在，只是說明可能的對象類型。

表 1. 文件系統(tǒng)對象類型

第 11 個字符

來自 ls 命令中長清單的第 11 個字符是最近才出現(xiàn)的，所以部分版本仍只顯示頭 10 個字符。在其他情況下，第 11 個字符是一個空格，所以您可能沒有注意到。這個字符表示是否有替換的訪問方法應(yīng)用到文件。當(dāng)跟隨文件模式位的字符是空格時，就表示沒有替換訪問方法。當(dāng)是一個可打印字符時，就有替換方法。這個方法可能是例子的訪問控制清單。GNU ls 使用一個 ‘.’（點）來表示文件只有一個 SELinux 安全上下文。有其他替換訪問方法的文件用 ‘+’（加號）表示。

變更權(quán)限

添加權(quán)限

假設(shè)您創(chuàng)建一個 “Hello world” 的 shell 腳本。當(dāng)您第一次創(chuàng)建腳本時，它通常是不可執(zhí)行的。使用 chmod 命令和 +x 選項添加執(zhí)行權(quán)限，如清單 5 所示。

清單 5. 創(chuàng)建可執(zhí)行的 shell 腳本

				
[ian@echidna ~]$ echo 'echo "Hello world!"'>hello.sh
[ian@echidna ~]$ ls -l hello.sh
-rw-rw-r--. 1 ian ian 20 Nov 30 13:05 hello.sh
[ian@echidna ~]$ ./hello.sh
bash: ./hello.sh: Permission denied
[ian@echidna ~]$ chmod +x hello.sh
[ian@echidna ~]$ ./hello.sh
Hello world!
[ian@echidna ~]$ ls -l hello.sh
-rwxrwxr-x. 1 ian ian 20 Nov 30 13:05 hello.sh
            

您可以按類似的方法使用 +r 來設(shè)置讀權(quán)限，使用 +w 設(shè)置寫權(quán)限。事實上，您可以聯(lián)合使用 r、w 和 x。例如，使用 chmod +rwx 將會設(shè)置文件的所有讀、寫和執(zhí)行權(quán)限。chmod 會添加尚未設(shè)置的權(quán)限。

可選性

您在上面的例子中可能已經(jīng)注意到，執(zhí)行權(quán)限被設(shè)置給所有者、組 和 其他。為了更具可選性，您可以給模式描述加前綴 u 來設(shè)置用戶權(quán)限，g 來設(shè)置組權(quán)限，還有 o 為其他人設(shè)置。需要指出的是 a 設(shè)置所有用戶的權(quán)限，這就相當(dāng)于忽略它。清單 6 顯示了如何添加用戶和組寫和執(zhí)行權(quán)限到 shell 腳本的其他副本。

清單 6. 有選擇性地添加權(quán)限

				
[ian@echidna ~]$ echo 'echo "Hello world!"'>hello2.sh
[ian@echidna ~]$ chmod ug+xw hello2.sh
[ian@echidna ~]$ ls -l hello2.sh
-rwxrwxr--. 1 ian ian 20 Nov 30 13:08 hello2.sh

刪除權(quán)限

有時您需要刪除權(quán)限，而不單單是添加。簡單地將 + 改變?yōu)?-，就能刪除任何已設(shè)置的指定權(quán)限。清單 7 顯示了如何刪除兩個 shell 腳本上的其他用戶的所有權(quán)限。

清單 7. 刪除權(quán)限

				
[ian@echidna ~]$ ls -l hello*.sh
-rwxrwxr--. 1 ian ian 20 Nov 30 13:08 hello2.sh
-rwxrwxr-x. 1 ian ian 20 Nov 30 13:05 hello.sh
[ian@echidna ~]$ chmod o-xrw hello*.sh
[ian@echidna ~]$ ls -l hello*.sh
-rwxrwx---. 1 ian ian 20 Nov 30 13:08 hello2.sh
-rwxrwx---. 1 ian ian 20 Nov 30 13:05 hello.sh

請注意，您可以一次改變一個或者多個文件的權(quán)限。正如在 topic 103 的文章中看到其他命令一樣，您甚至可以使用 -R（或者 --recursive）選項在目錄和文件上進(jìn)行遞歸操作。

設(shè)置權(quán)限

現(xiàn)在已經(jīng)可以添加或者刪除權(quán)限了，您可能會想，怎樣才能只設(shè)置一些特殊權(quán)限。使用 = 替換 + 或者 - 來完成這個動作。要在上述腳本中設(shè)置權(quán)限，這樣其他用戶就沒有訪問權(quán)利，您可以使用 chmod o= hello* 替換我們用于刪除權(quán)限的命令。

如果您想對用戶、組合或其他設(shè)置不同的權(quán)限，您可以通過逗號分隔不同的表達(dá)；例如，ug=rwx,o=rx，或者您可以使用稍后提到的數(shù)字權(quán)限。

八進(jìn)制權(quán)限

目前為止，您都是使用符號（ugoa 和 rxw）來指定權(quán)限。每組中有三個可能的權(quán)限。您還可以使用八進(jìn)制取代符號設(shè)置權(quán)限。按這種方法設(shè)置的權(quán)限使用高達(dá) 4 位八進(jìn)制數(shù)字。討論屬性時，我們會查看第 1 個數(shù)字。第 2 個數(shù)字定義了用戶權(quán)限，第 3 個是組權(quán)限，第 4 個是其他權(quán)限。這三個數(shù)字中的每一個都通過添加所需的權(quán)限設(shè)置來構(gòu)建：讀（4），寫（2）和執(zhí)行（1）。在 清單 5 中的 hello.sh 例子中，創(chuàng)建的腳本有權(quán)限 -rw-r--r--，相當(dāng)于八進(jìn)制 644。設(shè)置每個人的執(zhí)行權(quán)限將模式改為 755。

當(dāng)您想要一次設(shè)置所有權(quán)限，而不給予每個組相同權(quán)限時，設(shè)置使用數(shù)字權(quán)限非常方便。使用 表 2 作為一個方便的八進(jìn)制權(quán)限參考。

表 2. 數(shù)字權(quán)限

suid 和 sgid

Linux 權(quán)限模型有兩個特殊的訪問模式，名為 suid（設(shè)置用戶 id）和 sgid（設(shè)置組 id）。當(dāng)可執(zhí)行的程序設(shè)置為 suid 訪問模式，它就會開始運(yùn)行，好像是由文件所有者啟動而不是由真正啟動它的用戶啟動。類似的，設(shè)置為 sgid 訪問模式，程序就會運(yùn)行，好像啟動用戶屬于文件組，而不屬于他所有的組?？梢詥为毣蛘咄瑫r設(shè)置兩個訪問模式。

清單 8 顯示了可執(zhí)行的 passwd 由 root 所有：

清單 8. /usr/bin/passwd 上的 suid 訪問模式

				
[ian@echidna ~]$ ls -l /usr/bin/passwd
-rwsr-xr-x. 1 root root 34368 Apr  6  2010 /usr/bin/passwd

請注意，在用戶的權(quán)限三件套中 x 的位置上有一個 s。這就表示，對這個特定的程序來說，suid 和可執(zhí)行位已經(jīng)被設(shè)置。所以，當(dāng) passwd 運(yùn)行時，它就會像 root 用戶使用完全的 superuser 訪問一樣加載它運(yùn)行，而不是作為想運(yùn)行該程序的用戶。因為 passwd 和 root 訪問一起運(yùn)行，所以它可以修改 /etc/passwd。

suid 和 sgid 位與長目錄清單中用戶和組的 x 占據(jù)相同的空間。如果文件是可執(zhí)行的，suid 或 sgid 位如果已設(shè)置，將會顯示為小寫的 s，否則就顯示為大寫的 S。

雖然 suid 和 sgid 很便利，甚至在很多環(huán)境下是必需的，但是這些訪問模式不適當(dāng)?shù)氖褂脮斐上到y(tǒng)安全上的漏洞。您要盡量少地使用 suid 程序。passwd 命令是少數(shù) 必須 為 suid 的命令之一。

設(shè)置 suid 和 sgid

suid 和 sgid 位使用字母 s 在符號上進(jìn)行設(shè)置和重設(shè)；例如，u+s 設(shè)置 suid 訪問模式，g-s 刪除 sgid 模式。在八進(jìn)制格式中，suid 在第一位（高階）為值 4，而 sgid 是值 2。

目錄和 sgid

當(dāng)一個目錄使用 sgid 模式時，在這個目錄中創(chuàng)建的任何文件和目錄將會繼承目錄的組 id。這個對那些被從事同一項目的一組人使用的目錄樹極為有用。 清單 9 顯示了用戶 greg 任何設(shè)置一個 development 組所有用戶都能使用的目錄，以及一個示例，用戶 gretchen 如何在目錄上創(chuàng)建一個文件。正如所創(chuàng)建的，文件 gretchen.txt 允許組成員編輯文件，因此 gretchen 使用 chmod g-w 來取消組的寫功能。

清單 9. sgid 訪問模式和目錄

				
[greg@echidna ~]$ mkdir lpi101
[greg@echidna ~]$ chmod g+ws lpi101
[greg@echidna ~]$ ls -ld lpi101
drwxrwsr-x. 2 greg development 4096 Nov 30 13:30 lpi101/
[greg@echidna ~]$ su - gretchen
Password: 
[gretchen@echidna ~]$ touch ~greg/lpi101/gretchen.txt
[gretchen@echidna ~]$ ls -l ~greg/lpi101/gretchen.txt
-rw-rw-r--. 1 gretchen development 0 Nov 30 14:12 /home/greg/lpi101/gretchen.txt
[gretchen@echidna ~]$ chmod g-w ~greg/lpi101/gretchen.txt
[gretchen@echidna ~]$ ls -l ~greg/lpi101/gretchen.txt
-rw-r--r--. 1 gretchen development 0 Nov 30 14:12 /home/greg/lpi101/gretchen.txt

development 組的任何成員現(xiàn)在都能夠在用戶 greg 的 lpi101 目錄上創(chuàng)建文件了。正如 清單 10 所示，組的其他用戶不能升級文件 gretchen.txt。但是，他們有對目錄的寫權(quán)限，因此可以刪除文件。

清單 10. sgid 訪問模式和文件所有權(quán)

				
[gretchen@echidna ~]$ su - tom
Password: 
[tom@echidna ~]$ echo "something" >> ~greg/lpi101/gretchen.txt
-bash: /home/greg/lpi101/gretchen.txt: Permission denied
[tom@echidna ~]$ rm ~greg/lpi101/gretchen.txt
rm: remove write-protected regular empty file `/home/greg/lpi101/gretchen.txt'? y
[tom@echidna ~]$ ls -l ~greg/lpi101/
total 0

粘貼位

您剛看到了任何有目錄寫權(quán)限的人如何刪除目錄中的文件。這對一個工作組項目是可接受的，但是對全球共享的文件空間，例如 /tmp 目錄，是不希望的。幸運(yùn)的是，有解決方案。

剩下的訪問模式為就稱為粘貼 位。用符號表示就是 t，用數(shù)字表示就是八進(jìn)制位的高階為 1。它顯示在其他用戶的可執(zhí)行標(biāo)識中（最后的字符）的長目錄清單，而且 suid 和 sgid 的大小寫意義相同。如果設(shè)置一個目錄，它只允許有所有權(quán)的用戶或者 superuser（root）刪除或者解除文件鏈接。清單 11 顯示了用戶 greg 如何在他的 lpi101 目錄上設(shè)置粘貼位，還顯示了這個位設(shè)置用于 /tmp。

清單 11. 粘貼目錄

				
[greg@echidna ~]$ chmod +t lpi101
[greg@echidna ~]$ ls -ld lpi101 /tmp
drwxrwsr-t.  2 greg development  4096 Nov 30 14:16 lpi101
drwxrwxrwt. 24 root root        12288 Nov 30 14:22 /tmp

在以前，UNIX® 系統(tǒng)曾在文件上使用粘貼位在交換空間囤積可執(zhí)行文件，避免重新加載?，F(xiàn)代 Linux 內(nèi)核忽略了粘貼位，如果它是設(shè)置給文件的。

訪問模式的總結(jié)

表 3 總結(jié)了這里討論的 3 種訪問模式的符號和八進(jìn)制表示。

表 3. 訪問模式

將這些和早先的權(quán)限信息結(jié)合在一起，您可以看到對應(yīng) greg 的 lpi101 權(quán)限和 drwxrwsr-t 訪問模式的完整的八進(jìn)制表示是 3775。雖然 ls 命令不顯示八進(jìn)制權(quán)限，您可以使用 find 命令進(jìn)行顯示，如清單 12清單 12 所示。

清單 12. 可打印的符號和八進(jìn)制權(quán)限

				
[greg@echidna ~]$ find . -name lpi101  -printf "%M %m %f\n"
drwxrwsr-t 3775 lpi101

不可變文件

訪問模式和權(quán)限提供了廣泛的控制，限制了誰可以在文件和目錄上做什么。但是，它們對有些事情也不能避免，如 root 用戶對文件的無心刪除。雖然這不在 LPI Topic 104.5 的范圍內(nèi)，但是在提供額外功能的文件系統(tǒng)上還是有些可用的附加屬性。其中之一就是不可變 屬性。設(shè)置完成后，即使是 root 用戶也不能刪除文件，直到屬性解除。

使用 lsattr 命令查看文件或者目錄是否設(shè)置了不可變標(biāo)識（或者任何其他屬性）。要將一個文件設(shè)置為不可變，使用 chattr 命令和 -i 標(biāo)識。

清單 13清單 13 顯示了用戶 root 可以創(chuàng)建一個不可變文件，但是不能刪除它，直到不可變標(biāo)識被刪除。

清單 13. 不可變文件

				
[root@echidna ~]# touch keep.me
[root@echidna ~]# chattr +i keep.me
[root@echidna ~]# lsattr keep.me
----i--------e- keep.me
[root@echidna ~]# rm -f keep.me
rm: cannot remove `keep.me': Operation not permitted
[root@echidna ~]# chattr -i keep.me
[root@echidna ~]# rm -f keep.me

變更不可變標(biāo)識需要 root 授權(quán)，或者最少 CAP_LINUX_IMMUTABLE 功能。使文件不可變通常是安全或者入侵檢測工作的一部分。見功能使用頁面（man capabilities）了解更多信息。

文件創(chuàng)建屏蔽

創(chuàng)建一個新文件時，創(chuàng)建進(jìn)程就會指明新文件的權(quán)限。通常，所需的模式是 0666，它使文件可由任何人讀和寫。目錄默認(rèn)為 0777。但是，這個寬松的創(chuàng)建會受到 umask 值的影響，這個值指明了用戶不想自動授予新創(chuàng)建的文件或者目錄什么權(quán)限。系統(tǒng)使用 umask 值來減少原始請求的權(quán)限。您可以使用 umask 查看 umask 設(shè)置，如清單 14清單 14 所示。

清單 14. 顯示八進(jìn)制 umask

				
[ian@echidna ~]$ umask
0002

請記得，umask 指定了那個權(quán)限不被授予。在 Linux 系統(tǒng)上，用戶沒有專用組的的情況下，umask 通常默認(rèn)為 0022，它可以從新文件中刪除組和其他寫權(quán)限。用戶有專用組的情況下（例如這些例子中使用的在 Fedora 系統(tǒng)上），umask 通常默認(rèn)為 0002，它刪除了其他用戶的寫權(quán)限。使用 -S 選項來從符號上顯示 umask，以顯示哪個權(quán)限被允許的形式。

使用 umask 命令設(shè)置一個 unmask 并顯示。所以，如果您想要保持文件更專有，并且不允許所有組或者其他人訪問新創(chuàng)建的文件，就是可以使用 umask 值 0077?；蛘邚姆柹?，使用 umask u=rwx,g=,o= 進(jìn)行設(shè)置，如清單 15清單 14 所示。

清單 15. 設(shè)置 umask

				
[ian@echidna ~]$ umask -S
u=rwx,g=rwx,o=rx
[ian@echidna ~]$ umask u=rwx,g=,o=
[ian@echidna ~]$ umask
0077
[ian@echidna ~]$ touch newfile
[ian@echidna ~]$ ls -l newfile
-rw-------. 1 ian ian 0 Nov 30 15:40 newfile

設(shè)置文件所有者和組

文件組

要變更文件的組，使用 chgrp 命令和組名，以及一個或者多個文件名。如果您喜歡，還可以使用組編號。普通用戶必須擁有文件，同時是文件要變更到的組的組員。root 用戶可以將文件變更到任意組。清單 16清單 16 顯示了一個例子。

清單 16. 變更組的所有權(quán)

				
[ian@echidna ~]$ touch file{1,2}
[ian@echidna ~]$ ls -l file*
-rw-rw-r--. 1 ian ian 0 Nov 30 15:54 file1
-rw-rw-r--. 1 ian ian 0 Nov 30 15:54 file2
[ian@echidna ~]$ chgrp development file1
[ian@echidna ~]$ chgrp 505 file2
[ian@echidna ~]$ ls -l file*
-rw-rw-r--. 1 ian development 0 Nov 30 15:54 file1
-rw-rw-r--. 1 ian development 0 Nov 30 15:54 file2

正如該教程中的許多其他命令，chgrp 有一個 -R 選項，允許將變更遞歸應(yīng)用到所有所選的的文件和子目錄中。

默認(rèn)組

當(dāng)您學(xué)習(xí)之前的 訪問模式 時，您就了解了在目錄上設(shè)置 sgid 模式如何導(dǎo)致創(chuàng)建在該目錄下的新文件屬于目錄的組，而不是屬于創(chuàng)建該文件的用戶所在的組。

您還可以使用 newgrp 命令來暫時地將您的初級組變更到您所在的其他組。創(chuàng)建一個新的 shell，當(dāng)您退出 shell 時，之前的組就能恢復(fù)，如清單 17清單 17 所示。

清單 17. 使用 newgrp 來暫時改變默認(rèn)組

				
[ian@echidna ~]$ groups
ian development editor
[ian@echidna ~]$ newgrp development
[ian@echidna ~]$ groups
development ian editor
[ian@echidna ~]$ touch file3
[ian@echidna ~]$ ls -l file3
-rw-r--r--. 1 ian development 0 Nov 30 16:00 file3
[ian@echidna ~]$ exit
[ian@echidna ~]$ groups
ian development editor

文件所有者

root 用戶可以使用 chown 命令變更文件的所有權(quán)。在它最簡單的形式中，語法和 chgrp 命令類似，除了使用用戶名或者數(shù)字 id，而不是組名或者 id。文件的組也可能通過在用戶名或者 id 之后添加一個冒號和組名或者 id 來同時變更。如果只有給出冒號，那么就使用用戶的默認(rèn)組。一般來說，-R 選項會遞歸地應(yīng)用變更。清單 18清單 18 給出了一個例子。

清單 18. 使用 chown 變更文件所有權(quán)

				
[ian@echidna ~]$ touch file4
[ian@echidna ~]$ su -
Password: 
[root@echidna ~]# ls -l ~ian/file4
-rw-rw-r--. 1 ian ian 0 Nov 30 16:04 /home/ian/file4
[root@echidna ~]# chown greg ~ian/file4
[root@echidna ~]# ls -l ~ian/file4
-rw-rw-r--. 1 greg ian 0 Nov 30 16:04 /home/ian/file4
[root@echidna ~]# chown tom:gretchen ~ian/file4
[root@echidna ~]# ls -l ~ian/file4
-rw-rw-r--. 1 tom gretchen 0 Nov 30 16:04 /home/ian/file4
[root@echidna ~]# chown :tom ~ian/file4
[root@echidna ~]# ls -l ~ian/file4
-rw-rw-r--. 1 tom tom 0 Nov 30 16:04 /home/ian/file4

指定用戶和組的較早版本使用點，而不是冒號。因為當(dāng)名稱中包含點時，這個可能會造成誤解，所以已經(jīng)不再推薦。

Linux 上的文件和目錄權(quán)限介紹就到此為止。