如何在Linux下使用chmod和chown管理权限？文件权限设置的完整教程-LINUX-PHP中文网

Linux文件权限管理核心是chmod和chown命令。chmod用于修改文件或目录的访问权限，支持符号模式（如u+x）和八进制模式（如755），分别适用于权限的增量调整和整体设置；chown用于更改文件的用户和组所有者，常用于Web服务部署或团队协作中的所有权调整。诊断权限问题时，通过ls -l查看权限、id确认用户身份、检查父目录权限，并结合chmod与chown修复。此外，Linux还提供SUID、SGID、Sticky Bit及ACL等高级权限机制，以支持更精细的访问控制。

如何在linux下使用chmod和chown管理权限？文件权限设置的完整教程

在Linux系统里，管理文件和目录的权限，其实就是围绕着两个核心命令展开的：

chmod

登录后复制

和

chown

登录后复制

。简单来说，

chmod

登录后复制

（change mode）负责修改文件或目录的访问权限，决定谁能读、写、执行。而

chown

登录后复制

（change owner）则用来更改文件或目录的所有者，包括用户所有者和组所有者。掌握它们，你就掌握了Linux文件安全与协作的基础。

解决方案

Linux的文件权限管理是个精细活，

chmod

登录后复制

和

chown

登录后复制

就是你的两把瑞士军刀。

理解

chmod

登录后复制

：权限的雕塑家

chmod

登录后复制

命令用于修改文件或目录的权限。权限主要分为三类：读（read, r）、写（write, w）、执行（execute, x）。这些权限又分别赋予给三类主体：文件所有者（user, u）、文件所属组（group, g）、其他用户（others, o）。还有一个“所有（all, a）”的快捷方式。

符号模式（Symbolic Mode）：这种方式更直观，你可以增减或设置特定的权限。
- ```
u
```
  登录后复制
  (user),
```
g
```
  登录后复制
  (group),
```
o
```
  登录后复制
  (others),
```
a
```
  登录后复制
  (all)
- ```
+
```
  登录后复制
  (添加权限),
```
-
```
  登录后复制
  (移除权限),
```
=
```
  登录后复制
  (设置权限)
- ```
r
```
  登录后复制
  (read),
```
w
```
  登录后复制
  (write),
```
x
```
  登录后复制
  (execute)
示例：
- ```
chmod u+x myscript.sh
```
  登录后复制
  ：给文件所有者添加执行权限。
- ```
chmod go-w mydocument.txt
```
  登录后复制
  ：移除组用户和其他用户的写权限。
- ```
chmod a=rw- myconfig.conf
```
  登录后复制
  ：将所有用户的权限都设置为读写，不给执行权限。
- ```
chmod -R g+w myproject/
```
  登录后复制
  ：递归地给
```
myproject
```
  登录后复制
  目录下所有文件和子目录的组用户添加写权限。
八进制模式（Octal Mode）：这是一种更紧凑、更常用的方式，通过数字来表示权限。每个权限都有一个对应的数值：
- ```
r
```
  登录后复制
  = 4
- ```
w
```
  登录后复制
  = 2
- ```
x
```
  登录后复制
  = 1
- 没有权限 = 0
将这三个数值相加，就得到一个数字来代表某类主体的权限。
- 读写执行 (rwx) = 4 + 2 + 1 = 7
- 读写 (rw-) = 4 + 2 + 0 = 6
- 读执行 (r-x) = 4 + 0 + 1 = 5
- 只读 (r--) = 4 + 0 + 0 = 4
然后，按“所有者-所属组-其他用户”的顺序排列这三个数字。

示例：
- ```
chmod 755 myscript.sh
```
  登录后复制
  ：所有者有读写执行权限，组用户和其他用户只有读和执行权限。这是给可执行脚本的常见设置。
- ```
chmod 644 mydocument.txt
```
  登录后复制
  ：所有者有读写权限，组用户和其他用户只有读权限。这是给普通文本文件的常见设置。
- ```
chmod 777 mytempdir/
```
  登录后复制
  ：所有人都有读写执行权限。这个权限通常不推荐，因为它意味着任何人都可以对文件进行任何操作，存在安全隐患。

理解

chown

登录后复制

：所有权的掌控者

chown

登录后复制

命令用于更改文件或目录的用户所有者和/或组所有者。

更改用户所有者：
```
chown newuser filename
```
登录后复制
示例：
```
chown alice report.pdf
```
登录后复制
更改组所有者：
```
chown :newgroup filename
```
登录后复制
或
```
chgrp newgroup filename
```
登录后复制
(
```
chgrp
```
登录后复制
是专门更改组的命令，功能上与
```
chown :group
```
登录后复制
类似)。 示例：
```
chown :devteam project_plan.md
```
登录后复制
或
```
chgrp devteam project_plan.md
```
登录后复制
同时更改用户和组所有者：
```
chown newuser:newgroup filename
```
登录后复制
示例：
```
chown bob:webusers index.html
```
登录后复制
递归更改：
```
chown -R newuser:newgroup directory/
```
登录后复制
：递归地更改目录及其内容的拥有者。 示例：
```
chown -R www-data:www-data /var/www/html
```
登录后复制
，这是部署Web应用时非常常见的操作。

如何理解chmod中的数字模式（八进制）与符号模式，何时选择哪种方式？

在Linux权限管理的世界里，

chmod

登录后复制

的数字模式和符号模式就像是两种不同的语言，虽然都能表达相同的意思，但在特定情境下，一种会比另一种更有效率或更清晰。

数字模式（八进制）： 我个人觉得，数字模式更像是一种“状态快照”。你用一个三位或四位的八进制数，直接定义了文件所有者、所属组和其他用户的最终权限状态。

核心逻辑： 每个权限（读r、写w、执行x）对应一个数值（4、2、1）。将需要的权限数值相加，得到该类主体的权限总和。
- ```
rwx
```
  登录后复制
  = 4+2+1 = 7
- ```
rw-
```
  登录后复制
  = 4+2+0 = 6
- ```
r-x
```
  登录后复制
  = 4+0+1 = 5
- ```
r--
```
  登录后复制
  = 4+0+0 = 4
表示方式：
```
chmod [所有者权限][组权限][其他用户权限] 文件名
```
登录后复制
- 比如
```
chmod 755 script.sh
```
  登录后复制
  ，意味着所有者有rwx，组用户有r-x，其他用户有r-x。
优点： 简洁、直观，一眼就能看出最终权限状态。对于常见的权限组合，如
```
755
```
登录后复制
（可执行脚本）、
```
644
```
登录后复制
（普通文件）、
```
700
```
登录后复制
（私密目录），记忆和使用起来非常方便。当你需要一次性设置一个明确的权限状态时，数字模式是首选。
缺点： 如果不熟悉八进制与权限的对应关系，可能会有点抽象。而且，如果你只想在现有权限基础上做微调（比如只给组添加一个写权限），你需要先知道当前权限，然后计算出新的八进制数，这反而增加了复杂度。

符号模式（Symbolic Mode）： 符号模式则更像是一种“操作指令”。它允许你在现有权限的基础上进行增（+）、减（-）或精确设置（=）。

核心逻辑：
- 主体：
```
u
```
  登录后复制
  (user),
```
g
```
  登录后复制
  (group),
```
o
```
  登录后复制
  (others),
```
a
```
  登录后复制
  (all)。
- 操作：
```
+
```
  登录后复制
  (添加),
```
-
```
  登录后复制
  (移除),
```
=
```
  登录后复制
  (精确设置)。
- 权限：
```
r
```
  登录后复制
  (read),
```
w
```
  登录后复制
  (write),
```
x
```
  登录后复制
  (execute)。
表示方式：
```
chmod [主体][操作][权限] 文件名
```
登录后复制
- 比如
```
chmod u+x script.sh
```
  登录后复制
  ，表示给文件所有者添加执行权限。
- ```
chmod go-w mydocument.txt
```
  登录后复制
  ，表示移除组用户和其他用户的写权限。
- ```
chmod a=rw- myconfig.conf
```
  登录后复制
  ，表示将所有用户的权限精确设置为读写。
优点： 灵活、易读，特别适合在不改变其他权限的情况下，对特定主体进行微调。比如，你发现一个脚本缺少执行权限，直接
```
chmod u+x
```
登录后复制
就好，不用关心它原先是
```
644
```
登录后复制
还是
```
600
```
登录后复制
。在脚本中，这种方式也更容易理解其意图。
缺点： 如果需要设置复杂的权限组合，可能会写一长串指令，不如数字模式简洁。例如，要设置
```
755
```
登录后复制
，符号模式可能是
```
chmod u=rwx,go=rx
```
登录后复制
，相比
```
chmod 755
```
登录后复制
显得冗长。

何时选择哪种方式？

选择数字模式：
- 当你需要一次性设置一个全新的、标准的权限状态时，比如创建新文件或部署服务文件时。
- 当你对权限组合非常熟悉，能快速计算出对应的八进制数时。
- 在自动化脚本中，数字模式通常更简洁和可靠，因为它的结果是确定的，不受文件原有权限的影响。
选择符号模式：
- 当你需要在现有权限基础上进行局部修改时，比如只添加或移除某个特定权限。
- 当你不确定文件当前权限，但只想确保某个用户拥有或不拥有某个权限时。
- 在交互式命令行中，进行快速、增量调整时，符号模式通常更方便。

我的经验是，日常工作中，数字模式和符号模式会交替使用。对于像

登录后复制

、

登录后复制

这样的常用权限，我更倾向于数字模式。但如果只是为了解决某个特定用户的访问问题，或者给一个目录临时添加写权限，符号模式的灵活性就体现出来了。理解这两种模式的内在逻辑，并根据实际场景灵活选择，才是真正的精髓。

当文件权限设置不当导致访问问题时，我该如何诊断和修复？

文件权限问题在Linux系统里简直是家常便饭，尤其是在部署新应用、配置服务或者团队协作时。那种“Permission denied”的错误信息，相信每个Linux用户都遇到过。诊断和修复这类问题，其实有一套相对固定的思路。

无限画

千库网旗下AI绘画创作平台

查看详情

诊断步骤：

错误信息分析：
- 首先，仔细阅读错误信息。它通常会告诉你哪个文件或目录无法访问，以及是“Permission denied”还是“No such file or directory”等。如果是后者，那可能就不是权限问题，而是路径或文件本身不存在。
- 例如，
```
bash: ./script.sh: Permission denied
```
  登录后复制
  意味着你没有执行
```
script.sh
```
  登录后复制
  的权限。
- ```
cat /var/log/nginx/access.log: Permission denied
```
  登录后复制
  意味着你没有读取这个日志文件的权限。
检查文件/目录的权限和所有者：
```
ls -l
```
登录后复制
- 这是最核心的诊断工具。运行
```
ls -l /path/to/problem/file_or_directory
```
  登录后复制
  。
- 输出的第一列会显示权限字符串（如
```
-rwxr-xr-x
```
  登录后复制
  ），第二列是链接数，第三列是用户所有者，第四列是组所有者，第五列是文件大小。
- 分析权限字符串：
  - 第一个字符：
```
d
```
    登录后复制
    表示目录，
```
-
```
    登录后复制
    表示文件，
```
l
```
    登录后复制
    表示符号链接。
  - 接下来的九个字符分为三组，分别代表用户所有者、组所有者、其他用户的读（r）、写（w）、执行（x）权限。
  - 示例：
```
-rw-r--r--
```
    登录后复制
    表示所有者有读写，组用户和其他用户只有读。
  - 示例：
```
drwxr-xr-x
```
    登录后复制
    表示目录所有者有读写执行，组用户和其他用户有读执行。
- 分析所有者和所属组： 确认文件或目录的用户所有者和组所有者是否是你期望的。比如，一个Web服务器要访问的文件，通常应该由
```
www-data
```
  登录后复制
  用户或组拥有。
检查当前用户的身份：
```
id
```
登录后复制
和
whoami
登录后复制
- ```
whoami
```
  登录后复制
  ：告诉你当前你登录的用户是谁。
- ```
id
```
  登录后复制
  ：显示当前用户的用户ID（UID）、主组ID（GID）以及所属的所有附加组。
- 关键： 你的用户必须是文件所有者，或者属于文件所属组，或者作为“其他用户”拥有相应的权限，才能访问。如果文件权限是
```
640
```
  登录后复制
  （
```
rw-r-----
```
  登录后复制
  ），而你既不是所有者也不是所属组的成员，那么你作为“其他用户”就没有读权限。
检查父目录权限：
- 一个常见的误区是只检查文件本身的权限。如果父目录没有足够的权限（例如，没有执行权限，导致你无法“进入”该目录），即使文件本身权限正确，你也无法访问。
- 对于目录，
```
x
```
  登录后复制
  （执行）权限意味着你可以
```
cd
```
  登录后复制
  进入该目录并列出其内容（如果也有
```
r
```
  登录后复制
  权限）。
```
w
```
  登录后复制
  （写）权限意味着你可以在该目录中创建、删除或重命名文件。
- 示例： 即使
```
/var/www/html/index.html
```
  登录后复制
  有
```
644
```
  登录后复制
  权限，如果
```
/var/www/html
```
  登录后复制
  目录没有
```
x
```
  登录后复制
  权限，Web服务器可能也无法访问
```
index.html
```
  登录后复制
  。
尝试以不同用户身份访问：
```
sudo -u
```
登录后复制
- 如果你怀疑是某个特定用户（比如Web服务器用户
```
www-data
```
  登录后复制
  ）无法访问，可以尝试用
```
sudo -u www-data cat /path/to/file
```
  登录后复制
  来模拟该用户的访问，看是否能复现问题。这能帮助你精确地定位问题出在哪个用户身上。

修复步骤：

调整文件/目录权限：
```
chmod
```
登录后复制
- 根据诊断结果，使用
```
chmod
```
  登录后复制
  命令调整权限。
- 场景一：缺少执行权限。
  - 问题： 脚本无法运行，提示
```
Permission denied
```
    登录后复制
    。
  - 修复：
```
chmod u+x script.sh
```
    登录后复制
    或
```
chmod 755 script.sh
```
    登录后复制
    。
- 场景二：文件无法读取。
  - 问题： 用户无法查看文件内容。
  - 修复：
```
chmod go+r filename
```
    登录后复制
    或
```
chmod 644 filename
```
    登录后复制
    。
- 场景三：目录无法进入或列出。
  - 问题：
```
cd
```
    登录后复制
    进入目录失败或
```
ls
```
    登录后复制
    看不到内容。
  - 修复：
```
chmod go+rx directory/
```
    登录后复制
    或
```
chmod 755 directory/
```
    登录后复制
    。
- 场景四：Web服务器无法写入日志或上传文件。
  - 问题： 应用程序报错无法创建文件。
  - 修复：
```
chmod g+w upload_directory/
```
    登录后复制
    或
```
chmod 775 upload_directory/
```
    登录后复制
    。注意，
```
777
```
    登录后复制
    权限要慎用，因为它允许所有人进行写操作，存在安全风险。
调整文件/目录所有者或所属组：
```
chown
```
登录后复制
/
chgrp
登录后复制
- 如果文件或目录的所有者或所属组不正确，即使权限设置得当，也可能导致访问问题。
- 场景一：Web服务器用户无法访问文件。
  - 问题： 文件由
```
root
```
    登录后复制
    拥有，
```
www-data
```
    登录后复制
    用户无权访问。
  - 修复：
```
chown www-data:www-data /var/www/html/index.html
```
    登录后复制
    。对于整个目录，使用
```
chown -R www-data:www-data /var/www/html/
```
    登录后复制
    。
- 场景二：团队成员无法协作。
  - 问题： 文件由某个用户拥有，其他团队成员无法修改。
  - 修复： 将文件所属组改为团队共享组，并设置组写权限。
```
chown :devteam project_file.txt
```
    登录后复制
    ，然后
```
chmod g+w project_file.txt
```
    登录后复制
    。
检查其他高级权限或安全机制（可选）：
- ACL (Access Control Lists)： 如果常规权限看起来没问题，但仍然遇到问题，可能是ACL在起作用。
```
getfacl filename
```
  登录后复制
  可以查看ACL，
```
setfacl
```
  登录后复制
  可以修改。
- SELinux/AppArmor： 这些是更高级别的安全机制，它们可以在文件系统权限之外提供额外的访问控制。如果它们被启用并配置严格，即使文件权限看起来开放，也可能阻止访问。这通常需要查看系统日志（如
```
/var/log/audit/audit.log
```
  登录后复制
  或
```
dmesg
```
  登录后复制
  ）来诊断。对于初学者，我建议先排除
```
chmod
```
  登录后复制
  /
```
chown
```
  登录后复制
  的问题。