Shell编程中chmod命令使用详解

chmod（change mode）是Linux/Unix系统中用于修改文件或目录权限的核心命令。掌握chmod是Shell编程和系统管理的基本功。本文将全面解析chmod的使用方法。

一、权限基础概念

1.1 权限三类对象

• • u（user）：文件所有者
• • g（group）：所属用户组
• • o（others）：其他用户
• • a（all）：所有人（u+g+o）

1.2 三种基本权限

• • r（read）：读取权限（值=4）
• • w（write）：写入权限（值=2）
• • x（execute）：执行权限（值=1）

二、chmod语法结构

chmod [选项] 模式 文件/目录

三、权限表示方法

3.1 符号模式（Symbolic Mode）

格式：[who][operator][permission]

操作符：

• • +：添加权限
• • -：移除权限
• • =：设置精确权限

# 示例chmod u+x script.sh      # 给所有者添加执行权限chmod g-w file.txt       # 移除组的写入权限chmod o=r-- config.ini   # 设置其他用户只读chmod a+rwx public_dir   # 所有人读写执行chmod u=rwx,g=rx,o=r file.sh  # 所有者rwx，组rx，其他r

3.2 八进制模式（Octal Mode）

使用0-7的数字组合表示权限，每位数字是rwx值的和：

# 权限对应表0 = --- (无权限)1 = --x (执行)2 = -w- (写入)3 = -wx (写入+执行)4 = r-- (只读)5 = r-x (读+执行)6 = rw- (读+写)7 = rwx (全部权限)# 常用组合chmod 755 script.sh      # rwxr-xr-x (所有者全部，组和其他只读执行)chmod 644 document.txt   # rw-r--r-- (所有者读写，组和其他只读)chmod 700 private_key    # rwx------ (仅所有者可读写执行)chmod 600 secret.txt     # rw------- (仅所有者可读写)chmod 777 public_dir     # rwxrwxrwx (所有人全部权限 - 慎用！)

四、常用选项

-c, --changes          # 只在有更改时显示信息-f, --silent, --quiet  # 不显示错误信息-v, --verbose          # 显示详细的处理信息-R, --recursive        # 递归处理子目录--reference=文件       # 参考指定文件的权限

五、实际应用示例

5.1 脚本文件授权

# 给脚本添加执行权限chmod +x deploy.sh# 设置安全的脚本权限chmod 755 /usr/local/bin/myscript

5.2 配置文件保护

# 只允许所有者修改chmod 600 ~/.ssh/id_rsachmod 644 ~/.ssh/id_rsa.pub# 保护系统配置文件chmod 644 /etc/nginx/nginx.conf

5.3 目录权限设置

# 创建共享目录（所有者可写，其他人可读）chmod 755 /var/www/html# 创建协作目录（组内可写）chmod 775 /opt/project/src# 禁止其他用户访问chmod 750 /opt/secret_project

5.4 递归批量修改

# 递归修改目录及内部所有文件权限chmod -R 755 /path/to/project# 只给目录添加执行权限（不修改文件）find /path/to/project -type d -execchmod 755 {} \;# 只给文件添加执行权限find /path/to/bin -type f -execchmod +x {} \;

六、特殊权限

6.1 SUID（Set User ID）

chmod u+s /usr/bin/myapp    # 权限显示为 rwsr-xr-xchmod 4755 /usr/bin/myapp   # 4表示SUID

• • 以文件所有者的身份执行程序
• • 安全风险高，谨慎使用

6.2 SGID（Set Group ID）

chmod g+s /path/to/dir      # 权限显示为 rwxr-sr-xchmod 2755 /path/to/dir     # 2表示SGID

• • 以文件组身份执行程序
• • 目录中新建文件继承父目录的组

6.3 Sticky Bit（粘滞位）

chmod o+t /tmp              # 权限显示为 rwxrwxrwtchmod 1777 /tmp             # 1表示Sticky Bit

• • 只有文件所有者才能删除/重命名
• • 常用于共享目录如/tmp

七、高级技巧

7.1 参考文件设置权限

chmod --reference=ref_file target_file

7.2 批量修改技巧

# 给当前目录所有.sh文件添加执行权限chmod +x *.sh# 移除所有用户对某目录的写权限chmod -R a-w /path/to/backup

7.3 权限检查与验证

# 查看权限ls -l filename# 计算当前八进制权限stat -c "%a" filename

八、最佳实践

1. 1. 最小权限原则：只授予必要的权限
2. 2. 避免使用777：除非确实需要，否则不要使用chmod 777
3. 3. 脚本默认权限：推荐755（可执行）或644（配置文件）
4. 4. 敏感文件：私钥、密码文件应使用600
5. 5. Web目录：通常设置755，文件644
6. 6. 测试确认：使用-v选项确认修改结果
7. 7. 备份重要数据：修改前备份关键文件

# 安全的Web项目权限设置示例find /var/www -type d -execchmod 755 {} \;  # 目录find /var/www -type f -execchmod 644 {} \;  # 文件chmod 600 /var/www/.env                      # 敏感配置

九、常见错误与排查

# 错误：Operation not permitted# 原因：非文件所有者或root用户# 解决：使用sudo或切换所有者# 错误：Permission denied# 原因：对父目录没有执行权限# 解决：检查并修正父目录权限# 问题：修改后权限自动恢复# 原因：ACL或SELinux策略限制# 解决：检查setfacl和SELinux上下文

十、总结

chmod是Linux权限管理的基础工具，理解符号模式和八进制模式的区别与适用场景至关重要。在实际工作中，应始终遵循最小权限原则，谨慎使用递归和特殊权限，确保系统安全。

权限速查表：

常用组合：755 = rwxr-xr-x  (标准脚本)644 = rw-r--r--  (标准文件)700 = rwx------  (所有者私有)600 = rw-------  (敏感文件)750 = rwxr-x---  (组协作)

掌握chmod命令，你将能够精确控制文件访问权限，构建安全可靠的Linux环境。