linux中chmod,chown,chgrp命令文件安全与权限

时间:2021-04-20 16:40:41
chmod 改变权限位
分为符号模式和绝对模
符号模式的一般格式:
chmod [who] operator [permission] filename
who的含义
u 文件属主权限。
g 属组用户权限。
o 其他用户权限。
a 所有用户(文件属主、属组用户及其他用户)
operator的含义
+ 增加权限。
– 取消权限。
= 设定权限
permission的含义
r 读权限。
w 写权限。
x 执行权限。
s 文件属主和组set-ID。
t 粘性位*。
l 给文件加锁,使其他用户无法访问。
u,g,o 针对文件属主、属组用户及其他用户的操作
*在列文件或目录时,有时会遇到“ t”位。“t”代表了粘性位。如果在一个目录上出现
“t”位,这就意味着该目录中的文件只有其属主才可以删除,即使某个属组用户具有和属
主同等的权限。不过有的系统在这一规则上并不十分严格。
如果在文件列表时看到“ t”,那么这就意味着该脚本或程序在执行时会被放在交换区(虚
存)。
chmod a-x test //rw- rw- rw- 收回所有用户的执行权限
chmod og-w test //rw- r– r– 收回属组用户和其他用户的写权限
chmod g+w test //rw- rw- r– 赋予属组用户写权限
chmod u+x test //rwx rw- r– 赋予文件属主执行权限
chmod go+x test //rwx rwx r-x 赋予属组用户和其他用户执行权限
chmod 777 rwx rwx rwx 赋予所有用户读、写、执行的权限
文件类型
d 目录。
l 符号链接(指向另一个文件)。
s 套接字文件。
b 块设备文件。
c 字符设备文件。
p 命名管道文件。
– 普通文件
文件的权限位
-rw-r–r-
rw-:前三位,文件属主可读、写
r–:中间三位,组用户可读
r–:最后三位,其他用户只可读
文件与目录的权限
root默认建立文件的权限就是666-022=644   建立的目录权限就是777-022=755
一般用户默认建立文件权限是666-002=664   建立目录权限是777-002=775
绝对模式的一般格式:
chmod [mode] file
其中m o d e是一个八进制数。 在绝对模式中,权限部分有着不同的含义。每一个权限位
用一个八进制数来代表,如
0 4 0 0 文件属主可读 
0 2 0 0 文件属主可写 
0 1 0 0 文件属主可执行 
0 0 4 0 属组用户可读 
0 0 2 0 属组用户可写 
0 0 1 0 属组用户可执行
0 0 0 4 其他用户可读 
0 0 0 2 其他用户可写 
0 0 0 1 其他用户可执行
在设定权限的时候,只需按照上面查出与文件属主、属组用户和其他用户所具有的权限相
对应的数字,并把它们加起来,就是相应的权限表示。 可以看出,文件属主、属组用户和
其他用户分别所能够具有的最大权限值就是7。 再来看看前面举的例子:
-rwxr–r– 1 root 0 10月 19 20:16 test
相应的权限是:
rwx-:0400 + 0200 +0100 (文件属主可读、写、执行) = 0 7 0 0
r–:0 0 4 0 (属组用户可读) = 0 0 4 0 
r–:0 0 4 0 (属组用户可读) = 0 0 4 0 0 7 4 4
有一个计算八进制权限表示的更好办法,如下:
文件属主:r w x:4 + 2 + 1 
属组用户:r w x:4 + 2 + 1 
其他用户:r w x:4 + 2 + 1
像上面这样,更容易地计算出相应的权限值,只要分别针对文件属主、属组用户和其他用
户把相应权限下面的数字加在一起就可以了。 test文件具有这样的权限:
r w x r – – r – –
4+2+1 4 4
把相应权限位所对应的值加在一起,就是7 4 4。 如:
chmod 666 rw- rw- rw- 赋予所有用户读和写的权限 
chmod 644 rw- r– r- – 赋予所有文件属主读和写的权限,所有其他用户读权限 
chmod 744 rwx r– r- – 赋予文件属主读、写和执行的权限,所有其他用户读的权限 
chmod 664 rw- rw- r- – 赋予文件属主和属组用户读和写的权限,其他用户读权限 
chmod 700 rwx — — 赋予文件属主读、写和执行的权限
chmod 444 r– r– r- – 赋予所有用户读权限
下面举一个例子,假定有一个名为test的文件,具有如下权限:
-rw-rw-r– 1 root 0 10月 19 20:16 test1
现在希望对该文件可读、写和执行, root组用户对该文件只读,可以键入:
=================================
chgrp变更文件或目录的所属群组
命令的一般形式:
chgrp -R -h owner file
– R(recursive)选项意味着对所有子目录下的文件也都进行同样的操作。
– h选项意味着在改变符号链接文件的属主时不影响该链接所指向的目标文件
chgrp -R a test1 (test1目录及子目录的所有文件组变为a)
# ls -l 
drwxrwxr-x 2 gem sam 4096 10月 26 19:48 sam 
# chgrp group sam 
# ls -l 
drwxrwxr-x 2 gem group 4096 10月 26 19:48 sam
现在把该文件sam所属的组由sam变为group。
查找自己所属用户组
# su sam
$ id
uid=506(sam) gid=4(adm) groups=4(adm)


查找其他用户所属组
# id 
uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4
(adm),6(disk),10(wheel) 
查看当前用户所属组
# id gem 
uid=507(gem) gid=507(group) groups=507(group),0(root),4(adm)
查看其它用户所用组:#id 用户名
# su sam 
$ id gem 
uid=507(gem) gid=507(group) groups=507(group),0(root),4(adm) 
查看其它用户所属组
=================================
umask
当最初登录到系统中时,umask命令确定了你创建文件的缺省模式。这一命令实际上和
chmod命令正好相反。你的系统管理员必须要为你设置一个合理的umask值,以确保你创建
的文件具有所希望的缺省权限,防止其他非同组用户对你的文件具有写权限。
在已经登录之后,可以按照个人的偏好使用umask命令来改变文件创建的缺省权限。相应
的改变直到退出该shell或使用另外的umask命令之前一直有效。
一般来说,umask命令是在/etc/profile文件中设置的,每个用户在登录时都会引用这个
文件,所以如果希望改变所有用户的umask,可以在该文件中加入相应的条目。如果希望
永久性地设置自己的umask值,那么就把它放在自己$HOME目录下的.profile
或.bash_profile文件中。
如何计算umask值 
umask命令允许你设定文件创建时的缺省模式,对应每一类用户(文件属主、属组、其他用
户)存在一个相应的umask值中的数字。对于文件来说,这一数字的最大值分别是6。系统
不允许你在创建一个文本文件时就赋予它执行权限,必须在创建后用chmod命令增加这一
权限。目录则允许设置执行权限,这样针对目录来说,umask中各个数字最大可以到7。
该命令的一般形式为:
umask nnn
其中nnn为umask置0 0 0 – 7 7 7。
计算umask值:
可以有几种计算umask值的方法,通过设置umask值,可以为新创建的文件和目录设置缺省
权限。
与权限位相对应的umask值。
umask 文件 目录 
0 6 7 
1 6 6 
2 4 5
3 4 4 
4 2 3 
5 2 2 
6 0 1 
7 0 0
在计算umask值时,可以针对各类用户分别按上面那张表中按照所需要的文件/目录创建缺
省权限查找对应的umask值。
例如,umask值
0 6 7 
0 6 7 
2 4 5
所以002所对应的文件和目录创建缺省权限分别为664和775。
还有另外一种计算umask值的方法。我们只要记住umask是从权限中“拿走”相应的位即可

umask 文件 目录 
0 6 7 
1 6 6 
2 4 5 
3 4 4 
4 2 3 
5 2 2 
6 0 1 
7 0 0
例如,对于umask值002,相应的文件和目录缺省创建权限是什么呢?
第一步,我们首先写下具有全部权限的模式,即777(所有用户都具有读、写和执行权限)
。 
第二步,在下面一行按照umask值写下相应的位,在本例中是002。 
第三步,在接下来的一行中记下上面两行中没有匹配的位。这就是目录的缺省创建权限。
稍加练习就能够记住这种方法。 
第四步,对于文件来说,在创建时不能具有文件权限,只要拿掉相应的执行权限比特即可

这就是上面的例子,其中umask值为002:
1) 文件的最大权限rwx rwx rwx (777) 
2) umask值为0 0 2 – – – – – – -w- 
3) 目录权限rwx rwx r-x (775) 这就是目录创建缺省权限
4) 文件权限rw- rw- r– (664) 这就是文件创建缺省权限
下面是另外一个例子,假设这次umask值为022:
1) 文件的最大权限rwx rwx rwx (777) 
2) umask值为022 – – – -w- -w- 
3) 目录权限rwx r-x r-x (755) 这就是目录创建缺省权限 
4) 文件权限rw- r– r– (644) 这就是文件创建缺省权限
如果想知道当前的umask 值,可以使用u m a s k命令:
#su sam /*切换到sam用户玩境下 
#umask /*查看sam的umask 
0022 
前面多了个0,是suid/guid的
$ touch file1 
$ mkdir file2 
$ ls -l 
总用量 8 
-rw-r–r– 1 sam adm 0 10月 30 19:27 file1 
drwxr-xr-x 2 sam adm 4096 10月 30 19:28 file2
新建文件file1和目录file2,查看新建文件和目录的默认权限,umask为022时 目录权限
rwx r-x r-x (755) 文件权限rw- r– r– (644)
更改umask默认值由022至002
$ umask 002 
$ touch file3 
$ ls -l 
总用量 12 
-rw-r–r– 1 sam adm 0 10月 30 19:27 file1 
drwxr-xr-x 2 sam adm 4096 10月 30 19:28 file2 
-rw-rw-r– 1 sam adm 0 10月 30 19:34 file3 
drwxrwxr-x 2 sam adm 4096 10月 30 19:34 file4


可以看到,新建文件和目录的默认权限改变了,umask为002时 
目录权限rwx rwx r-x (775)
文件权限rw- rw- r– (664)
可以看见,$ umask 002已生效
先说一下umask在不同玩境下的不同
1、bash umask [-p] [-S] [mode] 
2、tcsh umask [value]
说明 
当新增文件或目录时,预设的使用权限,由 umask 这个内设值所规定的。 
一般情况下,umask 会被设定在 shell 的启始档案中。
对 bash 的使用者来说,个人的启始档案是 $HOME/.bashrc,使用者可以将 umask 设
定在其中。像 RedHat 9 是放 /etc 之下,档名为 bashrc。 当使用者没有自行设定,
umask 设定值便来自于此系统的默认设定。 tcsh 的个人启始档案为 ~/.tcshrc,系统
设定文件在 /etc/csh.cshrc。
linux 操作系统的角度,完整的权限设定值是四位数字。 第一位数,代表档案或目录的
特殊属性。 4 代表 “suid”﹔2 代表 “sgid”﹔1 代表 “粘滞位 – save text image”
。后三位数,依序代表 “user-档案拥有者”,”group-群组”,”other-其它”。 每一位
数,代表三种权限的叠加,4-读(r),2-写(w),1-执行(x)。被禁止的权限则以0带入。
对 umask 来说,有效的设定值只有后三位数。在 bash 中,虽然可带入四位数字,但第
一个数字,必须为 0。这点请注意。
指令 umask 的设定值以三个八进位的数字“nnn”代表。 
第一个设定数字给使用者自己(owner user), 
第二个则是设定给用使用者所属的群体(group), 
第三个给不属于同群体的其它使用者(other)。 
每一位数字的设定值都是三项不同权限的数值加总,read 权限数值为 4;write 权限数
值为 2;execute 权限数值为 1。 
结合了前三者的权限数值,单一的数字可设定的范围是 0~7;整体的可设定范围是
000~777。
umask 的设定值,对目录,与对档案的实质作用是有差别的。
注意: 当我们设定为 000 时,会得到完全开放的目录权限 777,以及文件权限 666。
为何文件只得到 666 呢?因为文件权限中的 execute 权限已被程序移除,因此,不管
你设定什么 umask 数值,文件都不会出现 execute 权限。
umask 语法如下:
umask who operator permissions
其中,参数的含义如下:
who:表示下列字符中的一个、两个或全部:
u(表示用户权限) 
g(表示组用户权限) 
o(表示其他用户权限) 
a (ugo 的缩写形式)
如果忽略了字符who,operator和permissions 将适用于所有类(等同于a或ugo)。
operator:字符 +、- 或 = 之一:  
+ 增加权限。 
– 取消权限。 
= 设定权限。
permissions:字符或字符组合 r、w、x、rx、wx、rw 或 rwx 之一,用于为相应的
who 和 operator 指定读、写和(或)执行(搜索)权限。 
如果未指定 permissions,则相应的 who 中的现有文件创建模式掩码不会发生更改。
如果在 shell 提示符下设置 umask,它将只适用于当前登录会话中的 shell 和
subshell。但不适用于以后登录的会话。要在登录时自动应用 umask 设置,请将
umask 命令添加到 .profile 文件(对于 POSIX 和 Bourne Shell 用户)或 .login
文件中(对于 C Shell 用户)。
选项说明
bash
-S 
以 “u=rwx,g=rx,o=rx” 这种较人性的格式取代数字显示
-p 
当使用 -p 选项,但 mode 省略,输出格式为 umask mode (可以做为下 umask 指令
使用)。当模式改变成功,或 mode 参数被省略,执行的状态值为 0。否则状态值为 1。
实例说明
bash
首先,让我们先显示目前环境的 umask 设定情况
# umask 0022 #
得到的数值为 “0022”。所以,建立新档案的预设权限是 644,目录则是755。如果不习
惯看数字,我们可以使用 -S 选项来显示设定值
# umask -S u=rwx,g=rx,o=rx 
#
实际建个档案与目录看看
# ls > fileA 
# mkdir dirB 
# ls -l 
总计 8 
drwxr-xr-x 2 root root 4096 12月 21 16:42 dirB 
-rw-r–r– 1 root root 6 12月 21 16:42 fileA 
#
可以看到文件和目录的不同
tcsh 
$ umask 
22 

$ umask 000 
$ umask

$
从以上,我们可以知道,tcsh 简单到连 0 都懒的显示…
要设置 umask 值,使文件所有者具有读写执行权限,属组的其他用户具有只读权限,除
此之外的其他用户没有访问权限 (-rw-r——-),请输入以下内容:
$ umask u=rwx,g=r,o=r 
$ touch file5 
$ mkdir file6 
$ ls -l 
总用量 16 
-rw-r–r– 1 sam adm 0 10月 30 19:48 file5 
drwxr–r– 2 sam adm 4096 10月 30 19:48 file6
要确定当前的 umask 设置,请键入:
$ umask -S u=rwx,g=r,o=r
=================================
符号链接
存在两种不同类型的链接,软链接和硬链接。修改其中一个,硬连接指向的是节点
(inode),而软连接指向的是路径(path)
软链接文件 软链接又叫符号链接,这个文件包含了另一个文件的路径名。可以是任意文件
或目录,可以链接不同文件系统的文件。和win下的快捷方式差不多。链接文件甚至可以链
接不存在的文件,这就产生一般称之为”断链”的问题(或曰“现象”,链接文件甚至可以循
环链接自己。类似于编程语言中的递归。
命令格式:
ln [-s] source_path target_path
硬链接文件
info ln 命令告诉您,硬链接是已存在文件的另一个名字,硬连接的命令是
ln -d existfile newfile
硬链接文件有两个限制
1、不允许给目录创建硬链接;
2、只有在同一文件系统中的文件之间才能创建链接。
对硬链接文件进行读写和删除操作时候,结果和软链接相同。但如果我们删除硬链接文件
的源文件,硬链接文件仍然存在,而且保留了愿有的内容。这时,系统就“忘记”了它曾
经是硬链接文件。而把他当成一个普通文件。修改其中一个,与其连接的文件同时被修改
举例 说明:
$umask 022 
$ cp /etc/httpd/conf/httpd.conf /usr/sam
原来前面做的试验,改变了系统默认的umask值,现在改回来为022, 举个httpd.conf文
件做例 子
$ ln httpd.conf httpd1.conf 
$ ln -s httpd.conf httpd2.conf
第一条为硬链接,第二条为软链接
$ ls -li
总用量 80 
1077669 -rw-r–r– 2 sam adm 34890 10月 31 00:57 httpd1.conf 
1077668 lrwxrwxrwx 1 sam adm 10 10月 31 00:58 httpd2.conf ->
httpd.conf 
1077669 -rw-r–r– 2 sam adm 34890 10月 31 00:57 httpd.conf
可以看到,使用ls -li,软连接只产生了10字节的快捷而已,硬连接却实实在在的的拷贝

对http1.conf进行编辑,可以发现httpd.conf也发生了一样的变化
$ rm httpd.conf
现在删除链接的源文件,来比较不同之处
$ ls -l 
总用量 44 
drw-r–r– 2 sam adm 4096 10月 30 20:14 file6 
-rw-r–r– 1 sam adm 34890 10月 31 00:57 httpd1.conf 
lrwxrwxrwx 1 sam adm 10 10月 31 00:58 httpd2.conf -> httpd.conf
发现,httpd2.conf实际已经不存在了,是断链,而httpd1.conf变也了普通文件
索引节点、硬连接和连接计数 
索引节点inode:
Linux为每个文件分配一个称为索引节点的号码inode,可以将inode简单理解成一个指针
,它永远指向本文件的具体存储位置。系统是通过索引节点(而不是文件名)来定位每一个
文件。
例如: 
假设我们在硬盘当前目录下建立了一个名为mytext文本文件,其内容只有一行:
This is my file.
1、当然这行文字一定是存储在磁盘数据区某个具体位置里(物理上要通过磁头号、柱面号
和扇区号来描述,在本例中假设分别是1、20、30)。 
2、假设其inode是262457,那么系统通过一段标准程序,就能将这个inode转换成存放此
文件的具体物理地址(1磁头、20柱面、30扇区),最终读出文件的内容:“This is my
file.” 
3、所以inode是指向一个文件数据区的指针号码,一个inode对应着系统中唯一的一片物
理数据区,而位于两个不同物理数据区的文件必定分别对应着两个不同的inode号码。
文件拷贝命令与硬链接的区别:
# cp /home/zyd/mytext newfile
在当前工作目录建立了一个新文件newfile,其实际操作主要包括如下三步:
1、在当前目录中增加一个目录项,其文件名域填入newfile,并分配了一个新的inode,
假设是262456。 
2、将原文件(在1磁头、20柱面、30扇区)的内容复制了一份到新的空闲物理块(假设是1磁
头、20柱面、31扇区)。 
3、填写一些其他关键信息,使系统通过这些信息及inode号码可以完成物理地址的转换。
所以文件复制要分配新的inode和新的数据区,虽然两个文件的内容是一样的。
硬连接hardlink:
我们实际使用文件时一般是通过文件名来引用的。通过上面的讨论,我们知道:
1个inode号码肯定和一片完全属于一个文件的数据区一一对应。那么一个文件系统中两个
或更多个不同的文件名能否对应同一个文件呢?答案是肯定的。 我们知道inode号码是记
录在文件名对应的目录项中的,我们可以使两个或多个文件的目录项具有相同的inode值
,实际上就使它们对应着同一个文件。 有几个目录项具有相同的inode号,我们就说这个
文件有几个硬连接(hardlink), 对于普通文件,ls -l命令的连接计数count域的数值
就是本文件拥有的硬连接数。硬连接可以通过ln命令建立,
例如:
# ln /home/zyd/mytext hardlink_mytext
就建立了一个新的文件hardlink_mytext,这个文件的inode同样是262457。建立硬连接
实际上只是增加了一个目录项,但并复制文件数据区,原文件的数据区由两个文件共享。
这一方面能够节约大量磁盘空间,同时可以保证两个文件能同步更新。
‘ls -il’可以显示文件的inode(在下面最左边): 
262456 -rw-rw-r– 1 zyd zyd 17 Nov 3 14:52 newfile 
262457 -rw-rw-r– 2 zyd zyd 17 Nov 3 14:50 hardlink_mytext 
262457 -rw-rw-r– 2 zyd zyd 17 Nov 3 14:50 mytext
连接计数count:
,文件的连接计数域表明本系统*有几个文件目录项的inode和本文件相同,也就是本
文件共有几个硬连接。如上面的例子中hardlink_mytext和mytext文件的count值都是2

那么对于目录,其count域的含义是什么呢?目录的count同样表示共有多少个目录项指向
此目录,不过要详细说明必须进一步解释VFS文件系统的结构,为简单起见,只要这样理解
就行了:(count-2)等于本目录包含的直接子目录数(就是只包括儿子,不包括孙子啦!)

例如:如果一个目录/abc的count域为5,那么/abc目录一定包含3个子目录
进一步说明: 
硬连接文件实际上并不是一种新的文件类型,两个文件互为对方的硬连接。它们应该都是
普通文件(谁能告诉我:其它类型的文件可以硬连接吗?)。两个文件除了名称或/和文件目
录不同外,其它部分完全相同,更改了一个文件,另一个的文件长度、内容、更改时间等
都将相应发生变化,更改了一个文件的权限位mode,另一个也会发生同样的变化。
注意连接计数字段count,互为硬连接的两个文件的count值都是2,表明有两个inode指
向同一文件的inode。
当我们删除其中一个文件时,系统首先将(count-1)->count,如果结果是零,就将其目
录项和数据区都删除,否则只将本目录项删除,数据区仍然保留,仍然可以通过另外的文
件名访问。根据这个特性,可以通过为重要的文件建立硬连接的方法来防止其被误删除。
一个文件系统允许的inode节点数是有限的,如果文件数量太多,即使每个文件都是0字节
的空文件,系统最终也会因为节点空间耗尽而不能再创建文件。所以当发现不能建立文件
时首先要考虑硬盘数据区是否还有空间(可通过du命令),其次还得检查节点空间。
互为硬连接的多个文件必须位于同一个文件系统上。根设备及任何一个需要mount才能挂
接进来的分区、软盘、NFS、光驱等都是一个独立的文件系统,每个文件系统有一个相应的
设备号,不同文件系统中具有相同inode节 点的文件间没有任何联系。系统则通过设备号
和inode号的组合唯一确定一个文件。
Linux之所以能支持多种文件系统,其实是由于Linux提供了一个虚拟文件系统VFS,VFS
作为实际文件系统的上层软件,掩盖了实际文件系统底层的具体结构差异,为系统访问位
于不同文件系统的文件提供了一个统一的接 口。 
实际上许多文件系统并不具备inode结构,其目录结构也和以上的讨论不同,但通过VFS,
系统均为其提供了虚拟一致的inode和目录项结构。 
所以,’ls -il’命令实际显示的inode应该是VFS inode,也就是说,inode是存在于内
存中的数据结构,而不一定是实际的硬盘结构。 
但为Linux量身定做的ext2文件系统具备实际的inode和连接型目录项结构,所以,对于
ext2文件系统,可以认为我们上面讨论的关于硬连接的概念是完全正确的。
关于 permission mode, 我(网中人)这里想补充一下: 
permission mode 是存在于 inode block 里的 12 个 bit. 
当 bit 为 0 时表示关, 1 表示开, 如: 110111101101
若这 12 bit 分开4组的话, 分別为如下內容: 
1) suid, sgid, sticky_bit 
2) owner_read, owner_write, owner_exectue 
3) group_read, group_write, group_exectue 
4) others_read, others_write, others_exectue
按前例来算的, 被打开的 permission 有:
suid, sgid (110) 
owner_read, owner_write, owner_exectue (111) 
group_read, group_exectue (101) 
others_read, others_exectue (101)
不过, 在操作上, 我们不会用 2 进制了, 一般(视程序而別)可使用 8 进制或 text
mode :
110111101101换算为 8 进制就是 6755 了.
这个相对简单多了, 我们可用 bc 来算算看: echo
“obase=8;ibase=2;110111101101”
echo “obase=2;ibase=8;6755” | bc
如果手头上没有 bc 或其它工具可用, 那也可用如下的换算表来对照:
000|0 
001|1 
010|2 
011|3 
100|4 
101|5 
110|6 
111|7
分別将 12 bit 拆四组来算就是了
然而, 换算成 text mode 就没那么轻松了. 
是因为 text mode 上只能用 9 个字母去表示 12 个 bit . 
需花些心思还是可以的. 
可先从最简单的右边 9 个 bit 来算起: 111101101 
rwxr-xr-x 
不难发现每组都是 rwx , 1 对着就写相应的 text, 0 就写 – 了. 
再下来分別找到那三个 x 的位置, 因为: 
suid 若为 1 会修改 owner_x: 以 s 代替 x, 以 S 代替 – . 
sgid 若为 1 会修改 group_x: 以 s 代替 x, 以 S 代替 – . 
sticky_bit 若为 1 会改 others_x: 以 t 代替 x, 以 T 代替 – . 
简单来說, 若原来的 x 为 1 , 就是小写, 为 0 则是大写. 
以上例来說, 最后结果将是: 110111101101 
rwsr-sr-x
至于 umask 运算, 也是可从 permission bit 来运算的. 先抓出 directory 的
default mode: 0777 及 file 的 default mode: 0666 
然后将 umask bit 的 1 所对的位置设为 0 就是了. 
以 umask 0123 为例吧, 换为 2 
进为就是: 
000001010011 
对应 new file 的 0666: 
000110110110 
结果, 凡是umask 1 的位置都设为 0, 得: 
000110100100
再转回 8 进位就是:
0644
若你简单用减法来算的话, 是不对的: 
0666 
-0123 
——- 
0543 (000101100011)
真的公式可参考这个: (bitwise_NOT umask) AND default_mode =
new_permission
上例: 
(bitwise_NOT 0123) AND 0666 = 0644
计算过程如下: 
000001010011 
bitwise_NOT 得: 
111110101100 
AND 000110110110 
得: 
000110100100 
换算为 8 进位, 就是: 
0644
用 2 进位来算是最接近计算机思维的方法, 也是最准确的. 
只是人们一般不习惯 2 进位思维而已, 一旦熟悉之后就万变不离其宗了!
至于 file 与 directory 在 rwx 及 suid,sgid, sitcky_bit 上的差异, 
可先参考前面 wingger 版主与相关数据. 
若还是理解不来的话, 我们日后再来慢慢讨论好了.
关于 sticky bits 的作用,在 APUE 里面的说法是: 
如果一个目录权限具有 sticky bit 则是表示文件共享方面的控制:只有属主可以删除文
件 
如果一个文件具有 sticky bit 则表示文件始终被保持在内存中(这样反复加载的时候可

以速度加快)

转自:http://www.androidstar.cn/linux中chmodchownchgrp命令文件安全与权限/