对于文件和目录的访问权力是根据读访问，写访问，和执行访问来定义的。现在介绍Linux文件系统两种很实用的权限i和a。

使用 ls –l 命令可以显示文件的属性以及文件所属的用户和组。

列表的前十个字符是文件的属性。

这十个字符的第一个字符表明文件类型。

常用的文件类型（还有其它的，不常见类型）：

属性文件类型 - 一个普通文件 d 一个目录 l 一个符号链接。注意对于符号链接文件，剩余的文件属性总是"rwxrwxrwx"，而且都是 虚拟值。真正的文件属性是指符号链接所指向的文件的属性。 c 一个字符设备文件。这种文件类型是指按照字节流，来处理数据的设备。 比如说终端机，或者调制解调器 b 一个块设备文件。这种文件类型是指按照数据块，来处理数据的设备，例如一个硬盘，或者 CD-ROM 盘。

剩下的九个字符，叫做文件模式，代表着文件所有者，文件组所有者，和其他人的读，写，执行权限。

常用的Linux文件权限

444 r--r--r--

600 rw-------

644 rw-r--r--

666 rw-rw-rw-

700 rwx------

744 rwxr--r--

755 rwxr-xr-x

777 rwxrwxrwx

读取的权限等于4，用r表示；
写入的权限等于2，用w表示；
执行的权限等于1，用x表示；

通过4、2、1的组合，得到以下几种权限：

0（没有权限）；4（读取权限）；5（4+1 | 读取+执行）；6（4+2 | 读取+写入）；7（4+2+1 | 读取+写入+执行）

安全权限的临界点

1.目录755，文件644是相对安全的权限；

2.用户为root以及用户组为root

chmod 更改权限

通过八进制表示法，我们使用八进制数字来设置所期望的权限模式。因为每个八进制数字代表了 3个二进制数字，这种对应关系，正好映射到用来存储文件模式所使用的方案上。下表展示了 我们所要表达的意思：

八进制二进制文件模式 0 000 --- 1 001 --x 2 010 -w- 3 011 -wx 4 100 r-- 5 101 r-x 6 110 rw- 7 111 rwx

通过传递参数 “600”，我们能够设置文件所有者的权限为读写权限，而删除用户组和其他人的所有 权限。虽然八进制到二进制的映射看起来不方便，但通常只会用到一些常见的映射关系： 7 (rwx)，6 (rw-)，5 (r-x)，4 (r--)，和 0 (---)。

chmod 命令支持一种符号表示法，来指定文件模式。符号表示法分为三部分：更改会影响谁， 要执行哪个操作，要设置哪种权限。通过字符 “u”，“g”，“o”，和 “a” 的组合来指定 要影响的对象，

chmod 命令符号表示法

 命令  解释 u+x 为文件所有者添加可执行权限。 u-x 删除文件所有者的可执行权限。 +x 为文件所有者，用户组，和其他所有人添加可执行权限。 等价于 a+x。 o-rw 除了文件所有者和用户组，删除其他人的读权限和写权限。 go=rw 给群组的主人和任意文件拥有者的人读写权限。如果群组的主人或全局之前已经有了执行的权限，他们将被移除。 u+x,go=rw 给文件拥有者执行权限并给组和其他人读和执行的权限。多种设定可以用逗号分开。

符号表示法的优点是， 允许你设置文件模式的单个组成部分的属性，而没有影响其他的部分。

chown － 更改文件所有者和用户组

参数结果 cqh 把文件所有者从当前属主更改为用户 cqh。 cqh:users 把文件所有者改为用户 cqh，文件用户组改为用户组 users。 :cqh 把文件用户组改为组cqh，文件所有者不变。 cqh: 文件所有者改为用户 cqh，文件用户组改为，用户 cqh 登录系统时，所属的用户组。

chattr和lsattr －文件或者目录的隐藏属性

chattr可以创建root都不能修改的文件，但是它并不适合所有的目录，不能保护/、/dev、/tmp、/var目录
lsattr可以显示chattr命令设置的文件属性
与chmod这个命令相比，chmod只是改变文件的读写、执行权限，更底层的属性控制是由chattr来改变的。

chattr命令的用法：chattr [ -RVf ] [ -v version ] [ mode ] files…

最关键的是在[mode]部分，[mode]部分是由+-=和[ASacDdIijsTtu]这些字符组合的，这部分是用来控制文件的
属性。

+ ：在原有参数设定基础上，追加参数。

- ：在原有参数设定基础上，移除参数。

= ：更新为指定参数设定。

A：文件或目录的 atime (access time)不可被修改(modified), 可以有效预防例如手提电脑磁盘I/O错误的发生。

S：硬盘I/O同步选项，功能类似sync。

a：即append，设定该参数后，只能向文件中添加数据，而不能删除，多用于服务器日志文件安全，只有root才能设定这个属性。

c：即compresse，设定文件是否经压缩后再存储。读取时需要经过自动解压操作。

d：即no dump，设定文件不能成为dump程序的备份目标。

i：设定文件不能被删除、改名、设定链接关系，同时不能写入或新增内容。i参数对于文件 系统的安全设置有很大帮助。

j：即journal，设定此参数使得当通过mount参数：data=ordered 或者 data=writeback 挂 载的文件系统，文件在写入时会先被记录(在journal中)。如果filesystem被设定参数为 data=journal，则该参数自动失效。

s：保密性地删除文件或目录，即硬盘空间被全部收回。

u：与s相反，当设定为u时，数据内容其实还存在磁盘中，可以用于undeletion。

各参数选项中常用到的是a和i。a选项强制只可添加不可删除，多用于日志系统的安全设定。而i是更为严格的安全设定，只有superuser (root) 或具有CAP_LINUX_IMMUTABLE处理能力（标识）的进程能够施加该选项。　　

创建不可删除的文件

i：不可修改权限 例：chattr u+i filename 则filename文件就不可修改，无论任何人，如果需要修改需要先删除i权限，用chattr -i filename就可以了。查看文件是否设置了i权限用lsattr filename。

root@linuxidc:/home/linuxidc/www.linuxidc.com# lsattr linuxmi.txt
-----a--------e--- linuxmi.txt

root@linuxidc:/home/linuxidc/www.linuxidc.com# chattr +i linuxmi.txt
chattr: 没有那个文件或目录 尝试对linuxmi.txt进行stat调用时
root@linuxidc:/home/linuxidc/www.linuxidc.com# chattr +i linuxmi.txt
root@linuxidc:/home/linuxidc/www.linuxidc.com# rm -f linuxmi.txt
rm: 无法删除'linuxmi.txt': 不允许的操作
root@linuxidc:/home/linuxidc/www.linuxidc.com# lsattr linuxmi.txt
----i---------e--- linuxmi.txt
root@linuxidc:/home/linuxidc/www.linuxidc.com# chattr -i linuxmi.txt
root@linuxidc:/home/linuxidc/www.linuxidc.com# rm -f linuxmi.txt

创建只可能追加数据而不能删除的文件(不可使用vim，不可echo >，只能使用echo >>追加)

a：只追加权限， 对于日志系统很好用，这个权限让目标文件只能追加，不能删除，而且不能通过编辑器追加。可以使用chattr +a设置追加权限。

root@linuxidc:/home/linuxidc/www.linuxidc.com# chattr +a linuxmi.txt
root@linuxidc:/home/linuxidc/www.linuxidc.com# rm linuxmi.txt
rm: 无法删除'linuxmi.txt': 不允许的操作
root@linuxidc:/home/linuxidc/www.linuxidc.com# echo 'linuxidc.com' > linuxmi.txt
-su: linuxmi.txt: 不允许的操作
root@linuxidc:/home/linuxidc/www.linuxidc.com# echo 'linuxidc.com' >> linuxmi.txt