mount命令挂载的权限如何设置

在Linux系统中，如何为挂载的文件系统设置访问权限？

在Linux系统中，当我们使用mount命令挂载一个文件系统时，其访问权限并非一成不变。实际上，我们可以通过指定不同的挂载选项，来灵活地控制用户对挂载点的读写能力、身份映射以及新文件的默认权限。这就像给一扇门配上了不同级别的钥匙和门禁规则。

下面，我们就来梳理几个最常用、也最关键的挂载选项，看看它们各自扮演着什么角色。

1. 基础读写控制：ro 与 rw

ro选项是最直接的限制手段。一旦用它挂载，整个文件系统就变成了一个“只读展览馆”——用户可以随意浏览、读取文件，但任何修改、删除或创建新文件的尝试都会被系统拒绝。这在挂载光盘、备份盘或需要防止误操作的共享数据时非常有用。

示例：mount -o ro /dev/sdb1 /mnt/mydisk

与之相对的rw选项则赋予了完整的读写权限，这也是大多数情况下的默认模式。当然，这里说的“读写”能力，还会受到后续所有权和掩码设置的进一步约束。

示例：mount -o rw /dev/sdb1 /mnt/mydisk

2. 身份映射：uid 与 gid

文件权限的核心之一就是所有权。通过uid和gid选项，我们可以“欺骗”系统，让挂载的文件系统中的所有文件，看起来都属于某个特定的用户和组。这尤其适用于像FAT、NTFS这类本身不支持Linux权限模型的文件系统，可以强制为其文件赋予一个合理的所有者。

示例：mount -o uid=1000,gid=1000 /dev/sdb1 /mnt/mydisk

这样一来，即使物理设备在不同用户间传递，挂载后也能以统一的身份进行访问，避免了“权限拒绝”的尴尬。

3. 权限掩码：umask, fmask 与 dmask

如果说读写控制和身份映射是搭建了权限的骨架，那么权限掩码就是精雕细琢的细节工具。它们决定了在挂载点内新创建的文件和目录会拥有怎样的初始权限。

• umask：这是一个传统的全局掩码，同时影响新文件和目录。它指定的是需要“屏蔽掉”的权限位。例如，umask=022意味着屏蔽掉组和其他用户的写权限（即2），所以新创建的文件权限会是755（目录）或644（文件）。

  示例：mount -o umask=022 /dev/sdb1 /mnt/mydisk

• fmask 和 dmask：这两个选项提供了更精细的控制，可以分别针对文件（file）和目录（directory）设置不同的掩码。这在某些特定场景下非常实用，比如你想让目录可执行（以便进入），但不想让普通文件有执行权限。

  示例：mount -o fmask=133,dmask=022 /dev/sdb1 /mnt/mydisk

组合使用与持久化配置

这些选项完全可以组合使用，以满足复杂的需求。例如，如果你想挂载一个外接硬盘，要求是读写模式，但所有文件都映射到当前用户，并且新创建的文件不允许同组用户写入，可以这样操作：

mount -o rw,uid=1000,gid=1000,fmask=113 /dev/sdb1 /mnt/mydisk

不过，需要特别提醒的是：通过mount命令行设置的这些选项，仅在本次挂载期间有效。一旦系统重启，这些设置就会随风而逝。

如果想让配置永久生效，就必须将这些选项写入/etc/fstab这个系统挂载配置表中。例如，将上面那条命令的选项，对应地填到fstab文件该设备行的第四列（挂载选项）中，这样每次开机都能自动应用相同的权限规则了。

说到底，灵活运用这些挂载选项，就是在文件系统物理存储之上，构建一层符合我们管理需求的逻辑访问层。理解并掌握它们，是进行精细系统管理和资源安全共享的基本功。