Linux是多用户多任务的分时操作系统,如果每个人都对文件和目录都是随便访问的话,难么你的文件很有可能会被他人删除或修改,从而丢失数据。为此系统对文件增加了权限的机制来防止这种事情的发生。对文件而言,用户被分为三类:属主(onwer)、属组(group)、和其他(other)。常规的权限分为:读(r readable)、写(w writable)、执行(x excutable)。使用ls -l 可以列出文件的权限。
[root@localhost boot]# ls -l
total 107008
-rw-r--r--. 1 root root 126426 Nov 20 2015 config-3.10.0-327.el7.x86_64
以上为例最左边的-为文件的类型,-表示普通文件、d表示目录等。后面9位以三个为一种,分别代表了属主、属组、和其他 三个权限是 rwx。如果没有就用-表示。文件和目录对应的rwx权限是不一样的。用八进制表示r=4、w=2、x=1。
管理员可以使用chmod和chown来更改用户的权限和文件的属主和属组等操作。
对目录来说
r:表示可以用ls命令查看此目录下的文件列表,但它要跟目录的x权限一起是用
w:可在此目录中创建文件,也可删除此目录中的文件,也许x权限一起使用
x:目录最基本的权限,如果没有x目录将无法正常使用。
对文件来说
r:可是使用文件类查看器查看。如cat、head等
w:可以对文件内容进行修改,它没有删除文件的权限。删除文件的权限看父目录是否有w的权限
x:可以把此文件提请内核启动为一个进程 一般文件不加x权限,除二进制命令文件
chmod 更改目录或文件的权限
权限范围
u 属主
g 属组
o 其他
a 所有人
r读取权限 数字表示 "4"
w写入权限 数字表示 "2"
x执行权限 数字表示 "1"
s 特殊权限
t 特殊权限
语法
chmod [OPTION]... MODE[,MODE]... FILE... chmod [OPTION]... OCTAL-MODE FILE... #使用八进制模式 chmod [OPTION]... --reference=RFILE FILE... #参照其他文件或目录
常用选项
-c, --changes #显示改变信息 -R, --recursive #递归改变,如改变目录是,其子目录和文件的权限一起干煸 --reference=RFILE #参数其他文件或目录
例如
[root@localhost testdir]# ll total 0 -rw-rw-r-- 1 root root 0 Aug 6 11:37 file #源文件权限 [root@localhost testdir]# chmod ug=rwx file #ug一起更改权限 [root@localhost testdir]# ll total 0 -rwxrwxr-- 1 root root 0 Aug 6 11:37 file#更改结果 [root@localhost testdir]# chmod g-x file #g去掉x权限 [root@localhost testdir]# ll total 0 -rwxrw-r-- 1 root root 0 Aug 6 11:37 file #更改结果 [root@localhost testdir]# touch file #创建空文件 [root@localhost testdir]# ll total 0 -rw-r--r-- 1 root root 0 Aug 6 11:39 file #默认权限 [root@localhost testdir]# chmod 777 file #按八进制法更改权限 [root@localhost testdir]# ll total 0 -rwxrwxrwx 1 root root 0 Aug 6 11:39 file #更改结果 [root@localhost testdir]# ll /etc/issue ./file #列出文件详细信息 -rw-r--r--. 1 root root 79 Jul 26 16:27 /etc/issue -rwxrwxrwx 1 root root 0 Aug 6 11:39 ./file [root@localhost testdir]# chmod --reference=/etc/issue file #参照文件更改权限 [root@localhost testdir]# ll total 0 -rw-r--r-- 1 root root 0 Aug 6 11:39 file #权限更改结果
文件和目录的默认权限和隐藏权限
当我们创建一个新文件时,文件的权限已经分配好了,为什么会这样呢,那就是因为与umask(遮罩码)这个玩意有关。umask是什么呢? 基本上,umask就是指定"目前用户在新建文件或目录时候的权限默认值",管理员和普通用户的umask是不一样的。我们可以使用umask查看。目录的默认权限等于777减去umask的022。前面的0是特殊权限位。文件的默认权限为666减去umask的022.但因为文件默认是不允许有执行权限的,所有单结果为奇数是向前进一位。
全局设置:/etc/bashrc用户设置:~/.bashrc。
umask 用来设置限制新文件权限的掩码
umask# #设定掩码 umask–S 模式方式显示 umask–p 输出可被调用 [root@localhost testdir]# umask #管理员的umask 0022 [linux@localhost ~]$ umask #普通用户的umask 0002
Linux的特殊权限
任何一个可执行程序文件能不能启动为进程取决发起者对程序文件是否拥有执行权限。启动为进程之后,其进程的属主为发起者;进程的属组为发起者所属的组。进程访问文件时的权限,取决于进程的发起者。
一 :SUID特殊权限能让用户使用文件属主的权限来运行此命令。当有SUID权限时,文件的所有者x会替换成s权限 ,如果属主没有x权限将会以S报错。 例如-rwsrwxrwx 1 root root 48568 May 11 16:59 /bin/cat 文件颜色呈红色状态。 使用chmod命令更改
1、SUID权限只对二进制程序有效。
2、程序执行者对于该程序来说,需要具备x的权限。
3、执行者在执行的过程中将会获得该程序属主的权限
[root@localhost /]# ll /usr/bin/tail #显示tail原来的权限属性 -rwxr-xr-x 1 root root 61496 May 11 16:59 /usr/bin/tail [root@localhost /]# chmod 4755 /usr/bin/tail #设置SUID权限,也可u+s方式 [root@localhost /]# ll /usr/bin/tail #显示更改后 -rwsr-xr-x 1 root root 61496 May 11 16:59 /usr/bin/tail #属主的x权限被s占用了 [root@localhost /]# tail /etc/shadow #用tail打开shadow,默认情况下shadow只有管理员能打开。 apache:!!:17008:::::: saslauth:!!:17008:::::: postfix:!!:17008:::::: rpcuser:!!:17008:::::: nfsnobody:!!:17008:::::: gdm:!!:17008:::::: pulse:!!:17008:::::: sshd:!!:17008:::::: tcpdump:!!:17008:::::: Alan:!!:17019:0:99999:7:::
二 : SGID能让其他用户以文件的属组权限来运行此命令。当有SGID权限时,文件的属组x会替换为r权限,如果属组没有x权限将会以S报错。 文件背景颜色为黄色。使用chmod命令更改
1、SGID对二进制文件有限
2、程序执行者对于该程序来说,需要具备x的权限
3、执行者在执行的过程中将会获得该程序的属组的权限
4、可以针对文件和目录使用
[root@localhost /]# mkdir /testdir #创建目录 [root@localhost /]# chmod 2757 /testdir #更改权限 包括增加GID [root@localhost /]# su Cloud #切换到普通用户 [Cloud@localhost /]$ cd /testdir/ #进入root创建的用户 [Cloud@localhost testdir]$ touch file #创建空文件 [Cloud@localhost testdir]$ touch fiel2 #创建空文件 [Cloud@localhost testdir]$ mkdir dir #创建空目录 [Cloud@localhost testdir]$ ll #显示目录下的文件发现组依然是root total 0 drwxrwsr-x 2 Cloud root 6 Aug 6 14:57 dir #属组是root -rw-rw-r-- 1 Cloud root 0 Aug 6 14:57 fiel2 -rw-rw-r-- 1 Cloud root 0 Aug 6 14:56 file
三 :SBIT只对目录有效,对文件却无效,它的作用就是防止别人删除对方的资料。心细的同学可能发现/tmp就是此类文件
1、当用户对此目录有w,x权限时,即具有写入的权限时;
2、当用户在该目录下创建文件或目录时,仅有子与root才有权利删除该文件
[Cloud@localhost tmp]$ ll -d #查看tmp目录属性 最后为权限位t drwxrwxrwt. 9 root root 4096 Aug 6 15:10 . [Cloud@localhost tmp]$ mkdir dir1 dir2 #Cloud用户创建目录 [Cloud@localhost tmp]$ touch fi1 f2 #Cloud用户创建文件 [Cloud@localhost tmp]$ ll #显示详细信息 total 0 drwxrwxr-x 2 Cloud Cloud 6 Aug 6 15:10 dir1 drwxrwxr-x 2 Cloud Cloud 6 Aug 6 15:10 dir2 -rw-rw-r-- 1 Cloud Cloud 0 Aug 6 15:10 f2 -rw-rw-r-- 1 Cloud Cloud 0 Aug 6 15:10 fi1 [root@localhost tmp]# su linux #切换其他用户 [linux@localhost tmp]$ ll #查看目录下文件信息 total 0 drwxrwxr-x 2 Cloud Cloud 6 Aug 6 15:10 dir1 drwxrwxr-x 2 Cloud Cloud 6 Aug 6 15:10 dir2 -rw-rw-r-- 1 Cloud Cloud 0 Aug 6 15:10 f2 -rw-rw-r-- 1 Cloud Cloud 0 Aug 6 15:10 fi1 [linux@localhost tmp]$ rm fi1 #删除fi1 rm: remove write-protected regular empty file ‘fi1’? yes rm: cannot remove ‘fi1’: Operation not permitted #权限拒绝,虽然目录有w的权限,但是加了t就无法删除他人文件 [linux@localhost tmp]$ rm difr1#权限拒绝,虽然目录有w的权限,但是加了t就无法删除他人目录 rm: cannot remove ‘difr1’: No such file or directory
原创文章,作者:ladsdm,如若转载,请注明出处:http://www.178linux.com/29971
评论列表(1条)
文章思路清晰,从权限模型到特殊权限管理都有了详细的认识。