一、文件权限
linux系统中文件众多,针对不同的文件面向的对象不同,因此对其设置的权限各不相同,那么我们来对文件设置权限呢?
如上图所示,文件的权限主要分三个部分:r、w、x
文件面向的对象有三类:属主,数组和other
rwx权限分别对于应文件和目录的意义如下:
对于文件:
r:可以ls,可以cat
w:可以修改文件中的内容,可以ll,如果其父目录具有wx权限可以删除文件
x:可以执行二进制程序
对于目录:
r:可以ls
w:可以在目录中创建文件,但需要配合x使用
x:可以cd到目录,可以访问目录中的文件
相关命令:chmod chown chgrp
chmod:修改权限
格式:
chmod [option] file | dir
chmod u+rwx file
chmod a+rwx file a—-ugo
chmod u=rwx file
chmod 777 file
注意:当我们执行给文件添加X权限时,如果该文件之前权限有一位x,则可以添加x权限,如果一位x权限都没有,则不能添加x权限。
目录不受影响
rwxr–r– –>chmodrwxrwxrwx
——— –>rw-rw-rw-
选项:
-R 递归
–reference=RFILE FILE… 参考RFILE文件的权限,修改FILE的权限与RFILE一致
chown:修改属主和属组
格式:
chown tom:harry f1
chown tom f1 修改属主为tom
chown tom: f1 修改属主和属组为tom
chown :harry f1 修改属组为tom
chgrp:将文件的属组
umask:我们发现在我们创建文件或目录时,他们都会有一个默认的权限,这个权限就是通过umask来设置的,umask这个值管理员默认是022,普通用户是002,当我们在配置文件(/etc/profile、/etc/bashrc、也可以是用户自己的.bashrc)中配置umask的值时,就可以定义用户创建文件或目录时的默认权限,也可以说是限制了ugo的权限。
管理员文件的权限和umask的关系为:666-022=644,如果计算结果中有基数,则加1,例如666-123=543 ->644,这里加1主要是为了避免给用户提供文件的执行权限,将执行权限屏蔽。
管理员目录的权限和umask的关系为:777-022=755
umask -S 查看文件夹的默认权限
umask -p 输出可以被调用
umask # 可以设置默认值的大小临时生效
二、文件系统的特殊权限
当我们用tom的身份执行cat /etc/passwd 时,我们的匹配权限的流程是,先匹配/etc/passwd 这个文件的属主,该文件的数主是root与tom不是同一个,不匹配,接着匹配文件的数组,发现也不匹配,接下来就到other的权限了,我们发现other的权限为r,所以我们就以other的身份来访问/etc/passwd 这个文件了,这里需要注意的是,当我们从前往后匹配的时候,如果匹配到权限就不往后面匹配了,就算后面的数组或者other的权限比数主大,也不匹配。
tom@cenots6.8 ~ # ll /etc/passwd -rw-r--r--. 1 root root 1849 8月 6 17:44 /etc/passwd tom@cenots6.8 ~ # cat /etc/passwd
特殊权限
suid
面向对象:二进制程序
格式:chmod u+s file 、 chmod 4### file
作用:用户发起进程访问文件时,不在是以用户自己的身份来访问,而是以进程属主的身份来访问。
应用场景:passwd 所有用户都需要执行的二进制程序,直接给管理员的程序,不用单独给某些用户添加加权限。
-rwsr-xr-x. 1 root root 30768 11月 24 2015 /usr/bin/passwd —–此时我们就是以passwd的数主roor身份运行,而不是当前用户的身份。
sgid
面向对象:文件、目录
格式: chmod g+s file | dir 、 chmod 2### file | dir
作用:
目录:用户在该目录下创建文件时,文件的属组不在是以自己的身份创建,而是以该目录数组的身份创建。
文件:用户发起进程访问文件时,不在是以用户自己的身份来访问,而是以进程属组的身份来访问。
应用场景:
目录:比如组内同事,以某一特定的权限共享将一些文件或目录给大家,这样避免单独给多个文件分别设置权限。
sticky
面向对象:目录
格式:chmod o+t dir 、chmod 1### dir
作用:用户在该目录下可以自由的创建改文件,但是不能删除非自己创建的文件
应用场景:/tmp 所有用户都可以编辑,但是不能删除别人的文件
注意:在给文件添加uid gid sticky位后,如果对应的位为S或T,则表示该文件之前具有x权限,如果对应的对时s或t,则表示文件没有x权限。
三、访问控制列表
通常我们访问文件时,是以属主、属组或其他的身份访问的,当我们想单独给某一个用户设定权限时,可通过ACL访问控制列表来进行设置。
相关命令:setfacl 、getfacl 、mask
setfacl:
选项:
-Rm(递归指定权限):u(指定用户):user1(用户名):rwx(权限) dir
-x(取消权限):g(指定组) file | dir
-M file.txt file|dir –> 文件格式:u:wang:0 指定文件中用户或组acl权限
u:wangcai:rw
g:it:rw
-X file.txt file|dir 取消文件中用户或组acl权限
-x:d:u:user:rwx 对新建的文件具有的acl权限
-b file | dir:清除所有acl权限
-k file | dir:清除默认acl权限
–set选项会吧原有的acl项都删除,用新的替代,需要注意的时一定要包含ugo的设置,不能像-m一样添加acl就可以
setfacl –set u::rw,u:wang:rw,g::r,p::- file1
getfacl file | dir:查看文件或目录的acl权限
getfacl -R dir > acl.txt 将dir目录及其子目录的acl权限记录到acl.txt文件中
getfacl file1| setfacl –set-file=- file2 复制file1的acl权限给file2
mask:是在指定给某些用户或者组设置ACL权限时,针对除了属主和other之外的人,其中
包括属组和添加ACL的用户和组,限制了他们的权限,不能超过mask的权限,mask在使用时需要注意的是,当我们设置了ACL权限时,如果设置组的权
限chmod g=rw file|dir,等同于设置了mask的权限,此时所有设置了ACL权限的人和文件或目录的数组都会改变。
ACL文件上的group权限是mask 值(自定义用户,自定义组,拥有组的最大权限) ,而非传统的组权限,改变group权限,mask也会变。
默认ACL权限给了x,文件也不会继承x权限,这就是为什么针对file文件给user1用户指定rwx权限时,我们getfacl file查看mask权限为rw-的原因。
mask的设置方法:setfacl -m m::rw file
setfacl -m mask::rwx file
当我们通过tar命令打包文件时,是不能像cp -p|-a 一样保存元数据属性,我们可以采取如下备份和恢复访问控制列表的方法:
getfacl -R /tmp/dir1 > acl.txt
setfacl -R -b /tmp/dir1
setfacl -R –set-file=acl.txt /tmp/dir1
getfacl -R /tmp/dir1
设定文件特定属性
chattr +A 锁定不能修改时间
-A 解锁
+i 不能更改删除改名 只能读
+a 只能修改内容
lsattr 显示特定属性(chattr都设置了那些属性)
原创文章,作者:Naruto,如若转载,请注明出处:http://www.178linux.com/30247
