权限管理

权限管理包括普通权限、特殊权限、默认权限、ACL权限。

这些权限都是针对u(owner)、g(group)、o(other)三类定义的。

设置权限时文件和目录不同(此处把文件和目录分开,一般说文件就包含目录(linux思想:一切皆文件))如下图所示,

分别用两个用户分别创建了一个目录一个文件,可以看到同是目录的liutest和test的权限不同,它俩同为目录为啥子权限不一样呢,然后又看了一下两个文件,发现权限也不同,那这是为啥呢?!

权限管理

别急,小编君这就为你解答:

一:默认权限

    这是因为有一个叫umask值的东西存在,因此超级管理员root和普通用户在创建文件和目录时有了默认权限,那啥又是默认权限呢,

默认权限就是在最大权限减去umask值后得到的,那啥又是最大权限呢,最大权限是多少呢?!   目录的默认最大权限为777,文件默认最大权限是666,即

                                    目录  文件

最大权限                      777   666

umask(普通用户)     002  002

默认权限                       775   664

umask(root)                   022   022

默认权限                       755   644

如图所示,普通用户umask默认为0002,root默认0022(这里只看后三位,说的时候就是root的umask值为022,普通用户的umask值为002,第一位是特殊权限位,一会儿会详细单独说的),而目录的最大权限是777,文件的最大权限666,所以在创件文件和目录时,先用最大权限减去umask之后,就是其默认权限。

权限管理权限管理

例:

777 rwxrwxrwx     666 rw-rw-rw-

021 —-w—x         021—-w—x

756 rwxr-xrw-       646rw-r–rw-

总结一个规律:当umask值全部是偶数时,可以直接减,当umask值包含奇数时,对于目录直接减,对于文件,减完后再加一。如下图所示dir1的权限是756(777-021),而文件file的权限值为656(666-021+1)

权限管理

设置umask值:umask #(例:umask 004)

    这种设定只在当时生效,要想长期生效,需要在/etc/bashrc(所有用户可以看到)、~/.bashrc (仅用户自己可以看)这两个配置文件里,手动修改。

这里注意区分一下拷贝文件和新建文件时文件的权限区别:

cp拷贝文件时,基于源文件的权限减去umask值;

创建文件时,基于最大权限减去umask值。

 

二:普通权限:

 

前面一直说权限,那接下来就来看一下,每一位具体的意思吧:

 

r: 文件:可查看(读取)文件内容

   目录:可以用ls查看此目录下的文件列表(不能查看详细信息)

w: 文件:可以修改文件内容

    目录:单独使用没意义,与x结合使用时,可在此目录下创建、删除文件

x:文件:可以执行

    目录:可以进去此目录,与r结合使用,可以查看此目录下文件的详细信息(ls -l)

 

X:当文件本身没有x权限时,则跳过,一般用于批量修改多个文件、目录的权限时,自动跳过没有执行权限的文件。(一般只给目录,不给文件。)

 

权限分两种方式:

1.字符:

   chmod u/g/o+r/w/x file

   chmod a=rwx file(a=ugo)

2.数字:

   0:—

   1:–x

   2:-w-

   3:-wx

   4:r–

   5:r-x

   6:rw-

   7:rwx

组合:rwxr-xr–    754

chmod用于修改权限,此功能只有root和所属人有权限

例:chmod754  file

 权限管理

chmod –reference file1 file2复制file1的权限给file2

 权限管理

(chown –reference file1 file2复制file1的所属人和所属组给file2)

 权限管理

(chgrp –reference file1 file2复制file1的所属组给file2)

 权限管理

有的人会有疑问,权限位是四位,怎么一直说三位啊,第一位是啥?

 

三:特殊权限位

 

第一位呢,是特殊权限位,由suid、sgid、sticky组成,下面有个总结,就是有点长,但是比较完整,其实重点是最后一句。

suid

    当对一个可执行的二进制文件作用了SUID权限之后,任何拥有执行该文件权限的人,在执行的过程时都临时拥有该文件所属人的权限。

sgid

    当对一个可执行的二进制文件作用了SGID权限之后,任何拥有执行该文件权限的人,在执行的过程时都临时拥有该文件所属组的权限

     当对一个目录作用了SGID权限之后,任何对该目录有wx权限的用户在该目录下创建的文件及目录的所属组均为该目录的所有组。

sticky

    当对一个目录作用了sticky之后(只限制组用户,目录的owner不受影响),该目录下的文件仅其所属人才能删除。

一些常用命令:

用字符:

    chmod u+s file   权限值为4***,即只有suid

    chmod g+s file   权限值为2***,即只有sgid

    chmod o+t file    权限值为1***,即只有sticky

也可以用数字:

    chmod  3*** file   既有sticky又有sgid

    chmod  5*** file   既有sticky又有suid

    chmod  6*** file   既有suid又有sgid

    chmod  7*** file   都有,all

若文件本身带有x权限时,为s、t,反之,则是S、T

如下图所示:

权限管理

四:ACL权限

ACL(Access Control List)访问控制列表

CentOS7当中,无论是操作系统安装时还是之后手工创建的文件系统(xfs、ext4)均会开启ACL功能。

CentOS6及之前的版本,仅操作系统安装时创建的文件系统才会默认开启ACL,手工创建的文件系统,需要手工开启ACL功能。

1.mount -o acl /dev/sda7  取消的方式,重新挂载时不指定即可

2.mount -o remount,acl /dev/sda7

   以上两种方式开启的ACL可以通过 mount |grep sdaX 查看

3.tune2fs -o acl /dev/sda7 取消的方式 tune2fs-o ^acl /dev/sda7

   使用以上方式开启的ACL可以通过

tune2fs-l /dev/sda7 |grep option查看

以上很少用到,这里就不做演示了。

ACL权限判断的顺序

   先判断是否是文件的OWNER,如果是,则执行OWNER的权限后结束,如果不是OWNER,则判断是否是ACL的USER,如果是则执行USER权限后结束,如果不是ACL的USER, 则判断是否属于GROUP或ACL GROUP,如果是,则取最大权限。如果不属于任何GROUP,则执行OTHER。

   即:所有人->所有组->其他人

ACL的设置:(设置权限后,ll查看到权限位的末尾有+号,代表已经设置了ACL权限,这时再想查看权限就用getfacl file查看,当然ll也还能用,只是看不到ACL的权限而已)

   setfacl-m u/g:user/group:r/w/x file

首先创建目录

权限管理

然后设置ACL权限,并观察其权限处的变化

权限管理

然后:通过getfaclfile查看ACL:

权限管理

设置默认的ACL:

   setfacl-m d:u/g:user/group:r/w/x file

(仅影响新创建的文件及子目录,对当前目录没影响)

删除一条ACL权限:

   setfacl-x u/g:user/group file

仅删除一条默认的ACL权限:

   setfacl-x d:user/group file

删除所有ACL权限

   setfacl-b file

删除默认的ACl权限:

   setfacl-k file

以上操作常与-R连用,递归设置对目录及其子目录的操作

主要的文件操作命令cp和mv都支持ACL,只是cp命令需要加上-p 参数。

   getfacl-R /PATH/TO > acl.txt连同其子目录文件的ACL权限一同导入acl.txt

   setfacl-R -b /tmp/dir1连同子目录的ACL全删除

   setfacl-R –set-file=acl.txt /tmp/dir1(两种还原)

   setfacl–restore acl.txt(第二种)

注意:

设置过ACL权限后,操作chmod g+/- r/x/w file这条命令,用ll命令查看权限时也能看到所属组位权限的变化,但是,用getfacl file查看所属组位没变化,实际上改变的只是mask值。但chmod u+/- r/x/w所属人权限无论使用ll查看还是,getfacl file查看,都会变成设置的值、

这里的mask是所有除所有者OWNER和root外的user和group的权限的并集。

也可以使用setfacl -mmask::r/w/x file设置其权限值

另外涉及到一些特殊权限:

   chattr+i file 不能file进行删除、修改,改名等

   chattr-i file 取消这种权限限制

权限管理

   chattr+a file 只能追加内容

   chattr -a file 取消这种权限限制

权限管理

OK,内容目前到此,小编君刚学Linux不久,学识有限,若有出入,请多多指教,若总结的不到位,望海涵。

原创文章,作者:M.Sun,如若转载,请注明出处:http://www.178linux.com/83422

(0)
M.SunM.Sun
上一篇 2017-07-30
下一篇 2017-07-30

相关推荐

  • 第四周作业

    1、复制/etc/skel目录为/home/tuser1,要求/home/tuser1及其内部文件的属组和其它用户均没有任何访问权限;          [root@yangjifeng~]# cp -a /etc/skel /home/tuser1 [root@yangjife…

    Linux干货 2017-08-28
  • linux进程管理

    linux系统进程查看及管理工具 对于服务器来说重要的IO 设备磁盘网络 pstree,ps,pidof,pgrep,top,htop,glances,pmap,vmstat,dstat,kill,pkill,job,bg,fg,nohup,nice,renice,killall….. pstree命令: pstree-display …

    Linux干货 2016-09-09
  • 第二周学习总结

    写在最前 通过上一周对计算机系统、Linux发展的学习,我们认识到了Linux是一个一切皆文件的内核系统。那么怎样去操作系统上的各文件来达到你想要的目的呢?今天的总结就是帮助我们更快的达成目标。 文件管理类命令的分类 对于这类命令主要分为两类: 操作类:touch、cp、mv 查看类:cat、tac、head、tail、less、more touch 功能描…

    2017-12-16
  • 数据库简介和简单操作

    数据库 数据库是数据的汇集,它以一定的形式存储在存储介质上 数据库的发展史 萌芽阶段:文件系统,使用磁盘文件来存储数据 初级阶段:第一代数据库,出现了网状模型、层次模型的数据库 中级阶段:第二代数据库,关系型数据库和结构化查询语言 高级阶段:新一代数据库,“关系-对象”型数据库 数据库管理系统和文件管理系统 文件管理系统的缺点是: 编写应用程序不方便 数据冗…

    2017-12-04
  • 日志系统

    日志管理 发送日志命令,通知用户:logger  -p  local7.info “this is a test log” Local#.info 为自定义到文件或目录,或用户的级别 日志远程存储需要启动514端口,在centos7上需要取消注释 Uptime可以查看开机时间 rsyslog特性:CentOS6和7 Ü多线程 ÜUDP…

    Linux干货 2018-02-01
  • linux命令格式及基础命令

    linux命令格式及基础命令介绍 命令格式 command [options] [arguments] * command:命令 * options: –单词 或 -单字 * argument:参数(档案名称或其他) 基础命令介绍 ifconfig 用于显示或设置网络设备 语法 ifconfig [网络设备][down up -allmulti -arp …

    Linux干货 2017-12-03