linux中的权限和ACL

权限，特殊权限，FACL

用ls -l filename 可以查看文件或者目录的详细信息，具体分析一下

在第一个空格前，有10个字段，第一个“-”表示文件类型，后边“rw-r–r–”表示权限

文件类型     “-”  普通文件

“d”  目录

“b”  块设备文件

“c”  字符设备文件

“l”   字符链接文件（软链接）

“p”   管道文件

“s”   套接字文件

文件（目录）权限   共9位，每3位一组，每一组都有r（读）w（写）x（执行）三个权

限，第一个3位表示属主的权限，第二个3位表示属组的权限，第三

个3位表示other权限

以上图为例，第一个“-”表示是个普通文件，后边3位“rw-”表示属主权限，有读写权限，执行位位“-”说明没有执行权限，“r–”表示属组有只读权限，other和属组一样都是只读文件的权限主要针三类对象进行定义

owner：属主   u

group：属组    g

other   其他   o

all    所有   a    修改所有

文件权限

r：可读，可以使用cat等命令来查看文件内容

w：可写，可以编辑或者删除此文件

x：可执行，可以在命令提示符下当做命令提交给内核执行

目录权限

r：可读，可以对目录执行ls列出内部的所有内容

w：可写，可以在此目录创建或删除文件（需要x权限）

x：可执行，可以用cd命令切换进此目录，也可以使用ls -l查看详细的信息

X：该权限只能对目录使用，给目录下的子目录加x权限，但是如果文件本身有x权限，那么也不会去管，如果文件没有x权限也不会加x

数字法表示权限

读 r=4    写 w=2    执行 x=1

例： rwxrw–w-    用数字法就是，（4+2+1）（4+2+0）（0+2+0）=762

权限管理命令

chown    修改属主

-R：递归 （作用于目录，修改该目录下的所有子目录和文件）

例：chown  username：groupname   filename（directory） （该命令既可以修改属主也可以修改属组，命令中的：可以用.代替）

chgrp     修改属组

-R：递归 （作用于目录，修改该目录下的所有子目录和文件）

chmod    修改权限（该命令也可以用数字法来设置权限，例：chmod  632  filename）

用法：chmod [OPTION]… OCTAL-MODE FILE…

-R: 递归修改权限

chmod [OPTION]… MODE[,MODE]… FILE… MODE： 修改一类用户的所有权          限： u= g= o= ug= a= u=,g= 修改一类用户某位或某些位权限 u+ u- g+ g- o+ o- a+ a- + –

例：chmod u=rwx,g=r,o= file1  该命令就把文件file1的权限修改为：属主有读写执行权限，属组有只读权限，其他没有权限

chmod [OPTION]… –reference=RFILE FILE…

参考RFILE文件的权限，将FILE的修改为同RFILE

例 ： chmod  –reference=file1 file2  参照file1的权限的设置file2的权限

umask值：遮罩码

root默认umask值为022

普通用户的umask默认值为002

umask：可以查看用户的umask值

umask #：可以设定为#的umask值

例：umask  145，那么通过umask命令可以看到显示为145，

那么新建文件的权限就为：666-umask        666-145

新建目录的权健就为：777-umask        777-145

如果umask为默认，那么root创建文件或目录的权限就是777或666减去默认值022

其他用户创建的权健就是777或666减去默认值002

有相减的方法来设置目录的权限时，算出来的结果是多少，那么权限就是多少。但是对文件来说，文件默认是么有x权限，如果相减算出来的结果有x权限的话，则将其权限+1

umask -S：用模式法来显示

例： [root@centos7 app]#umask -S

显示结果：      u=rwx,g=rx,o=rx

umask -P ：输出的结果可以被直接调用

特殊权限：SUID  SGID  Sticky

SUID: 运行某程序时，相应进程的属主是程序文件自身的属性，而不启动者（只要该程序有SUID权限，那么不管访问该程序的用户是属组还是other，都在访问的时候临时拥有属主的权限，用属主的身份进行访问）

SGID：运行某程序时，相应进程的属组是程序文件自身的属性，而不启动者所属的基本组（只要该程序有SGID权限，那么不管访问该程序的用户是属组还是other，都在访问的时候临时拥有属组的权限，用属组的权限进行访问）

Sticky：创建一个公共目录，在该公共目录下，每个人都可以创建删除自己的文件，但是不能删除别人的文件

SUID（）

1、 suid只能作用在二进制程序上，不能作用在script上

2 、执行suid权限的程序时，此用户将继承此程序的所有者权限

SGID

1 、作用在二进制程序上，执行sgid权限的程序时，此用户将继承此程序的所属组权限

2 、作用在目录上：在此目录新的文件的所属组，将自动继承目录的所属组

Sticky:

1 、只能作用在目录

2 、具有sticky权限的目录，普通用户只能自已删除自已的文件,不能删除别人的文件

特殊权限的设置命令

chmod  u+s |u-s filename

chmod  g+s |g-s filename(directory)

chmod  o+t |o-t directory

如果属主，属组和other没有相应的x权限，那么特殊权限设置以后显示为大写（S,S,T）

特殊权限单独用数字法来表示SUID(4)、SGID(2) 、Sticky(1)

例：chmod  4743 | 2654 |1400  filename

chattr  +i  不能删除，修改，改名，所有用户都不可以，包括root

+a  只能进行追加内容，不能删除，不能清空

+A  不更新atime

-i   去除i特殊属性，恢复原来的权限

-a

-A

lsattr ：i和a、A特殊属性设置成功后，可以用lsattr进行查看

例：[root@centos7 app]#chattr +i file1

[root@centos7 app]#lsattr file1

i属性显示结果   —-i———– file1

a属性显示结果   —–a———- file1

ACL  访问控制列表

（ls -l查看文件目录时，9位权限之后的点变为“+”，表示该文件目录设置了ACL）

ACL：Access Control List，实现灵活的权限管理

除了文件的所有者，所属组和其它人，可以对更多的用户设 置权限

CentOS7 默认创建的xfs和ext4文件系统具有ACL功能

CentOS7 之前版本，默认手工创建的ext4文件系统无ACL功能,需手动增加

CentOS6系统安装完成后，新建分区默认不支持ACL

setfacl   -m：设置，附加acl权限

格式：setfacl -m u:username:perm  filename  例：setfacl -m u:yan:rw  file

setfacl -m g:groupname:perm  filename  例：setfacl -m g:opts:rwx  file

-x：取消acl权限，用法同-m

-k：清空默认的acl权限

-R：递归（对目录下新建文件不生效，如果要对新建文件生效需要加d（d表示默认）（例：d：username：rw））

-b：清空所有的ACL

getfacl：获取（查看）ACL权限

getfacl file1 | setfacl –set-file=- file2 复制file1 的acl权限给file2

ACL生效顺序：所有者，所属组，自定义用户，自定义组，其他人

getfacl 获取ACL时，有一个mask，这个mask的值，就是ACL文件（目录）上的group的权限，并不是传统的组权限。

mask的作用范围是（自定义用户，自定义组，所属组），起到一个限制最大权限的作用。这三类用户的最大权限不能超过mask的权限（mask最大权限需要与用户的权限进行逻辑与运算后才能得到）.

用户或组的设置必须存在于mask权限设定范围内才会生效

修改 mask值：

setfacl  -m  mask::(rwx)  filename

备份和恢复ACL

主要的文件操作命令cp和mv都支持ACL，只是cp命令需要 加上-p 参数。但是tar等常见的备份工具是不会保留目录 和文件的ACL信息

例：1、getfacl -R  filename > acl.txt

setfacl -R –set-file=acl.txt  filename2

2、setfacl –restore  acl.txt（该命令要在相对路径下执行）