文件系统的权限管理

1、Linux系统下每个目录或文件的权限对象主要分为:属主(u)、属组(g)、其他用户(o),针对每类访问对象都定义了三种权限:读(r)、写(w)、执行(x),这三种权限针对目录和文件的作用各不相同,以下将做详细说明:

对于文件来说:

读(r)权限:可以使用文本查看类工具读取文件内容

写(w)权限:可以修改文件内容,但不能删除文件本身

执行(x)权限:主要针对二进制程序或脚本,可以将其提交给内核并启动一个进程(即运行程序)

对于目录来说:

读(r)权限:只能读取目录中的文件列表,不能访问、不能进入目录、不能查看元数据

写(w)权限:可以在目录中创建、删除文件,但不能使用cd命令进入目录中

执行(x)权限:可以使用cd命令进入目录,但不能查看目录中的文件列表

权限的表示方法可以使用字符表示,也可以使用八进制数字表示,对应关系如下表:

权限位
---
--x
-w-
-wx
r--
r-x
rw-
rwx
二进制表示
000
001
010
011
100
101
110
111
八进制表示
0
1
2
3
4
5
6
7

一个文件的权限位通常分为9位,前三位表示属主的权限,中间三位表示属组的权限,后三位表示其他用户的权限。


2、文件权限修改命令chmod

用法:chmod [选项]... 模式[,模式]... 文件...

或:chmod [选项]... 八进制模式 文件...

或:chmod [选项]... --reference=参考文件 文件...

常用选项:

-R:以递归方式更改所有的文件及子目录

模式:

u= 表示修改属主的所有r、w、x权限

g= 表示修改属组的所有r、w、x权限

o= 表示修改除了属主、属组的其他用户所有r、w、x权限

ug= 表示同时修改属组和属组的所有r、w、x权限

a= 表示修改所有对象的r、w、x权限(即属主、属组和其他用户)

u+ 表示在原来属主权限的基础上增加某位或某些位的权限

u- 表示在原来属主权限的基础上减去某位或某些位的权限

注意:X(大写)表示只给目录x权限,不给文件x权限

应用实例:

[root@liang testdir]# ll
总用量 4
drwxr-xr-x. 3 root root 4096 8月   4 05:46 bbb
[root@liang testdir]# chmod u=r,o-x bbb/
[root@liang testdir]# ll
总用量 4
dr--r-xr--. 3 root root 4096 8月   4 05:46 bbb
[root@liang testdir]# chown 765 bbb/
[root@liang testdir]# ll
总用量 4
drwxr-xr--. 3 765 root 4096 8月   4 05:46 bbb
[root@liang testdir]# ll /etc/shadow
----------. 1 root root 2268 8月   4 05:07 /etc/shadow
[root@liang testdir]# chmod --reference=/etc/shadow bbb/
[root@liang testdir]# ll
总用量 4
d---------. 3 root root 4096 8月   4 05:46 bbb

3、文件属主修改命令chown

用法:chown [选项]... [所有者][:[组]] 文件...

或:chown [选项]... --reference=参考文件 文件...

常用选项:

-R:递归处理所有的文件及子目录

应用实例:

[root@liang testdir]# ll
总用量 4
drwxrw-r-x. 3 root root 4096 8月   4 05:46 bbb
[root@liang testdir]# chown zsan bbb/
[root@liang testdir]# ll
总用量 4
drwxrw-r-x. 3 zsan root 4096 8月   4 05:46 bbb
[root@liang testdir]# chown lsi:sysadmins bbb/
[root@liang testdir]# ll
总用量 4
drwxrw-r-x. 3 lsi sysadmins 4096 8月   4 05:46 bbb
[root@liang testdir]# chown --reference=/root/ bbb/
[root@liang testdir]# ll
总用量 4
drwxrw-r-x. 3 root root 4096 8月   4 06:28 bbb

4、文件属组修改命令chgrp

用法:chgrp [选项]... 用户组 文件...

或:chgrp [选项]... --reference=参考文件 文件...

常用选项:

-R:递归处理所有的文件及子目录

应用实例:

[root@liang testdir]# ll
总用量 4
drwxrw-r-x. 3 root root 4096 8月   4 06:28 bbb
[root@liang testdir]# chgrp sysadmins bbb/
[root@liang testdir]# ll
总用量 4
drwxrw-r-x. 3 root sysadmins 4096 8月   4 06:28 bbb
[root@liang testdir]# chgrp --reference=/root/ bbb/
[root@liang testdir]# ll
总用量 4
drwxrw-r-x. 3 root root 4096 8月   4 06:28 bbb

5、设置文件或目录新建时的默认权限命令umask

umask命令的作用是新建目录或文件时屏蔽掉最大权限相应的位,从而得出默认权限。

对于普通文件来说,一般情况下,新建文件的默认八进制权限值等于666减去umask的值,但如果某类对象的权限值结果中存在x权限,则将其权限位加1。

对于目录文件来说,新建目录的默认八进制权限值等于777减去umask的值。

设定umask值:umask 八进制权限模式  或:umask 模式[,模式]...

显示umask值:umask  或 umask -S 或 umask -p

[root@fengl etc]# umask u=r,g=r,o=r
[root@fengl etc]# umask
0333
[root@fengl etc]# umask -p
umask 0333
[root@fengl etc]# umask -S  #显示的是新建文件或目录的默认权限,如果新建的是文件且有x权限时,则自动减去x权限
u=r,g=r,o=r
[root@fengl etc]# umask 234
[root@fengl etc]# umask
0234

可以在环境变量中直接添加umask的值实现控制新建目录或文件的默认权限效果。umask的全局配置在文件/etc/bashrc中,umask的用户环境变量可以在~/.bashrc中设置。

应用实例:

[root@liang6 testdir]# umask 
0022
[root@liang6 testdir]# touch file1
[root@liang6 testdir]# mkdir dir1
[root@liang6 testdir]# ll
total 4
drwxr-xr-x. 2 root root 4096 Aug  4 08:18 dir1
-rw-r--r--. 1 root root    0 Aug  4 08:18 file1
[root@liang6 testdir]# umask 111
[root@liang6 testdir]# touch file2
[root@liang6 testdir]# mkdir dir2
[root@liang6 testdir]# ll
total 8
drwxr-xr-x. 2 root root 4096 Aug  4 08:18 dir1
drw-rw-rw-. 2 root root 4096 Aug  4 08:18 dir2
-rw-r--r--. 1 root root    0 Aug  4 08:18 file1
-rw-rw-rw-. 1 root root    0 Aug  4 08:18 file2

6、Linux文件系统上的特殊权限

在Linux系统上的三个特殊权限为:SUID、SGID、Sticky

Linux系统中任何一个可执行程序文件都有其属主和属组,程序运行时的进程也有属主和属组。一个可执行程序能否启动为进程,取决于发起者对程序文件是否拥有可执行权限,当可执行程序启动为进程时,其进程的属主为发起者,进程的属组为发起者所属的组。而进程访问文件时的权限取决于进程的发起者,如果进程的发起者为程序文件的属主,则该进程所拥有的权限和程序文件的属主权限一样,如果进程的发起者为程序文件的属组,则该进程拥有的权限和程序文件的属组权限一样,同样,如果进程的发起者为程序文件的“其他位”用户,则该进程所拥有的权限和程序文件的“其他位”权限一样。

(1)、SUID的作用就是保证程序运行时的进程属主为原有文件的属主,即进程的有效身份不是发起者,而是程序文件自身的属主,这样可以避免不同用户启动可执行程序时的权限问题(如paswd命令,执行passwd命令的过程其实就是访问并修改/etc/shadow文件,而普通用户对该文件是没有任何访问权限的)。因此,SUID权限一般作用在有可执行权限的二进制文件(可执行程序或命令)上。

SUID权限的设置方法为:chmod u+s FILE...  或  chmod u-s FILE...

SUID的权限位(s)和文件的属主执行权限位(x)相同,此s可能显示为大写或小写,大写表示该文件的属主本身没有可执行权限,小写表示该文件的属主本身具有可执行权限。

应用实例:

[root@liang6 testdir]# ll
total 0
-rw-r--r--. 1 root root 0 Aug  4 08:18 file1
[root@liang6 testdir]# chmod u+s file1 
[root@liang6 testdir]# ll
total 0
-rwSr--r--. 1 root root 0 Aug  4 08:18 file1
[root@liang6 testdir]# chmod u-s file1 
[root@liang6 testdir]# ll
total 0
-rw-r--r--. 1 root root 0 Aug  4 08:18 file1
[root@liang6 testdir]# chmod u+sx file1 
[root@liang6 testdir]# ll
total 0
-rwsr--r--. 1 root root 0 Aug  4 08:18 file1

(2)、默认情况下用户创建文件时,其属组为此用户所属的主组,而一旦某目录被设定了SGID权限,则对该目录有写权限的用户,在此目录下所创建的文件或目录所属组为此目录的属组。

SGID的设置方法为:chmod g+s DIR...   或  chmod g-s DIR...

SUGD的权限位(s)和目录的属组执行权限位(x)相同,此s可能显示为大写或小写,大写表示该目录的属组本身没有可执行权限,小写表示该目录的属组本身具有可执行权限。

应用实例:

[root@liang6 testdir]# ll
total 4
drwxr-xr-x. 2 root root 4096 Aug  4 10:41 dir1
[root@liang6 testdir]# chmod g+s dir1/
[root@liang6 testdir]# ll
total 4
drwxr-sr-x. 2 root root 4096 Aug  4 10:41 dir1
[root@liang6 testdir]# chmod o+w dir1/
[root@liang6 testdir]# ll
total 4
drwxr-srwx. 2 root root 4096 Aug  4 10:41 dir1
[root@liang6 testdir]# su user5
[user5@liang6 testdir]$ touch dir1/file1
[user5@liang6 testdir]$ exit
[root@liang6 testdir]# su user3
[user3@liang6 testdir]$ touch dir1/file2
[user3@liang6 testdir]$ exit
[root@liang6 testdir]# ll dir1/
total 0
-rw-rw-r--. 1 user5 root 0 Aug  4 10:44 file1
-rw-rw-r--. 1 user3 root 0 Aug  4 10:44 file2

(3)、Sticky 称作为粘滞位,一般作用在目录上,实现的效果是对于一个多人可写的目录,每个用户仅能删除自己的文件(GID为0的管理员用户除外),如系统上的/tmp和/var/tmp目录默认都具有Sticky权限。

Sticky的设置方法为:chmod o+t DIR...   或  chmod o-t DIR...

Sticky的权限位(t)和目录的“其他位”执行权限位(x)相同,此t可能显示为大写或小写,大写表示该目录的“其他位”本身没有可执行权限,小写表示该目录的“其他位”本身具有可执行权限。

应用实例:

[root@liang6 testdir]# chmod o+t dir1/
[root@liang6 testdir]# ll
total 4
drwxr-xrwt. 2 root root 4096 Aug  4 10:44 dir1
[root@liang6 testdir]# cd dir1/
[root@liang6 dir1]# su user5
[user5@liang6 dir1]$ ll
total 0
-rw-rw-r--. 1 user5 root 0 Aug  4 10:44 file1
-rw-rw-r--. 1 user3 root 0 Aug  4 10:44 file2
[user5@liang6 dir1]$ rm -f file2
rm: cannot remove `file2': Operation not permitted
[user5@liang6 dir1]$ rm -f file1
[user5@liang6 dir1]$ ll
total 0
-rw-rw-r--. 1 user3 root 0 Aug  4 10:44 file2

(4)、这三个特殊权限也可以组成一组权限,并用八进制表示法表示,这三个权限位分别为:sgid-suid-sticky,对应关系如下:

二进制表示
000
001
010
011
100
101
110
111
八进制表示
0
1
2
3
4
5
6
7

特殊权限的八进制表达法,可于默认的三位八进制数字左侧再加一位八进制数字,如:

[root@liang testdir]# chmod 2555 dir1/
[root@liang testdir]# ll
总用量 4
dr-xr-sr-x. 2 root root 4096 8月   5 03:32 dir1

7、改变文件属性的命令chattr和查看属性命令lsattr

chattr命令只有超级权限的用户才能使用,该命令可改变存放在ext2、ext3、ext4、xfs、ubifs、reiserfs、jfs等文件系统上的文件或目录属性。chattr命令的作用很大,其中一些功能是由Linux内核版本来支持的,不过现在绝大部分的Linux系统都是2.6以上内核了。通过chattr命令修改属性能够提高系统的安全性,但是它并不适合所有的目录。chattr命令不能保护/、/dev、/tmp、/var目录。

用法:chattr [-RVf] [-+=AacDdeijsSu] [-v version] files...

常用选项:

-R 递归处理,将指定目录下的所有文件及子目录一并处理

-V 显示指令执行过程

-f  抑制大多数的错误信息

-v<版本编号> 设置文件或目录版本

模式说明:

+<属性> 开启文件或目录的该项属性

-<属性> 关闭文件或目录的该项属性

=<属性> 指定文件或目录的该项属性

A:即Atime,文件或目录的atime不可被修改,可以有效预防例如手提电脑磁盘I/O错误的发生

a:即Append Only,设定该参数后,只能向文件中添加数据,而不能删除。如果目录具有这个属性,系统将只允许在这个目录下创建和修改文件,而不允许删除任何文件,多用于服务器日志文件安全

c:即compresse,设定文件是否经压缩后再存储,读取时需要经过自动解压操作

i:即Immutable,设定文件不能被删除、改名、设定链接关系,同时不能写入或新增内容,如果目录具有这个属性,那么任何的进程只能修改目录之下的文件,不允许建立和删除文件。i参数对于文件系统的安全设置有很大帮助

s:保密性地删除文件或目录,不可恢复,因为是从磁盘上删除,然后用0填充文件所在区域

u:与s相反,当一个应用程序请求删除这个文件,系统会保留其数据块以便以后能够恢复删除这个文件,用来防止意外删除文件或目录

lsattr命令可查看使用chattr命令改变文件的属性信息。

用法:lsattr [-RVadlv] [files...]

常用选项:

-a:显示所有文件和目录,包括“.”和“..”

-d:显示目录,而非目录内容

-R:递归处理

应用实例:

[root@liang testdir]# chattr -R +i dir1/
[root@liang testdir]# lsattr -a dir1/
----i--------e- dir1/.
-------------e- dir1/..
----i--------e- dir1/file1
[root@liang testdir]# ll
总用量 4
drwxr-xr-x. 2 root root 4096 8月   5 04:20 dir1
[root@liang testdir]# cd dir1/
[root@liang dir1]# touch file2
touch: 无法创建"file2": 权限不够
[root@liang dir1]# ll
总用量 4
-rw-r--r--. 1 root root 5 8月   5 04:20 file1
[root@liang dir1]# cat file1 
aaaa
[root@liang dir1]# echo bbbbbbbbbb > file1 
-bash: file1: 权限不够

8、设置文件的访问控制列表命令setfacl

chmod命令可以修改文件或目录的所有者、所属组和其他人的权限,而setfacl命令可以实现更灵活的权限管理,除了对文件或目录的所有者、所属组和其他人的权限管理外,还可以对更多的用户设置权限。

文件设置了访问控制列表后的权限执行顺序为:所有者、自定义用户、自定义组、其他人

CentOS7之前版本,默认手工创建的ext4文件系统无ACL功能,需要手动增加,命令如下:

]# tune2fs -o acl /dev/sdb1

]# mount -o acl /dev/sdb1 /mnt

用法: setfacl [-bkndRLPvh] [{-m|-x} acl_spec] [{-M|-X} acl_file] file ...

常用参数:

-m, --modify=acl:修改ACL

-x, --remove=acl:移除ACL

-M, --modify-file=file:修改从文件读取的ACL条目

-X, --remove-file=file:移除从文件读取的ACL条目

-b, --remove-all:清空ACL

-d, --default:通常用在目录上,效果是在该目录下新建的文件或目录会默认添加ACL

-k, --remove-default:与-d相反,作用是移除目录上添加的默认ACL

-R, --recursive:递归设置

getfacl命令可以查看设置的文件访问控制列表

用法:getfacl [-aceEsRLPtpndvh] file ...

应用实例:

[root@liang testdir]# setfacl -m u:zsan:rwx dir1/  #修改ACL
[root@liang testdir]# 
[root@liang testdir]# getfacl dir1/     #查看ACL
# file: dir1/
# owner: root
# group: root
user::rwx
user:zsan:rwx
group::r-x
mask::rwx
other::r-x
[root@liang testdir]# chmod g=w dir1/    
[root@liang testdir]# getfacl                #更改属组的权限后再查看ACL
Usage: getfacl [-aceEsRLPtpndvh] file ...
Try `getfacl --help' for more information.
[root@liang testdir]# getfacl dir1/
# file: dir1/
# owner: root
# group: root
user::rwx
user:zsan:rwx            #effective:-w-
group::r-x            #effective:---
mask::-w-
other::r-x
[root@liang testdir]# setfacl -x u:zsan dir1/   #移除ACL后使用ll查看
[root@liang testdir]# ll
总用量 8
drwxr-xr-x+ 2 root root 4096 8月   5 04:20 dir1
[root@liang testdir]# setfacl -b dir1/    #清楚ACL后查看
[root@liang testdir]# ll
总用量 4
drwxr-xr-x. 2 root root 4096 8月   5 04:20 dir1
[root@liang testdir]# setfacl -m d:u:zsan:rw dir1/   #设置目录的默认ACL,只影响改目录下的新文件
[root@liang testdir]# getfacl dir1/
# file: dir1/
# owner: root
# group: root
user::rwx
group::r-x
other::r-x
default:user::rwx
default:user:zsan:rw-
default:group::r-x
default:mask::rwx
default:other::r-x