1. linux的系统管理员很重要的任务就是管理自己服务器的文件,对于权限设置等级森严的linux文件系统,文件系统的访问权限管理自然也是linux管理员必不可少的一项技能。
在linux中文件的基本权限中:被分为三大项:文件拥有者,文件拥有组,其他人。
每一项中,用三位八进制的数字来代表文件是否可读,是否可写,是否可执行。并根据用户不同可以设置不同的umask值,来屏蔽文件的权限,umask值位数等于文件的权限位数,当umask的值为1,表示该位的权限就应该屏蔽掉。
后来在使用过程中发现,除了上面的几种分类之外,往往会出现第四种,第五种人,比如虽然是同一个组,但是权限却不能要求一样,或者后一个属于其他人的分组的一个人权限却要求更大,还有就是比如linux的密码文件,对于系统中的密码文件对于普通用户是不应该可见或更改的,但是在系统某些普通用户登录时又必须访问该文件,于是便出现了,文件的特殊权限以及文件的访问控制ACL。
2. umask工作原理及其配置:
umask是从最大权限中屏蔽掉相应的权限位,从而得到相应的权限。
对于每个用户都有其默认的umask值的设定,对于root,umask值较大,默认022,其他人umask较小,因为root权限较大,umask值越大,屏蔽掉的权限也越多,默认创建的文件权限也就越小,对于系统来说,文件系统权限越小,相对来说也就是更高的安全。umask计算时可以用下面的方法计算:
默认权限=最大权限位 – umask屏蔽位。
上面的计算是目录时,最大权限是777,文件时最大权限是666,然后与umask位做差运算,如果是文件则结果就是文件的权限,如果是目录时则要看每一位的数值是奇数还是偶数,如果是奇数就需要该位上加一,偶数位则不变。
示例:
[root@centos7 ~]# ll f4.txt cd -rwxr-xr-x. 1root root 0 Aug 3 10:33 cd -rw-r--r--. 1root root 12 Jul 27 10:35 f4.txt
有上面的文件可知f4.txt文件权限位中(第一个-表示是文件类型,不属于文件权限位),每三个位表示一端,每一段中又分别是r,w,x三中权限,-表示没有该权限位被屏蔽掉了。每一位若用二进制数字表示的话r(100)表示4,w(010)表示2,x(001)表示1,文件最大umask权限默认是666是因为默认屏蔽掉x权限,表示执行的x权限对于系统来说有安全隐患,所以默认屏蔽掉了。
umask值查看与设定:
[root@centos7 ~]# umask 0022 [root@centos7 ~]# umask -p umask 0022 [root@centos7 ~]# umask -S u=rwx,g=rx,o=rx
上面的三种查看方法当中,第一种没有加参数,可以直接显示umask的值,第二种加了-p选项后在umask值前面多了umask字样,可以用来编写脚本时使用,比如要把umask的值改变需要改变配置文件每一个用户的初始化配置文件~/.bashrc当中都有有关umask的值的设定,在/etc/bashrc下面有全局设定,在配置文件的末尾直接写:umask 0147 便将umask值修改为0111了
umask值计算示例:
如将umask的值改为0147了此时
目录:777-147=630 目录值算出多少就是多少
文件:666-147=52(-1) 结果当中有奇数有偶数奇数加一偶数不变(加一是为了屏蔽掉执行权限)结果为620
测试结果如下
[root@centos7 ~]# umask 147 [root@centos7 ~]# touch aa [root@centos7 ~]# ll aa -rw--w----. 1 root root 0 Aug 3 10:59 aa [root@centos7 ~]# mkdir aadir [root@centos7 ~]# ll aadir/ -d drw--wx---. 2 root root 6 Aug 3 11:00 aadir/
可知,结果与计算相符,计算正确
注意:
文件权限是需要和文件系统关联的,假如将fat文件系统格式化的分区,该分区将不支持文件系统权限的,比如用fat32的优盘挂载至文件系统,通过lsblk列出块设备,df –T 查看文件系统确认分区格式和挂载点,修改文件权限,切至普通用户就会发现文件权限修改使没有生效的
3. 文件系统的特殊权限:SUID,SGID,STICKY
三种文件系统权限的都是文件系统权限的扩展,分别简写为s,s,t。在通过ls -l查看文件时第一位就是文件的特殊权限三个字母分别对应于原来的rwx三位,数值也是4,2,1
三种权限的含义:
SUID:对用户有效,并且需要是二进制的可执行文件,对于普通文件和脚本文件无效,当用户执行具有suid的可执行文件时,该用户将继承拥有该程序拥有者的权限执行该程序(可执行文件的运行身份是以发起该进程的用户身份的)
如:
[root@centos7 ~]# ll `which vim` -rwxr-xr-x. 1 root root 2289656 Jun 10 2014 /usr/bin/vim [root@centos7 ~]# ll `which vim` -rwxr-xr-x. 1 root root 2289656 Jun 10 2014 /usr/bin/vim [root@centos7 ~]# chmod u+s `which vim` [root@centos7 ~]# ll `which vim` -rwsr-xr-x. 1 root root 2289656 Jun 10 2014 /usr/bin/vim [root@centos7 ~]# su - jack Last login: Tue Aug 2 21:43:24 CST 2016 on pts/1 [jack@centos7 ~]$ ll /etc/shadow ----------. 1 root root 1309 Aug 2 21:47 /etc/shadow [jack@centos7 ~]$ vim /etc/shadow [jack@centos7 ~]$ echo $? 0 [jack@centos7 ~]$ exit logout [root@centos7 ~]# chmod u-s `which vim` [root@centos7 ~]# ll `which vim` -rwxr-xr-x. 1 root root 2289656 Jun 10 2014 /usr/bin/vim
通过给/usr/bin/vim添加suid权限,普通用户可以编辑对于任何用户都不能查看或编辑的shadow文件,最后给vim减去suid权限。
SGID:类似于suid,目标也是针对可执行的二进制文件有效,对拥有sgid权限的程序,可以拥有可执行文件的组内的权限,使用较少,用法与suid类似,此处不在赘述
sgid作用在目录上的特殊功能:当对目录拥有sgid位时,该目录内新建的文件或目录的所属组自动集成该目录的所属组
示例:在添加了sgid的dir目录中,其他用户创建的目录和文件都会变成jack所属组
[root@centos7 testdir]# mkdir dir [root@centos7 testdir]# chown jack.jack dir [root@centos7 testdir]# chmod g+s dir [root@centos7 testdir]# cd dir [root@centos7 dir]# touch a.txt [root@centos7 dir]# mkdir a_dir [root@centos7 dir]# ll total 0 drwxr-sr-x. 2 root jack 6 Aug 3 16:02 a_dir -rw-r--r--. 1 root jack 0 Aug 3 16:02 a.txt
sticky:又叫粘滞位,该位在
普通文件的sticky位会被linux内核忽略,目录的sticky位表示这个目录里的文件只能被owner和root删除 。粘滞位出现执行许可的位置上,用t表示。但是该目录下的目录不继承该权限,要再设置才可使用。
示例:tmp目录
[root@centos7 ~]# ll /tmp -d drwxrwxrwt. 24 root root 4096 Aug 3 11:22 /tmp
那么原来的执行标志x到哪里去了呢? 系统是这样规定的, 假如本来在该位上有x, 则这些特别标志 (suid, sgid, sticky) 显示为小写字母 (s, s, t).
否则, 显示为大写字母 (S, S, T) 。
chattr:在文件系统的层面为文件添加属性,保护特殊文件,防止误操作,在系统中root可以把本已对任何人都没有权限的文件,执行操作
在操作系统层面上,文件的属性有:
a:让文件或目录仅供附加用途;
b:不更新文件或目录的最后存取时间;
i:不得任意更动文件或目录;
u:预防意外删除。
示例:
[root@centos7 testdir]# ls adir a.txt [root@centos7 testdir]# chattr +a a.txt //添加a属性 [root@centos7 testdir]# chattr +i adir/ [root@centos7 testdir]# echo aa > a.txt//不能修改 -bash: a.txt: Operation not permitted [root@centos7 testdir]# echo aa >> a.txt//只能增加内容 [root@centos7 testdir]# rm -rf adir/ //不能删除目录 rm: cannot remove ‘adir/’: Operation not permitted
文件访问控制列表ACL(Access ControlList,ACL)对文件权限进行精确匹配,包括组和用户,都可以进行匹配:
选项:
-b,--remove-all:删除所有扩展的acl规则,基本的acl规则(所有者,群组,其他)将被保留。
-m给文件添加acl规则
-M 根据规定好的acl格式的文件(存放acl规则的文件),为需要添加acl的文件添加acl
-x 给文件移除规则
-X 类似于-M也是根据文件移除acl权限
-m和-x后边跟以acl规则。多条acl规则以逗号(,)隔开。选项-M和-X用来从文件或标准输入读取acl规则。选项--set和--set-file用来设置文件或目录的acl规则,先前的设定将被覆盖。 选项-m(--modify)和-M(--modify-file)选项修改文件或目录的acl规则。 选项-x(--remove)和-X(--remove-file)选项删除acl规则。
当使用-M,-X选项从文件中读取规则时,setfacl接受getfacl命令输出的格式。每行至少一条规则,以#开始的行将被视为注释。 当在不支持ACLs的文件系统上使用setfacl命令时,setfacl将修改文件权限位。如果acl规则并不完全匹配文件权限位,setfacl将会修改文件权限位使其尽可能的反应acl规则,并会向standard error发送错误消息,以大于0的状态返回
一般示例:
[root@centos7 testdir]# ll total 4 drwxr-xr-x. 2 root root 6 Aug 3 16:17 adir -rw-r--r--. 1 root root 9 Aug 3 16:31 a.txt [root@centos7 testdir]# setfacl -m u:jack:rwx a.txt //给用户jack添加rwx权限 [root@centos7 testdir]# getfacl a.txt //查看文件的acl权限 # file: a.txt # owner: root # group: root user::rw- user:jack:rwx group::r-- mask::rwx other::r— [root@centos7 testdir]# setfacl -x u:jack: a.txt [root@centos7 testdir]# getfacl a.txt # file: a.txt # owner: root # group: root user::rw- group::r-- mask::r-- other::r-- [root@localhost ~]# getfacl ./test.txt # file: test.txt # owner: root # group: admin user::rw- user:john:rw- group::rw- group:dev:r-- mask::rw- other::r—
前面三个以#开头的定义了文件名,file owner和group。
user::rw- 定义了ACL_USER_OBJ, 说明file owner拥有read and write permission
user:jack:rwx 定义了ACL_USER,这样用户jack就拥有了对文件的读写执行权限,实现了我们一开始要达到的目的
group::rw- 定义了ACL_GROUP_OBJ,说明文件的group拥有read and write permission group:dev:r-- 定义了ACL_GROUP,使得dev组拥有了对文件的read permission mask::rw- 定义了ACL_MASK的权限为read and write other::r-- 定义了ACL_OTHER的权限为read