Linux文件系统权限管理

目录

1.文件的基本权限

(1)权限的作用

(2)查看权限

(3)文件类型

(4) 文件权限

(5)文件拥有者

(6)更改文件的属主和属组

(7)修改文件的权限

1)使用字符设定

2) 使用0-7的数字表示权限法

3)文件默认权限umask

2.文件的特殊权限

(1) 文件的特殊权限:suid sgid sticky

1)SUID

2)SGID

3)Stickybit

(2)文件扩展权限ACL


1.文件的基本权限

(1)权限的作用

通过对文件设定权限可以达到以下三种访问限制权限:

  • 只允许用户自己访问;
  • 允许一个预先指定的用户组中的用户访问;
  • 允许系统中的任何用户访问。

(2)查看权限

Linux文件系统权限管理_第1张图片

(3)文件类型

此处强调一下,Linux中文件类型有如下:

p表示命名管道文件

d表示目录文件

l表示符号连接文件

-表示普通文件

s表示socket套接口文件,比如我们启用mysql时,会产生一个mysql.sock文件

c表示字符设备文件,例: 虚拟控制台 或tty0

b表示块设备文件   例: sda, cdrom

Linux文件系统权限管理_第2张图片

(4) 文件权限

权限说明:

有三种权限可以应用:读取,写入与执行,这些权限对访问文件和目录的影响如下:

权限

对文件的影响

对目录的影响

r(读取)

可以读取文件的内容

可以列出目录的内容(文件名) ls

w(写入)

可以更改文件的内容

可以创建或删除目录中的任意文件

touch mkdir  rm  mv cp

x(执行)

可以作为命令执行文件

可以进入目录(而对目录中文件内容的操作取决于目录中文件的权限)

cd 

(5)文件拥有者

UGO:所有者--用户组--其它用户

  • 所有者: 就是创建文件的用户,这个用户拥有对它所创建的文件的一切权限,所有者可以允许其所在的用户组可以访问所有者的文件。
  • 用户组: 用户组是具有相同特征用户的逻辑集合,有时我们需要让多个用户具有相同的权限,比如查看、修改某一个文件的权限,一种方法是分别对多个用户进行文件访问授权,如果有10个用户的话,就需要授权10次,显然这种方法不太合理;另一种方法是建立一个组,让这个组具有查看、修改此文件的权限,然后将所有需要访问此文件的用户放入这个组中,那么所有用户就具有了和组一样的权限。这就是用户组。
  • 其它用户:系统内的其他所有者用户就是other用户类
  • 示例1:
  • [rwx------]表示目录所有者本身拥有的权限,其它用户是无法进入的。 root可以。
  •  
  • 示例2:
  • Linux文件系统权限管理_第3张图片
  • 你以什么用户身份登录,那么你创建的文件或目录,自动成为该文件的所属主和组

(6)更改文件的属主和属组

改变文件的所属关系用到命令:

  • chown:可以用来改变文件(或目录)的属主
  • chgrp:可以用来改变文件(或目录)的默认属组
  • 如果你要对目录进行操作,加参数  -R

chown

语法:

  • chown user:group filename                   比如:chown hr:san a.txt  把文件的属主和属组改为hr,san
  • chown user filename                              比如:chown san a.txt  把文件的属主改为san用户
  • chown :group filename                          比如: chown :miao a.txt   把文件的属组改为miao这个组
  • chgrp hr filename                                   比如: chgrp hr f.txt  
  • -R :递归(目录下的所有内容都更改,否则只修改目录)

Linux文件系统权限管理_第4张图片

一个文件只有读的权限,文件所有者是否可以写这个文件?

Linux文件系统权限管理_第5张图片

Linux文件系统权限管理_第6张图片

写成功

结论:文件所有者一定可以写文件。

比如就像root可以对shadow强制写。 因shadow的拥有者是root

(7)修改文件的权限

1)使用字符设定

修改权限用的命令:chmod

作用:修改文件,目录的权限

语法:chmod [对谁操作] [操作符] [赋于什么权限] 文件名

对谁操作:

  • u----> 用户user,表示文件或目录的所有者
  • g---->用户组group,表示文件或目录所属的用户组
  • o---->其它用户others
  • a---->所有用户all

操作符:

  • + :添加权限  ;
  •  - : 减少权限  ;
  • = :直接给定一个权限

权限:r w x

例如下在的组合:

u-w

user

拥有者

g+x

group

o=r

other

其他人

a+x

all

所有人

 

 

 

 

 

Linux文件系统权限管理_第7张图片

2) 使用0-7的数字表示权限法

权限

二进制值

八进制值

描述

---

000

0

没有任何权限

--x

001

1

只有执行权限

-w-

010

2

只有写入权限

-wx

011

3

有写入和执行权限

r--

100

4

只有读取权限

r-x

101

5

有读取和执行权限

rw-

110

6

有读取和写入权限

rwx

111

7

有全部权限

 

 

 

 

 

 

 

 

 

语法:

  • chmod 755 文件或文件夹名字
  • 例如:chmod a=rwx b.txt  等于 chmod 777 b.txt

Linux文件系统权限管理_第8张图片

3)文件默认权限umask

为什么我们创建的文件的权限是644呢?我们创建文件的默认权限是怎么来的?

umask命令允许你设定文件创建时的缺省模式,对应每一类用户(文件属主、同组用户、其他用户)存在一个相应的umask值中的数字

  • 文件默认权限=666 
  • 目录默认权限=777

我们一般在/etc/profile、$ [HOME]/.bash_profile或$[HOME]/.profile中设置umask值。

永久生效,编辑用户的配置文件vim .bash_profile  

注: UID大于199 且用户的组名和用户名一样,那么 umask值为002,否则为022.

注: -gt 在shell中表示大于; id -g 显示用户组ID ,id -gn显示组名。

临时生效:umask 权限码

Linux文件系统权限管理_第9张图片

权限科学的计算方法:

1、将默认权限(目录777,文件666)和umask值都转换为2进制

2、对umask取反

3、将默认权限和umask取反后的值做与运算

4、将得到的二进制值再转换8进制,即为权限,

例1: umask 为022

6  6  6                        umask   0  2   2

110 110 110               000 010  010          # 转成二进制 

                                   111 101  101          # umask取反的值

110 110 110               

 与                                                             #第二步,默认权限和umask取反后的值做与运算 

111 101 101   

110 100 100

6   4   4     #转成8进制数

例2: umask 为033   结果为: 644

6  6  6                        umask   0  3   3

110 110 110               000 011  011                 # 转成二进制

                                  111 100  100                 # umask取反的值

110 110 110   

 与                                                                   #默认权限和umask取反后的值做与运算

 111 100 100                                                     # umask取反的值

110 100 100

6   4   4    #转成8进制

2.文件的特殊权限

(1) 文件的特殊权限:suid sgid sticky

  • 1、SUID(set uid设置用户ID):限定:只能设置在二进制可执行程序上面。对目录设置无效
  •                                                       功能:程序运行时的权限从执行者变更成程序所有者的权限
  • 2、SGID:限定:既可以给二进制可执行程序设置,也可以对目录设置
  •                    功能:在设置了SGID权限的目录下建立文件时,新创建的文件的所属组会,继承上级目录的所属组
  • 3、Stickybit:粘滞位权限是针对目录的,对文件无效,也叫防删除位

这3个特殊权限对应的数值为

SUID

SGID

Stickybit

u+s或u=4

g+s或g=2

o+t或o=1

 

 

1)SUID

例1:

SUID属性一般用在可执行文件上,当用户执行该文件时,会临时拥有该执行文件的所有者权限。使用”ls -l” 或者”ll” 命令浏览文件时,如果可执行文件所有者权限的第三位是一个小写的”s”,就表明该执行文件拥有SUID属性。比如/usr/bin/passwd文件

例2:

Linux文件系统权限管理_第10张图片

普通用户boboyu都没有对shadow文件写入的权限, 但是mk用户使用passwd修改自己密码时,可以修改shadow文件中的内容,这是什么原因?

因为boboyu用户执行passwd命令时,权限会临时提升成root用户,所以可以修改成功。

例3:

Linux文件系统权限管理_第11张图片

chmod 4755 /usr/bin/less   等同于     chmod u+s /usr/bin/less

2)SGID

限定:既可以给二进制可执行程序设置,也可以给目录设置。

功能:在设置了SGID权限的目录下建立文件时,新创建的文件的所属组会继承上级目录的权限

例1:

Linux文件系统权限管理_第12张图片

3)Stickybit

限定:只作用于目录

功能:目录下创建的文件只有root、文件创建者、目录所有者才能删除。

Linux文件系统权限管理_第13张图片

(2)文件扩展权限ACL

扩展ACL  :access control list

例1:设置用户boboyu对文件a.txt拥有的rwx权限 ,boboyu不属于a.txt的所属主和组,boboyu是other,怎么做?

Linux文件系统权限管理_第14张图片

当给boboyu用户添加了扩展权限ACL后,在它的用户下就可以看到其他用户权限后面多了一个+号,并且可以写该文件,并且该文件依然只属于root用户和root组

当切换到harry用户下,不能写该文件

Linux文件系统权限管理_第15张图片

例2:给目录加权限

没有d参数:

Linux文件系统权限管理_第16张图片

无d参数,所以test1下所有创建的文件和目录不会继承了默认的acl权限

Linux文件系统权限管理_第17张图片

有d参数:

Linux文件系统权限管理_第18张图片

在该目录下创建的文件

因为d参数,所以test下所有创建的文件和目录都继承了默认的acl权限

Linux文件系统权限管理_第19张图片

给目录下所有文件都加扩展权限:setfacl -R -m u:boboyu:rw-  testdirectory/        #-R一定要在-m前面,表示目录下所有文件

去掉单个权限:setfacl -x u:mk /tmp/a.txt

去掉所有acl权限:setfacl -b  /tmp/a.txt

你可能感兴趣的:(Linux)