2017 07.24 文件权限管理

一.文件权限属性

(1) [root@pc root]# ls -l install.log

-rw-r--r-- 1 root root 26195 Dec 17 10:42 install.log

image.png

(2) 文件属性操作

• chown 设置文件的所有者:
  设置格式 'chown owner' 创建一个f1文件，它的所有者为root，通过chown 命令将f1 的所有者改为wangcai

  
  
  

  image.png
• chown也可以修改所属于组和所有者
  格式： chown owner:group file ——其中'：'可以用'.'来代替，也可以'：group file'只改变组
  创建一个f2文件，查看所有者和所属组，然后通过chown wangcai:sasles f2
  则将f2的属性改变
  
  

  image.png
  
  chown -R 为递归： 'chown -R wang jerry/' 将jerry里的所有用户都改为wang用户

注意： 普通用户无法执行 'chown'命令

• chgrp 设置文件的属组信息
  格式： charg libai f2——将f2文件的所属组改为libai(前提libai这个组存在)
  charg -R:递归

注意：普通用户也可以执行 charg命令，当普通通用户属于该组时就可以执行。

二.文件权限

(1)首先文件的权限主要针对三类对象进行定义

owner: 属主 u group: 属组 g other: 其他 o
三类对象的权限：
r:对文件有读的权限
w:对文件有写的权限
x:对文件有执行的的权限

• 文件:
  r: 可以查看内容，确定文件类型
  w: 可修改其内容
  x: 可以把此文件提请内核启动为一个进程 ,决定是否可以执行，对root也有效果

  
  
  

  image.png
  
  

  查看f2文件：我们可以看出，f2的用户'wangcai'的权限为'rw-'说明它具有读和写的功能
  所属组为'sasles'的权限为'rw-' 也具有读和写的权限 而其他用户只有写的权限

• 目录：
  只有'r'权限: 可以使用ls查看此目录中文件列表 ，但是不能访问 ，也不能执行cd命令(删除和查看)
  只有'w'权限: 可在此目录中创建文件，也可删除此目录中的文件(但需要x权限才能生效)
  只有'x'权限: 不可以使用ls -l查看此目录中文件列表，但可以访问目录下的文件(前提知道文件名)，也可以cd进入此目录——执行权力是个基本能力
• 目录:
  X:只给目录x权限，对文件:如果文件中有x权限，就可以增加赋予'x'权限，如果文件没有'x'权限就不赋予该权限

(2)文件权限操作命令

• chmod:修改权限
  修改模式： chmod who opt per file
  who: 代表有谁——u ,g ,o a(所有人)
  opt: 代表操作——'+'(增加权限) '-'(减少权限) '='(赋予权限)
  per: 'r'权限 'w'权限 'x'权限
  

  image.png
  
  chmod -R g+rwX /testdir：递归模式，对用户组增加读写执行权限，然后对/testdir目录下的文件递归赋予权限
  chmod 660 file :给文件赋予了u=rw, g=rw ,o=

(3)新建文件和目录的默认权限

umask值 可以用来保留在创建文件权限

• 初步算法： umask+default=file666/dir/777
  

  文件的最大权限为666(u=rw- g=rw- o=rw-)'不能给文件赋予执行的权利，否则会有危险',所以文件最大权限为666——当umask为022时，那么新创建的文件应该为666-022=644 结果如图：
  

  image.png
  
  目录的最大权限为777(u=rwx g=rwx o=rwx)——同理，创建一个新的文件夹(dir5)应该为777-022=755 结果如图：
  
  
  

  image.png
  
  *但是如果umask为015时，按照初步算法的结果应该为：651(rw- r-x --x)但是结果如图所示：
  
  

  image.png
  
  所以这里引出了umask的作用：它真正的算法是从对应中将umask的指定权限去掉
  例如以上图为例：666——对应二进制是：110110110，uamsk：000001101
  

  通过对位去权限的的原则得出结果为：110110010和上图结果一样
  权限: 666-umask 如果所得结果某位存在执行（奇数）权限，则将其权限+1 ，结果为偶数则不变
  新建DIR权限: 777-umask
  非特权用户umask是 002 
  root的umask 是 022 
  umask: 查看 
  umask #: 设定 umask 002 
  umask –S 模式方式显示 u=rw g=r o=
  umask –p 输出可被调用 显示umask结果 可以用'umask -p >>.bashrc'来代替nano的作用
  全局设置： /etc/bashrc
  用户设置：~/.bashrc

• 小练习

1、当用户xiaoming对/testdir 目录无执行权限时，意味着无法做哪些操作？
答:用户对目录没有执行权限，意味着不能执行cd命令，也无法进入目录内，即使有读权限也无法进入，不能进入目录内查看文件列表，无法修改
2、当用户xiaoqiang对/testdir 目录无读权限时，意味着无 法做哪些操作？
答:没有读权限就无法查看目录列表的内容，除非之前就知道目录列表中的文件名
3、当用户wangcai 对/testdir 目录无写权限时，该目录下的 只读文件file1是否可修改和删除？ 
答:没有写的权限就不能执行创建或是删除目录，因为该目录下的文件只有只读的权限
4、当用户wangcai 对/testdir 目录有写和执行权限时，该目 录下的只读文件file1是否可修改和删除？ 
答:当具有写和执行的权限时，就可以实现对只读文件删除，但是不能修改，可以改名
5、复制/etc/fstab文件到/var/tmp下，设置文件所有者为 wangcai读写权限，所属组为sysadmins组有读写权限，其他 人无权限 
答:首先 groupadd sysadmins 创建一个组，然后

image.png

image.png

6、误删除了用户wangcai的家目录，请重建并恢复该用户家 目录及相应的权限属性
答:
方法一

image.png

方法二
cp -r /etc/skel /home/mage chown -R mage:mage /home/mage chmod 700 /home/mage

**三. Linux文件系统上的特殊权限 **

• suid

含义：影响所有者的权限，用户可以继承程序所有者的功能，作用在所有者上
作用：作用在可执行的二进制程序，将当前运行着的身份切换成该程序所有者的身份，权限也为该所有者的权限，但suid不能作用在目录上

image.png

权限设定模式：
chmod u+s file
chmod u-s file
chmod 4777 file——'4'代表suid 就是给文件加上's'权限
s权限位在所有者的执行位上，当文件本身具有'x'权限时，增加's'位，则显示's',当文件本身没有执行权限时，增加's'权限则会显示'S'
需要注意的是：在某些执行程序中，如果加上's'权限，就意味着，任何发起者都继承了该文件的root权限，能够执行各种操作，这本身是不安全的，显示如如图
[root@centos7 ~]#ll /bin/nano
-rwxr-xr-x. 1 root root 205904 Jun 10 2014 /bin/nano
[root@centos7 ~]#chmod u+s /bin/nano
[root@centos7 ~]#ll /bin/nano
-rwsr-xr-x. 1 root root 205904 Jun 10 2014 /bin/nano

• sgid

含义:影响所属组的权限，作用在所属组上
作用:作用在可执行的二进制程序上，继承运行程序所属组的权限
权限设定模式：
chmod g+s file
chmod g-s file
原理类似suid
sgid也可以作用在目录上，对某目录有写权限的用户，在该目录下创建了一个新的文件，那么此文件就继承了该目录的属组
权限设定模式：
chmod g+s dir
chmod g-s dir
chmod 2770 dir
权限位的映射在所属组的执行位上，有关大小写的问题与suid相同

• sticky

作用：只作用在目录上，对文件无效，只有所有者或是root能删除自己的文件
在传统意义上，只要是具有写权限的目录，那么通常任何用户可以删除该目录中的任何文件，无论该文件的权限或拥有权 ，所以加入sticky，来保护目录下的文件
权限设定：
chmod o+t DIR
chmod o-t DIR
chmod 1770 DIR
权限位的映射在其他人的执行位上，有关大小写的问题与suid相同

image.png

• 设定文件特定属性

(1)chattr +i 不能删除，改名，更改 对文件起到保护作用

image.png

执行 chattr -i 可以还原
chattr +i shadow
[root@centos7 app]#lsattr shadow
----i----------- shadow
[root@centos7 app]#chattr -i shadow
[root@centos7 app]#lsattr shadow
---------------- shadow
[root@centos7 app]#lsattr f1
(2)chattr +a 只能追加内容 
(3)lsattr 显示特定属性* ## ACL访问控制列表
作用：除了文件的所有者，所属组和其它人，可以对更多的用户设置权限
ACL生效顺序：所有者，自定义用户，自定义组，其他人
CentOS7 默认创建的xfs和ext4文件系统具有ACL功能 
CentOS7 之前版本，默认手工创建的ext4文件系统无ACL功 能,需手动增加 tune2fs –o acl /dev/sdb1 mount –o acl /dev/sdb1 /mnt/test

• 设置ACL权限——setfacl
  setfacl -m u:wangcai:rwx file|directory ——对wangcai这个用户设置权限，可作用在文件上，也可以作用在目录上setfacl -Rm g:sales:rwX directory ——配合递归功能对sales组以及成员都设置了rwX权限，只作用在目录上,把'X'改为'x'就可以作用到文件上了
  [root@centos7 app]#setfacl -Rm u:wangcai:rwx /app
  [root@centos7 app]#ll /app
  total 8
  drwxrwsr-x+ 2 root sasles 25 Jul 25 10:34 dir
  drwxrwxr-x+ 3 root root 31 Jul 25 11:52 dir1
  -rw-rwxr--+ 1 wangcai root 541 Jul 25 11:29 f1
  -r--rwx---+ 1 root root 1978 Jul 25 10:43 shadow
  [root@centos7 app]#getfacl f1
  # file: f1
  # owner: wangcai
  # group: root
  user::rw-
  user:wangcai:rwx
  group::r--
  group:sasles:rw-
  mask::rwx
  other::r--
  [root@centos7 app]#getfacl dir1/dir2
  # file: dir1/dir2
  # owner: root
  # group: root
  user::rwx
  user:wangcai:rwx
  group::r-x
  mask::rwx
  other::r-x
  setfacl -M file.acl file|directory —— 调用作用
  [root@centos7 app]#touch acl.txt
  [root@centos7 app]#echo "u:wangcai:rwx" >acl.txt
  [root@centos7 app]#cat acl.txt
  u:wangcai:rwx
  [root@centos7 app]#stefacl -M acl.txt f1
  setfacl -M acl.txt f1
  [root@centos7 app]#getfacl f1
  # file: f1
  # owner: wangcai
  # group: root
  user::rw-
  user:wangcai:rwx
  group::r--
  group:sasles:rw-
  mask::rwx
  other::r--
  setfacl -m g:salesgroup:rw file| directory ——对这个组设置权限
  setfacl -m d:u:wang:rx directory ——对该目录下新创建的文件设置权限，不影响旧文件，只是针对目录有效
  setfacl -x u:wang file |directory ——删除wang用户和权限
  setfacl -X file.acl directory—— 删除权限
  setfacl -b directory——清空目录里的所有文件的acl权限
  setfacl -k dir 删除默认ACL权限 
  setfacl –b file1清除所有ACL权限 
  setfacl -m mask::rx file ——除了other和所有者不能限制，其他的都被mask限制，相当于设置了一个高压线，不能超过mask!
  [root@centos7 app]#setfacl -m mask::r f1
  [root@centos7 app]#getfacl f1
  file: f1
  owner: wangcai
  group: root
  user::rw-
  user:wangcai:rw- #effective:r--
  group::r--
  group:sasles:rw- #effective:r--
  mask::r--
  other::r--

• 显示ACL权限——getfacl
  getfacl file |directory
  [root@centos7 app]#getfacl f1
  file: f1
  owner: wangcai
  group: root
  user::rw-
  user:wangcai:rw-
  group::r--
  group:sasles:rw-
  mask::rw-
  other::r--
  getfacl file1 | setfacl --set-file=- file2 复制file1 的acl权限给file2
  getfacl -R /tmp/dir1 > acl.txt ——通过递归方式将ACL权限给acl.txt
  setfacl -R -b /tmp/dir1 ——以递归方式，清空该目录下的acl权限
  setfacl -R --set-file=acl.txt /tmp/dir1 ——恢复/tmp/dir的acl权限
  setfacl --restore acl.txt ——还原acl.txt权限
  getfacl -R /tmp/dir1——将acl权限递归给dir1目录下的文件