系统权限及用户授权命令（11）

命令（6个）

chmod,chown,chgrp，setfacl,getfacl，umask

11.1.chmod

功能：改变文件权限

这一命令有符号模式和绝对模式

符号模式：

语法：chmod [who] operator [permission] filename

who的含义是：

u 文件属主权限。

g 属组用户权限。

o 其他用户权限。

a 所有用户(文件属主、属组用户及其他用户)。

operator的含义：

+ 增加权限。

- 取消权限。

= 设定权限。

permission的含义：

r 读权限。

w 写权限。

x 执行权限。

s 文件属主和组set-ID。

t 粘性位*。

l 给文件加锁，使其他用户无法访问。

u,g,o 针对文件属主、属组用户及其他用户的操作。

示例：

[root@localhost scripts]# chmod a+x test.txt   #添加所有的执行权限
[root@localhost scripts]# ll test.txt
-rwxr-xr-x 1 root root 276 Jun 26 18:39 test.txt
[root@localhost scripts]# chmod a-x test.txt   #收回所有命令的执行权限
[root@localhost scripts]# ll test.txt
-rw-r--r-- 1 root root 276 Jun 26 18:39 test.txt
[root@localhost scripts]# chmod og-w test.txt  #收回属组用户和其他用户的写权限
[root@localhost scripts]# ll test.txt
-rw-r--r-- 1 root root 276 Jun 26 18:39 test.txt
[root@localhost scripts]# chmod g+w test.txt #赋予属组用户写权限
[root@localhost scripts]# chmod u+x test.txt  #赋予文件属主执行权限
[root@localhost scripts]# chmod go+x test.txt  #赋予属组用户和其他用户执行权限

11.2.chown

功能：变更文件或目录的拥有者或所属群组。

语法：chomd -R -h owner file

常用选项：

　-c或--changes 　         效果类似"-v"参数，但仅回报更改的部分。

　-f或--quite或--silent 　不显示错误信息。

　-h或--no-dereference 　之对符号连接的文件作修改，而不更动其他任何相关文件。

　-R或--recursive 　递归处理，将指定目录下的所有文件及子目录一并处理。

　-v或--version 　显示指令执行过程。

　--dereference 　效果和"-h"参数相同。

　--help 　在线帮助。

　--reference=<参考文件或目录> 　把指定文件或目录的拥有者与所属群组全部设成和参考文件或目　录的拥有者与所属群组相同。

示例：

[root@localhost scripts]# ll test.txt
-rwxrwxr-x 1 root root 276 Jun 26 18:39 test.txt
[root@localhost scripts]# chown user001 test.txt
[root@localhost scripts]# ll test.txt
-rwxrwxr-x 1 user001 root 276 Jun 26 18:39 test.txt

11.3chgrp

功能：变更文件或目录的所属群组

语法：chgrp [-cfhRv][--help][--version][所属群组][文件或目录...]

常用选项：

　-c或--changes  效果类似"-v"参数，但仅回报更改的部分。

　-f或--quiet或--silent 　不显示错误信息。

　-h或--no-dereference 　只对符号连接的文件作修改，而不更动其他任何相关文件。

　-R或--recursive 　递归处理，将指定目录下的所有文件及子目录一并处理。

  --reference=<参考文件或目录>

示例：

[root@localhost scripts]# ll test.txt
-rwxrwxr-x 1 user001 root 276 Jun 26 18:39 test.txt
[root@localhost scripts]# chgrp group1 test.txt
[root@localhost scripts]# ll test.txt
-rwxrwxr-x 1 user001 group1 276 Jun 26 18:39 test.txt

11.4.umask

功能：遮罩权限

root用户：

默认创建目录的权限：755

默认创建文件的权限：644

普通用户：

默认创建目录的权限：775

默认创建文件的权限：664

 

umask 查看当前用户的默认权限

root：

umask

0022

普通用户：

uamsk

0002

 

目录的最大权限：777

文件的最大权限：666

root：

目录的默认权限=0777-umask=0777-0022=0755

文件的默认权限=0666-umask=0666-0022=0644

普通用户：

目录的默认权限=0777-umask=0777-0002=0775

文件的默认权限=0666-umask=0666-0002=0664

 

更改用户的默认权限：
临时更改：
umask 0002 只在当前终端生效
永久生效：
vim ～/.bashrc  当前用户家目录里的文件（局部变量）
..
umask 0002
 
# source ~/.bashrc  立刻马上读取文件内容（让其马上生效）
# . ~/.bashrc
 
vim /etc/bashrc 针对所有用户（全局）
...
umask 0066
 
. ~/.bashrc
说明：
当局部变量和全局变量冲突，以局部为准

练习：

1、创建一个文件test，要求它实现user001只读,user002,user003可读可写,user004,user005可读可执行

[root@localhost scripts]# usermod -g group1  user002
[root@localhost scripts]# usermod -g group1  user003
[root@localhost scripts]# id user002
uid=601(user002) gid=10015(group1) groups=10015(group1)
[root@localhost scripts]# id user003
uid=602(user003) gid=10015(group1) groups=10015(group1)
[root@localhost scripts]# touch test
[root@localhost scripts]# ll test
-rw-r--r-- 1 root root 78184 Jun 27 14:06 test
[root@localhost scripts]# chown user001:group1 test
[root@localhost scripts]# ll test
-rw-r--r-- 1 user001 group1 0 Jun 27 14:28 test
[root@localhost scripts]# chmod u-w,g+w,o+x test
[root@localhost scripts]# ll test
-r--rw-r-x 1 user001 group1 0 Jun 27 14:28 test

2.什么情况下才能删除一个文件或目录?

答:跟这个文件或目录本身的权限无关，跟你对它们的上一级目录是否有写权限和执行全有关。你对一个目录有写权限和执行权限，你就可以删除这个目录里任何文件

例子

[root@localhost ~]# ll -d test  #可读可执行
drwxr-xr-x 2 root root 4096 Dec 21 18:54 test
[root@localhost ~]# chown .group1 test
[root@localhost ~]# id user002
uid=601(user002) gid=10015(group1) groups=10015(group1)
[user002@localhost home]$ ll test
total 0
-rw-r--r-- 1 root group1 0 Dec 21 18:58 123
user002@localhost test]$ rm -f 123  
rm: cannot remove `123': Permission denied
说明：可读可执行是无法删除

[root@localhost ~]# ll -d /home/test  #增加w，去掉x权限
drwxrw-r-x 3 root group1 4096 Dec 21 18:58 /home/test
[user002@localhost home]$ cd test #无执行权限，是进不了文件，进不了文件夹，怎么删除文件
-bash: cd: test: Permission denied
[user002@localhost home]$ rm -f test/123
rm: cannot remove `test/123': Permission denied

[root@localhost ~]# ll -d /home/test  #去掉r，保留wx
drwx-wxr-x 3 root group1 4096 Dec 21 19:17 /home/test
[user002@localhost test]$ ll
ls: cannot open directory .: Permission denied
[user002@localhost test]$ rm -f 123
说明：没有只读权限，但是用户有wx，就能进入文件夹，删除文件

3.请问下面的情况，我一个普通用户能否删除/test/abc这个子目录

# ll -d /test
drwxr-xrwx. 3 root root 12288 Jul 16 17:42 /test
# ll /test
drwxr-xr-x. 2 root root 4096 Jul 16 17:40 abc
[user001@localhost ~]$ rm -rf /home/test/abc
答案:可以删除，因为普通现在不属于属主，也不属于属组，那就只能属于其他人了；而test权限的o位是7的权限，可写可执行，就能删掉abc

 

4、什么情况下修改了一个文件才需要强制保存，什么情况下能够成功强制保存？

解答：

情况1：目录有可读可写权限，文件只有只读权限（普通用户）

[root@localhost ~]# ll -d /home/test

drwxrw--wx 3 root group1 4096 Dec 22 16:20 /home/test

[root@localhost ~]# ll  /home/test

total 0

-rw-rw-r-- 1 root group1 0 Dec 21 19:24 123

[user002@localhost ~]$ vim /home/test/123

"/home/test/123" E212: Can't open file for writing  #不能写也不能强制保存

情况2：目录有可读可写权限，文件可读可写（普通用户）

[root@localhost ~]# ll -d /home/test

drwxrw--wx 3 root group1 4096 Dec 22 16:20 /home/test

[root@localhost ~]# ll  /home/test

total 0

-rw-rw-r-- 1 root group1 0 Dec 21 19:24 123

[user002@localhost ~]$ vim /home/test/123  #还是不能强制保存

情况3：目录有可读可写权限，文件可读可写可执行（普通用户）

[root@localhost ~]# ll -d /home/test

drwxrw--wx 3 root group1 4096 Dec 22 16:20 /home/test

[root@localhost ~]# ll  /home/test

total 4

-rwxrw-rwx 1 root group1 4 Dec 22 17:04 123

[user002@localhost ~]$ cat /home/test/123  

my

说明：这种情况不需要强制就能保存

情况4：目录有可读可写权限，文件可写可执行（普通用户）

[root@localhost ~]# ll  /home/test

total 4

-rwxrw--wx 1 root group1 3 Dec 22 17:10 123

说明：不需要强制就能保存

情况3：目录有可读可写可执行权限，文件可读（普通用户）

[root@localhost ~]# ll -d /home/test

drwxrwx-wx 3 root group1 4096 Dec 22 16:20 /home/test

[root@localhost ~]# ll  /home/test

total 0

-rw-r--r-- 1 root group1 0 Dec 21 19:24 123

[user002@localhost ~]$ vim /home/test/123 

[user002@localhost ~]$ cat /home/test/123

yyl

说明：对一个文件有只读权限，对目录有读写执行权限，强制保存没问题，并且保存后，文件属主属组都变了当前用户

情况4:

答案:如果你对一个文件没有写权限，那么修改后，要保存就会出现强制保存的选项；

     虽然你对这个文件没有写权限，但如果你对文件所在的上一级目录有写权限，则可以强制保存成功，并且保存后，把文件的owner和group属性改成了你自己

     如果对上一级目录没有写权限，则不可以强制保存；但也有一个例外，就是如果这个文件的owner就是你，那么你对它没有写权限，对它上级目录也没写权限，也可以强制保存成功

11.5.特殊权限（s，t）

s位叫特权位，英文的叫法有setuid，setgid，suid,sgid等

1）冒险位（setuid）：4000 u+s 临时拥有文件拥有者的权限，作用在属主身上，一般针对命令。皇帝临时给一个用户一个尚方宝剑.只针对前三位

对目录可以加，但是无效，因为目录不是命令，根本不能执行它

 

demo：

# chmod u+s /usr/bin/vim

# ll /usr/bin/vim

-rwsr-xr-x. 1 root root 1967072 Feb 17  2012 /usr/bin/vim

# chmod 0766 /usr/bin/vim

[root@node1 Desktop]# ll /usr/bin/vim

-rwxrw-rw-. 1 root root 1967072 Feb 17  2012 /usr/bin/vim

 

小实验:

1,测试passwd命令的s位，去掉其s位，普通用户就不能自己改自己密码了，加上s位就可以了

 

2，/bin/touch这个命令是没有s位的，你可以尝试加上s位，然后用普通用户touch文件，观察效果。做完测试后，记得改回来也就是把s位去掉

 

3，普通用户能关机吗？怎么让普通用户关机

 

可以对关机命令加s位来让普通用户能关机，在rhel6下测试reboot,shutdown可以这样做,init不能这样做

这只是一个理论讨论，实际情况不会这么做的

 

2）强制位（setgid）：2000 g+s 针对目录，任何人在该目录下创建的文件或目录强制继承父目录的属组。强制继承家族企业。中间三位

demo：

chmod g+s dir1

chmod 2755 dir1

测试验证

# ll -d

drwxr-sr-x. 5 u01 sysadmin 4096 Apr  6 11:24 .

3）粘制位 ：1000 o+t 针对公共目录，在该目录下的文件只有root和文件的拥有者可以删除，其他人不能删除。自己管理自己

demo：

# chmod 1777 dir2

drwxrwxrwt. 2 root root     4096 Apr  6 10:33 dir2

 

# ll -d /tmp

drwxrwxrwt. 24 root root 4096 Apr  6 11:16 /tmp

 

s位和t位注意的地方：

 

用数字表示

 

前三位上加s    4

中间三位加s    2

后三位加t        1

 

 

chmod 1777 /tmp

 

s位和t位大小写的区别 

        小写的话就表示 有x执行权限

        大写的话就表示 没有x执行权限 

设置文件的特殊属性

chattr +i 不能删除，改名，修改 chattr -i

chattr +a 只能追加内容

lsattr 显示特定属性

11.6.acl访问控制策略

ACL:Access Control List ，实现灵活的权限管理

除了文件的所有者，所属组和其它人，可以对更多的用户设置权限

CentOS7 默认创建的xfs和ext4文件系统具有ACL功能

CentOS7 之前版本，默认手工创建的ext4文件系统无ACL功能,需手动增加

tune2fs –o acl /dev/sdb1

mount –o acl /dev/sdb1 /mnt/test

ACL生效顺序：所有者，自定义用户，自定义组，其他人

setfacl：

-R：递归授权，对目录下已经存在的文件有acl策略，但是新建的文件没有acl策略

-d：递归授权，对目录下新建的文件有acl策略，老文件没有

-m：修改acl策略

-x：删除某个用户的权限

-b：删除所有的acl策略

-mask：设置除了其他人和拥有者以外的最大权限

 

下面我们再来继续看一个例子

假如现在我们设置test.sh的mask为read only,那么family组的用户还会有write 权限吗?

 

通过实例来了解 为多用户或者组的文件和目录赋予访问权限rwx

示例：

 

// 查看文件或者目录的ACL权限 使用 getfacl FILE|DIR

[root@localhost scripts]# getfacl  100.sh

# file: 100.sh

# owner: root

# group: root

user::rw-

group::r--

other::r--

//给文件100.sh加上mage的运行权限

[root@localhost scripts]# setfacl -m u:user_00:w 100.sh

//可以发现，在权限位的后面加上了一个加号，这就说明该文件被赋予了ACL权限

[root@localhost scripts]# ll 100.sh

-rw-rw-r--+ 1 root root 660 Sep 21 14:09 100.sh

// 查看100.sh的ACL权限

[root@localhost scripts]# getfacl 100.sh

# file: 100.sh

# owner: root

# group: root

user::rw-

user:user_00:-w-

group::r--

mask::rw-

other::r--

//如果此时user_00用户去读100.sh文件，他是不能读取的。

//指定admins组里的成员对100.sh文件有读写权限

[root@localhost scripts]# setfacl -m g:admin:rw 1001.sh

[root@localhost scripts]# getfacl 1001.sh

# file: 1001.sh

# owner: root

# group: root

user::rw-

group::r--

group:admin:rw-

mask::rw-

other::r--

//此时user_00用户可以对1001.sh文件机型写入吗

//切换到user_00用户

  [user_00@localhost ~]$ echo helloworld >> /server/scripts/1001.sh

//下面这些命令可以自己尝试一下

setfacl -m u:wang:rwx file|directory

setfacl -Rm g:sales:rwX directory //递归

setfacl -M file.acl file|directory //增加权限

setfacl -m g:salesgroup:rw file| directory

setfacl -m d:u:wang:rx directory //设置目录的默认权限

setfacl -x u:wang file |directory

setfacl -X file.acl directory 删除权限

//增加权限和删除权限的文件格式是不一样的。

//定义一个文件用来增加权限

[root@localhost scripts]# nano file.acles

//先看一下f1的ACl

[root@localhost scripts]# getfacl f1

# file: f1

# owner: root

# group: root

user::rw-

group::r--

other::r--

//给file.acles增加权限

u:mage:rwx

g:admins:rw

[root@localhost scripts]# setfacl  -m u:user_00:rwx file.acles

[root@localhost scripts]# setfacl -m g:admin:rw file.acles

//执行修改权限命令

[root@localhost scripts]# setfacl -M file.acles f1

setfacl: Invalid argument in line 1 of file file.acles   #这里报错，需要在研究下

[root@localhost scripts]# setfacl -x u:user_00 file.acles

[root@localhost scripts]# getfacl file.acles

# file: file.acles

# owner: root

# group: root

user::rw-

group::r--

group:admin:rw-

mask::rw-

other::r--

ACL mask 值

一个文件的权限通常涉及到哪几类用户。 属主，属组，自定义用户，自定义组，Other，一共五类使用者。 而ACL就是对这五类用户的权限进行控制 。

ACL文件上的group权限是mask 值（自定义用户，自定义组，拥有组的最大权限）,而非传统的组权限

 

[root@localhost scripts]# getfacl  f1

# file: f1

# owner: root

# group: root

user::rw-

user:user_00:rwx

group::r--

group:admin:rw-

mask::rwx

other::r--

//设置文件的mask值位 r--

[root@localhost scripts]# setfacl -m mask::r-- f1

[root@localhost scripts]# getfacl f1

# file: f1

# owner: root

# group: root

user::rw-

user:user_00:rwx        #effective:r--

group::r--

group:admin:rw-            #effective:r--

mask::r--

other::r--

设置mask值之后我们会发现，自定义用户，自定义组，以及默认的属组，都被mask值限定住了。

可以将mask值理解为最高权限，除了所有者，Other之外，其他的都在mask 的管辖之内。

getfacl 可看到特殊权限：flags

通过ACL赋予目录默认x权限，目录内文件也不会继承x权限

base ACL 不能删除

setfacl -k dir 删除默认ACL权限

setfacl –b file1清除所有ACL权限

getfacl file1 | setfacl –set-file=- file2 复制file1的acl权限给file2

//getfacl 可看到特殊权限：flags

 //如果一个文件或目录设置特殊权限，SGID,SUID,Sticky

    # file: dir

    # owner: root

    # group: root

    # flags: -s-

    user::rwx

    group::r-x

    other::r-x

mask只影响除所有者和other的之外的人和组的最大权限Mask需要与用户的权限进行逻辑与运算后，才能变成有限的权限(Effective Permission)

用户或组的设置必须存在于mask权限设定范围内才会生效

setfacl -m mask::rx file

–set选项会把原有的ACL项都删除，用新的替代，需要注意的是一定要包含UGO的设置，不能象-m一样只是添加ACL就可以

示例： setfacl –set u::rw,u:wang:rw,g::r,o::- file1

练习一：

1、root用户新建目录/tmp/common，要求目录的所属组为tom

 

# mkdir /tmp/common

前提是有tom组

# chgrp tom /tmp/common/

或者

# chown .tom /tmp/common/

2、是否允许tom用户在/tmp/common下创建文件tomfile？如果不允许，怎么才能让它创建文件？

不允许，给属组一个w权限

 

chmod g+w /tmp/common

3、用户jack如果想修改tomfile文件，怎么做？

 

chmod o+w tomfile

或者

usermod -G tom jack

或者

gpasswd -a jack tom（组）

或者

setfacl -m u:jack:rw tomfile

 

练习二：

1、以普通用户user01身份登录，新建目录/shared/sysadmin，并且属于sysadmin组

 

# su - user01

$ mkdir /shared/sysadmin -p

# setfacl -m u:user01:rwx /

# chgrp sysadmin /shared/sysadmin

 

2、要求组成员有读写访问的权限，其他成员没有任何权限

 

[root@node1 home]# ll -d /shared/sysadmin/-x

drwxrwxr-x. 2 user01 sysadmin 4096 Apr  6 14:44 /shared/sysadmin/

[root@node1 home]# chmod o=--- /shared/sysadmin/

[root@node1 home]# ll -d /shared/sysadmin/

 

3、要求组成员不可以删除属于其他成员的文件

 

# ll -d /shared/sysadmin/

drwxrwx--T. 2 user01 sysadmin 4096 Apr  6 14:44 /shared/sysadmin/

 

4、要求在/shared/sysadmin下面创建的文件全部属于sysadmin组

 

# ll -d /shared/sysadmin/

drwxrws--T. 2 user01 sysadmin 4096 Apr  6 14:44 /shared/sysadmin/

5、要求harry可写，natash不能读写

 

# setfacl -m u:harry:rwx /shared/sysadmin/

# setfacl -m u:natash:--- /shared/sysadmin/