linux下权限的设定

如何查看及读取权限信息

查看文件属性

对属性个字段的理解

设定文件的拥有者及拥有组

文件的拥有者及拥有组

• Linux 是个多用户多任务的系统 , 常常会有多人同时使用同一主机来进行工作 , 为了考虑每个人的隐私权以及每个人喜好的工作环境 , 对用户进行分类
• 用户对于文件的身份划分
• 文件拥有者(user)
• 文件所属组(group)
• 其他人(other)

更改文件拥有者及拥有组的方法

• 文件拥有者及拥有组只有超级用户root可以修改
• 更改方式如下

chown 用户名 文件

chgrp 组名称 文件

chown –R 用户名 目录

chgrp –R 组名称 目录

chown 用户名 : 组名称 文件 | 目录

• 先在桌面上建立三个myr文件，以及hello目录下的三个linux文件
  

• 演示chown 的用法 ，注意左边监控中的用户以及用户组的变化
  

文件权限的理解

文件权限读取

权限类型

-	r	w	x
权限关闭	readable查看权限	writeable可写权限	excutable执行权权限
此位权限未开启	对于文件可查看文件中的内容对于目录可列出目录中的文件名称	对于文件可更改文件记录的内容对于目录可更改目录中文件元数据	对于文件可用文件名称调用文件内记录的程序对于目录可进入目录

文件权限设定方式

设定权限的方式

• 字符方式设定文件权限

• chmod [参数]... 权限模式[,权限模式]... 目标...

数字方式设定文件权限

 • chmod [参数]... 权限值... 目标...

• 依照模板复制文件权限

 • chmod [参数]... --reference=模板 目标...

字符方式设定权限

chmod |g|o|a><+|-|=>|w|x> 目标

举例：

• chmod u=rw TAG  
##表示U的权限是r和w

• chmod ug-w,o+x TAG
##表示u和g的权限减去w,o的权限加上x

• chmod -r|-x|-w TAR

• chmod a-w TAR
##表示ugo的权限都减去w

注意：
若要对ugo的权限都进行设定的话，除了w在前面要加上a，r和x直接写成 chmod +x 这样即可

数字的方式管理权限

• 权限可以用一个八进制数字来表示

权限	二进制	八进制
—	000	0
–x	001	1
-w-	010	2
-wx	011	3
r–	100	4
r-x	101	5
rw-	110	6
rwx	111	7

• 权限管理方法：

chmod 数字 TAG

举例：

• 先在/mnt/下建立几个文件，观察其权限变化
  
  

权限复制

• 复制权限方式

 chmod --reference=属性源文件 TAG

例如： chmod --reference=/mnt/westo westos1

系统预留权限阀值

对于权限预留阀值的理解

• 资源存在意义在于共享，权限开放越大， 共享效果越明显，但是安全性越差
• 对于系统安全而言，开放权利越小，系 统越安全
• 在系统中开放应开放的权利，保留不安 全的权利以确保系统功能性及安全性

权限预留阀值设定

• umask
• 系统中使用umask来预留权限
• 在shell中可以使用umask来查 看并设定预留权限阀值

当你创建一个新的文件或目录时 ，该文件或目录有默认权限。
umask 的数指的是 该默认值需要减掉的权限。
在默认权限的属性上，目录与文件是不一样的，文件的最大权限为 666，目录的最大权限为 777。

•umask  ##查看此时的阀值

• 临时修改umask的值

•umask预留阀值   ##临时设定阀值

注意： 这种方法只是临时修改当前shell中的umask值，当退出shell，重新打开后，umask值还会变会回到原来的022

• 永久改变权限阀值
• shell配置文件 /etc/bashrc
• 系统环境配置文件 /etc/profile
  -/etc/bashrc
• /etc/profile
  注意：在设置完这两个文件并且退出后，在同一个shell中重新读取这两个配置文件，才能生效，需要执行下面两条命令

source /etc/bashrc
source /etc/profile

特殊权限

对特殊权限的理解

• SUID

• 只针对于二进制可执行文件 , 使用拥有SUID权限的文件发其中记录的程序时以 SUID 文件拥有者的身份去执行

• SGID

• 针对二进制可执行文件 : 该命令发起的程序是以该命令所有组的身份去执行

• 针对目录 : 目录新建文件的所属组与该目录的所有组保持一致

• STICKYID

• 对于文件：表示文件即使没有被程序调用也会被加载到交换空间中,

• 对于目录：表示当目录上有 STICKYID 的权限时 , 所有用户在该目录下均可创 建文件 , 但只有文件拥有者和 root用户可以删除该目录下的文件

对特殊权限的设定

• SUID

• chmod u+s TAG
• chmod 4原文件属性 TAG 

• SGID

• chmod g+s TAG
• chmod 2原文件属性 TAG

• STICKYID

• chmod o+t TAG
• chmod 1原文件属性 TAG 

效果：只针对于目录，当目录上有 o+t 的权限时 ，所有用户在该目录下均可创建文件 ， 但只有文件所有人和 root 用户可以删除该目录下的文件。

• 用student用户和myr用户分别在public中创建两个文件，没有设定o+t之前。他们可以互相删除对方创建的文件，设置o+t之后他们就只能删除自己创建的文件，不能删除别人创建的文件
  
  
  

示例操作

在操作特殊权限前，先根据下面的要求创建用户、用户组和目录，要求如下：

新建用户组：shengchan，caiwu，jishu 新建用户要求如下：
1)tom是shengchan组的附加用户
2)harry是caiwu组的附加用户
3)leo是jishu组的附加用户
4)新建admin用户，此用户不属于以上提到的三个部门
新建目录要求如下：
1)/pub目录为公共存储目录对所有用户可以读、写、执行
2)/sc目录为生产部存储目录只能对生产部人员可以写入
3)/cw目录为财务部存储目录只能对财务部人员可以写入

ACL权限列表

facl概述及注意事项

• 传统的权限仅有三种身份 (owner,group,other）搭配三种权限 (r,w,x), 并没有办法单纯的针对
  某一个使用者或某一个群组来设置特定的权 限需求 , 此时就得要使用 ACL( 文件访问控制 列表 ,Access Control List) 这个机制
  注意：
• 因此目前 ACL 几乎已经默认加入在所有 常见的 Linux 文件系统的挂载参数中 (ext2/ext3/ext4/xfs 等等 ), 但 rhel6.0以 及之前的版本默认不支持 acl 的功能

有关facl的命令

• 查看权限列表
• getfacl
• 设定权限列表
• setfacl

按键	作用
-m	设定权限
-x	删除指定用户
-b	关闭列表功能

格式：

• setfacl -m u:username:rwx file
• 设定username对file有rwx权限
• setfacl -m g:group:rwx file
• 设定group组成员对file有rwx权限
• setfacl -x u:username file
• 从acl列表中删除username
• setfacl -b file
• 关闭file上的file列表

facl列表权限匹配顺序

• 资源拥有者
• 特殊指定用户
• 权利开放多的组
• 权利开放少的组
• 其他用户

facl的mask阀值

• mask阀值是指定用户能够 获取的最大有效权限
• 当设定过facl列表后用 chmod缩减文件权限很可能 会损坏mask
• mask的设定

• setfacl –m m:权限值 TAG

facl的default权限

• default权限特性
• 只对目录设定
• 只对目录中新出现的文件按或目录生效
• 对目录本身不生效
• 对目录中原有文件不生效
• default权限设定方式
• setfacl –m d::权限目录