linux权限管理详解

普通权限

-rw-r–r--. 1 root root 0 Feb 14 23:33 test

• 第1位标识文件类型：

  -：普通文件
  b：块设备
  c：字符设备
  d：目录
  l：符号链接
  s：套接字文件
  p：命名管道

• 2~4位表示拥有者的权限

• 5-8位表示所属组的权限

• 9~11位表示其他人的权限

• 权限的定义：
  r:可读，对文件来说即可以读取文件的具体内容（cat，more，less，vim），对目录而已即为可读取目录列表（ls）
  w:可写，对文件即可以修改文件内容（vi）,对目录即可以修改目录内容（创建，重命名，删除文件）
  x：可执行，对文件即能执行文件内容（这里的文件一般是二进制文件，shell脚本，其他任何需要执行的文件），对目录即为可以进入目录（cd）

权限修改相关命令

 - chown（改变文件所有者，也可以实现chgrp的功能）
 	* chown [-R] username filename/dirname：只修改所有者，-R是递归更改目录下的文件
	* chown [-R] username:groupname filename/dirname：同时修改所有者和用户组
	* chown [-R] .groupname filename/dirname：只修改用户组
 - chgrp（改变文件所属用户组）
	* chgrp [-R] groupname filename/dirname
 - chmod（改变文件的权限）
 	* 符号表达 chmod [-R]  [{ugoa}{+-=}{rwx}]  filename/dirname
 	备注：　 u：所有者　g：所属组　o：其他人　 a：所有人
	 　　　　+：为用户增加权限　-：为用户减少权限　 =：为用户赋予权限
	 　　　　r：读权限　　w：写权限　　x：执行权限 
	 例子： 将一个文件的权限设置为-rwxr-xr-x
	 　　　　chmod u=rwx,g=rx,o=rx /tmp/test
 	* 数字表达 chmod [-R]  [mode=421]   filename/dirname     ←（这种方法用的比较多）
 	备注：  r：4　　w：2	　　x：1
 	例子： 将一个文件的权限设置为-rwxr-xr-x
 	　　　　chmod 755 /tmp/test

特殊标识位

1.SUID

当s出现在文件的所有者标记上，代替了x权限，就称为Set UID，简称为SUID，该权限针对命令和二进制程序，当普通用户执行某个(passwd)命令的时候，可以拥有这个命令对应用户的权限,
即让普通用户可以以root用户的角色执行程序或命令。

2. SGID

当s出现在用户所有组标记上，代替了x权限，就称为Set GID，简称为SGID
该权限具有以下功能：

SGID应用在文件上：

• SGID对二进制程序有用
• 程序执行者对于该程序来说，需具备x的权限
• 执行者在执行过程中将会获得该程序用户组的支持

SGID应用在目录上：

• 用户若对于此目录具有r和x的权限时，该用户能够进入此目录
• 用户在此目录下的有效用户组将会变成该目录的用户组
• 若用户在此目录下具有w的权限（可以新建文件），则用户所创建的新文件的用户组与此目录的用户组相同

3. SBIT

SBIT，只针对目录有效，当用户在该目录下创建文件或目录时，仅有自己与root才有权利删除该文件

4. 特殊权限变更命令

同样通过chmod命令来修改特殊权限
符号表达：
　　chmod a+s filename
　　chmod g+s filename/dirname
　　chmod o+t dirname
数字表达：
　　suid：4　sgid：2　sbit：1
　　只要在普通权限的前面加上一位即可
　　例如，要设置一个普通权限为755，并且是SUID，就使用命令：chmod 4755 filename即可

权限掩码（umask）

文件目录初始权限

文件：inux系统新建文件默认没有执行权限，其最大权限为rw-rw-rw-（666）
目录：新建目录的最大权限为rwx-rwx-rwx（777）

计算默认权限

文件：666-umask值所对应的权限
目录：777-umask值所对应的权限

可通过umask命令查看当前的umask值，一般情况下，root的umask022，普通用户为002，计算时建议将umask值转化为对应权限去相加减，数字加减后转换在umask值中有奇数的情况可能会产生错误。

ACL

ACL是Access Control List的缩写,主要提供更加细粒度的权限设置，ACL可以针对单一用户，单一文件或目录进行r、w、x的权限设置，对于需要特殊权限的使用状况非常有用，,需要文件系统选项(ACL)支持。

setfacl命令：设置某个目录/文件的ACL规定

用法：setfacl [-bkRd] [{-m | -x}] acl参数 filename

参数：

-m：设置后续的acl参数给文件使用，不可与-x合用

-x：删除后续的acl参数，不可与-m合用

-b：删除所有的acl参数

-k：删除默认的acl参数

-R：递归设置acl，子目录也会被设置acl

-d：设置默认的acl参数，只对目录有效，在该目录新建的数据都会引用该值

举例说明：几个程序员对同一个目录(/tmp/test)具有完全的权限，但是只允许项目经理(manager)进入到该目录里查看（不允许任何的其他人进入该目录，同时项目经理也不能修改任何的东西）。此时就要使用到acl：

setfacl -m u:manager:rx /tmp/test

设置acl的文件这里会有一个+号

getfacl命令：取得某个文件/目录的ACL设置项目

文件特殊属性

• chattr +a filename 只允许以追加方式读写文件
• chattr +c filename 允许这个文件能被内核自动压缩/解压
• chattr +d filename 在进行文件系统备份时，dump程序将忽略这个文件
• chattr +i filename 设置成不可变的文件，不能被删除、修改、重命名或者链接
• chattr +s filename 允许一个文件被安全地删除
• chattr +S filename 一旦应用程序对这个文件执行了写操作，使系统立刻把修改的结果写到磁盘
• chattr +u filename 若文件被删除，系统会允许你在以后恢复这个被删除的文件
• lsattr filename 显示特殊的属性