[linux]十、文件目录权限(permission)及归属-part1

目录

1、用户和组访问文件的时候，系统背后发生了什么

2、访问权限和归属

2.1、文件类型

2.2、改变文件的权限

2.3、直接使用代码文件和用bash或者其他方式启动代码文件的区别

2.4、chmod

2.4.1、在具有粘制位的文件中用户是否可以互相删除别人的文件

2.4.2、如果我们需要让普通用户去干root用户的活，需要root用户的权限，如何去实现呢？

2.4.3、chmod的使用方法

2.4.4、chown命令root可以使用，普通用户可以使用吗？

2.5、chown

2.6、chgrp

2.7、命令总结⭐

2.8、SElinux

3、默认权限

3.1、root用户和普通用户默认情况下，新建的文件和文件夹的默认权限是不一样的 

3.2、umask

3.2.1、调整umask值

3.2.2、为什么root用户和普通用户新建文件夹和文件的默认权限不一样呢？

3.3、小练习

3.3.1、"/etc/shadow"文件的权限是除了root用户，任何用户都不能去读写执行的，但是为什么普通用户可以修改自己的密码？

3.3.2、 cp -a

4、chattr

4.1、chattr +i 和 chattr -i

4.1.1、查看文件或者文件夹的隐藏属性

4.1.2、ls和lsattr的区别

4.2、chattr +a 和 chattr -a

5、特殊权限

5.1、suid权限(权限字符)

5.2、粘滞位权限(Sticky)(权限字符)

5.2.1、添加粘滞位

5.3、使用权限数字赋予特殊权限

---

1、用户和组访问文件的时候，系统背后发生了什么

用户和组的信息(uid和gid)会嵌入到进程里，然后进程去访问文件，内核会检查进程里的uid和gid，对比文件允许的用户和组，最后决定这个用户或者组有读、执行、还是写的权限

2、访问权限和归属

r，read
文件：cat、vim，只是查看文件里的内容
文件夹：ls，能够查看文件夹里边有哪些文件和文件夹 

w，write
文件：vim、重定向，改变文件里的内容
文件夹：mkdir、touch、rm、vim、cp

x，execute
文件：可以执行了文件里的命令，即可运行这个文件
文件夹：能够进入文件夹，cd

2.1、文件类型

-，表示普通的文件；d，表示目录，directory；l，表示链接文件，link；s，表示socket文件；p，表示管道文件，pipe；c，表示字符设备文件，character，显示设备文件(tty1)；b，表示块设备文件，block，磁盘设备文件。

[root@fttsaxf ~]# ll /dev/tty1  # 这是字符设备文件
crw--w----. 1 root tty 4, 1 3月  13 10:33 /dev/tty1
[root@fttsaxf ~]# ll /dev/sda1  # 这是块设备文件
brw-rw----. 1 root disk 8, 1 3月  13 10:32 /dev/sda1

文件socket ，本机上的不同进程之间通信的一种方式；网络socket  ip:port ，不同的机器之间不同的进程通信 192.168.0.123:3306，mysql会监听3306的

2.2、改变文件的权限

[root@fttsaxf rough_book]# ll gbk.txt 
-rw-r--r--. 1 root root 11 3月   5 11:06 gbk.txt
[root@fttsaxf rough_book]# chmod o-r gbk.txt 
[root@fttsaxf rough_book]# ll gbk.txt 
-rw-r-----. 1 root root 11 3月   5 11:06 gbk.txt

 

[root@fttsaxf rough_book]# ll phone
-rw-r--r--. 1 root root 128 2月  16 15:18 phone
[root@fttsaxf rough_book]# chmod +x phone  # 当没有指定用户给权限，就直接给所有人这个权限
[root@fttsaxf rough_book]# ll phone
-rwxr-xr-x. 1 root root 128 2月  16 15:18 phone

2.3、直接使用代码文件和用bash或者其他方式启动代码文件的区别

2.4、chmod

"chmod 777 文件夹1" ，root让其他用户可以在这个文件夹里新建文件夹

根目录下，只有root用户能够新建文件或者文件夹
默认情况下普通用户只能够在两个目录下新建文件或者文件夹：自己的家目录和/tmp(含有粘制位"t")

2.4.1、在具有粘制位的文件中用户是否可以互相删除别人的文件

图片解释："t"，粘制位。任何一个用户都可以在这个文件夹里新建东西，但是不能够互相删除别的用户创建的文件或者文件夹。可以防止某个目录下互相删除对方的文件

 图片解释："xiaozhang"这个文件夹的权限中虽然没有"t"，但是它所属的文件夹"tmp"含有。即删除文件夹里的文件或者文件夹，需要看当前这个文件或者文件夹所在文件夹的权限，是否有写的权限。

2.4.2、如果我们需要让普通用户去干root用户的活，需要root用户的权限，如何去实现呢？

suid，如果某个命令具有suid权限位，普通用户在执行的时候，会具有拥有者(默认情况下都是，root用户)的权限。因为linux系统里的所有的命令都是属于root用户的

[root@fttsaxf tar]# ll /usr/bin/passwd
-rwsr-xr-x. 1 root root 27856 4月   1 2020 /usr/bin/passwd
# 这里出现了"s"权限，也即是"suid"
[root@fttsaxf tar]# ll /usr/bin/mkdir
-rwxr-xr-x. 1 root root 79768 8月  20 2019 /usr/bin/mkdir
[root@fttsaxf tar]# chmod u+s /usr/bin/mkdir
[root@fttsaxf tar]# ll /usr/bin/mkdir
-rwsr-xr-x. 1 root root 79768 8月  20 2019 /usr/bin/mkdir
[root@fttsaxf tar]# su -  wangchen 
上一次登录：日 3月 13 15:54:12 CST 2022pts/1 上
[wangchen@fttsaxf ~]$ cd /
[wangchen@fttsaxf /]$ ll|grep hh
# 本来默认只有root用户能够在"/"目录下面创建文件，但是给"/usr/bin/mkdir"文件赋予了"s"权限之后，普通用户也可以行使root用户的权限了。
[wangchen@fttsaxf /]$ mkdir hh
[wangchen@fttsaxf /]$ ll|grep hh
drwxr-xr-x.   2 root shanxi    6 3月  13 16:33 hh
# 取消"s"权限
[root@fttsaxf tar]# chmod u-s /usr/bin/mkdir
[root@fttsaxf tar]# ll /usr/bin/mkdir
-rwxr-xr-x. 1 root root 79768 8月  20 2019 /usr/bin/mkdir

2.4.3、chmod的使用方法

格式1(使用字符串的)：chmod [ugoa] [+-=] [rwx] 文件或者目录

[root@fttsaxf rough_book]# ll |grep gbk.txt 
-rw-r-----. 1 root root  11 3月   5 11:06 gbk.txt
# 可以同时对三个用户权限进行修改
[root@fttsaxf rough_book]# chmod u+x,g+w,o+w gbk.txt 
[root@fttsaxf rough_book]# ll |grep gbk.txt 
-rwxrw--w-. 1 root root  11 3月   5 11:06 gbk.txt
[root@fttsaxf rough_book]# ll |grep gbk.txt 
-rwxrw--w-. 1 root root  11 3月   5 11:06 gbk.txt
# 给所有用户的"w"命令都去除，若是只使用"-x"，有些用户权限并不能够赋予。
[root@fttsaxf rough_book]# chmod a-w gbk.txt 
[root@fttsaxf rough_book]# ll |grep gbk.txt 
-r-xr-----. 1 root root  11 3月   5 11:06 gbk.txt
# 使用"="
[root@fttsaxf rough_book]# chmod o=rxw gbk.txt 
[root@fttsaxf rough_book]# ll |grep gbk.txt 
-r-xr--rwx. 1 root root  11 3月   5 11:06 gbk.txt

chmod -R，递归修改

[root@fttsaxf rough_book]# ll
总用量 0
drwxr-xr-x. 3 root root 63 3月  13 17:12 find
[root@fttsaxf rough_book]# chmod -R u=rwx,g=-,o=- find
[root@fttsaxf rough_book]# ll
总用量 0
drwx------. 3 root root 63 3月  13 17:12 find
[root@fttsaxf rough_book]# ll find/
总用量 12
-rwx------. 1 root root   11 3月   5 11:06 gbk.txt
drwx------. 2 root root    6 3月  13 17:11 hhh
-rwx------. 1 root root 1718 3月   4 21:12 passwd
-rwx------. 1 root root   13 3月   5 14:39 utf-8.txt

格式2(使用数字的)：

2.4.4、chown命令root可以使用，普通用户可以使用吗？

[root@fttsaxf find]# ll|grep hhh
drwx------. 2 zhangwuji zhangwuji    6 3月  13 17:11 hhh
[root@fttsaxf find]# su zhangwuji
[zhangwuji@fttsaxf find]$ chown liuxing:liuxing  hhh
chown: 正在更改"hhh" 的所有者: 不允许的操作
# 显而易见，普通用户不能够使用chown命令

2.5、chown

[root@fttsaxf rough_book]# ll
总用量 0
drwx------. 3 root  root 63 3月  13 17:12 find
[root@fttsaxf rough_book]# chown wangchen:zhangwuji find
[root@fttsaxf rough_book]# ll
总用量 0
drwx------. 3 wangchen zhangwuji 63 3月  13 17:12 find

2.6、chgrp

只是用来修改属组，这个功能chown也可以完成，所以这个命令就显得有些鸡肋

2.7、命令总结⭐

2.8、SElinux

[root@fttsaxf find]# ls -Z
-rwx------. root      root      unconfined_u:object_r:admin_home_t:s0 gbk.txt
# 这个root前边这个"."，表示与SElinux有关的东西

SElinux是一个安全工具，安全体系结构(Security-Enhanced Linux)。SELinux定义了系统中每个[用户]、[进程)、(应用)和(文件]的访问和转变的权限，然后它使用一个安全策略来控制这些实体(用户、进程、应用和文件)之间的交互，安全策略指定如何严格或宽松地进行检查。哪个进程能访问哪个文件，进行了规定。但是，这样容易导致我们某些服务不能正常的运行，会出现异常，所以在实际的工作中是禁用的。

3、默认权限

3.1、root用户和普通用户默认情况下，新建的文件和文件夹的默认权限是不一样的 

普通用户新建文件和文件夹的默认权限分别为：664和775。 root用户新建文件和文件夹的默认权限分别为：644和755。

3.2、umask

umask值，可以理解为用来和内核里的文件权限进行运算得到用户的默认新建的文件和文件夹的权限。umask也叫做权限掩码。

[root@fttsaxf find]# umask
0022
[root@fttsaxf find]# umask -S
u=rwx,g=rx,o=rx
# root新建的文件夹权限为:777-022=755；文件的权限为:666-022=644

3.2.1、调整umask值

实现修改umask值临时生效

[root@fttsaxf rough_book]# ls
find
[root@fttsaxf rough_book]# umask 0077  # 修改umask值，这只是临时修改
[root@fttsaxf rough_book]# mkdir test
[root@fttsaxf rough_book]# ll
总用量 0
drwxr-xr-x. 3 wangchen zhangwuji 103 3月  16 17:40 find
drwx------. 2 root     root        6 3月  16 23:13 test
[root@fttsaxf rough_book]# umask -S
u=rwx,g=,o=
# 这里可以看到root新建的test的权限为700

实现修改umask值永久生效

修改这个用户的".bash_profile"文件

 在上面这个图片中，我们修改".bash_profile"和".bashrc"都是影响一个用户的；修改
"/etc/bash_profile"和"/etc/bashrc"是影响全局的。具体详细的文件使用情况，各位小主可以去我的这篇博客逛逛。[linux]九、用户和组管理(chown导致的故障分析、权限和进程、skel目录的作用、四个初始化环境变量的文件、bash_history文件和bash_logou文件)_FanMY_71的博客-CSDN博客

[wangchen@fttsaxf ~]$ cat .bash_profile
# .bash_profile

# Get the aliases and functions
if [ -f ~/.bashrc ]; then
	. ~/.bashrc
fi

# User specific environment and startup programs

PATH=$PATH:$HOME/.local/bin:$HOME/bin

export PATH
umask 520  # 就只需要要在初始化文件中，执行umask命令即可永久修改这个用户的umask值

[wangchen@fttsaxf ~]$ umask
0022
[wangchen@fttsaxf ~]$ 登出
[root@fttsaxf ~]# su - wangchen
上一次登录：四 3月 17 09:19:45 CST 2022pts/0 上
最后一次失败的登录：四 3月 17 09:26:49 CST 2022pts/0 上
最有一次成功登录后有 1 次失败的登录尝试。
[wangchen@fttsaxf ~]$ umask
0520

注意： 不推荐修改系统默认的umask值！！

3.2.2、为什么root用户和普通用户新建文件夹和文件的默认权限不一样呢？

这是因为在"/etc/profile"文件里有规定

if [ $UID -gt 199 ] && [ "`/usr/bin/id -gn`" = "`/usr/bin/id -un`" ]; then
    umask 002
else
    umask 022
fi

# "id -gn"，取组名(group name)；"id -un"，取用户名(user name)；
#所以后边这段代码是判断用户名和组名是否一样，并且uid大于199的，就把umask值设为002，否者就设为022

[fdd@localhost root]$ id
uid=1000(fdd) gid=1000(fdd) 组=1000(fdd)
[fdd@localhost root]$ umask
0002  # 可以看到普通用户的umask是0002
[fdd@localhost root]$ exit

[root@localhost ~]# id
uid=0(root) gid=0(root) 组=0(root) 
[root@localhost ~]# umask
0022  # 而root用户的umask是0022

[wangchen@fttsaxf ~]$ id 
uid=5566(wangchen) gid=5566(shanxi) 组=5566(shanxi)
[wangchen@fttsaxf ~]$ umask
0022  # 这里是0022，因为"wangchen"这个用户虽然满足了uid大于199，但是用户名和组名不一致，所以
# "wangchen"的umask是0022

3.3、小练习

练习一：

提示：文件名可以使用"\"取消他们符号的转义。"."和".."不需要新建。要使用到"useradd"、"groupadd"、"chown"、"chmod"命令来完成这个练习

[root@fttsaxf rough_book]# ll -a
总用量 0
drwxr-xr-x. 6 root     root       72 3月  17 11:01 .
drwxr-xr-x. 7 root     root      118 2月  12 15:05 ..
drwxr-xr-x. 2 root     root        6 3月  17 09:54 *_*
drwxr-xr-x. 2 root     root        6 3月  17 11:01 
-rw-r--r--. 1 root     root        0 3月  17 11:01 haha xixi

# 这个结果只是告诉各位小主，我们可以新建出来这种用户名的文件或者文件夹，
# 其他的操作要靠各位小主自己完成 

练习二： 

提示：私有组就是主要组

[linux]九、用户和组管理(chown导致的故障分析、权限和进程、skel目录的作用、四个初始化环境变量的文件、bash_history文件和bash_logou文件)_FanMY_71的博客-CSDN博客

可以参考上面这个博客来进行手工新建用户

第一步：修改/etc/passwd文件

 第二步：修改/etc/shadow文件

 第三步：修改/etc/group文件

其他步骤，按照上面我那个博客里的步骤继续下去。当我们完成了用户的新建之后，我们要修改".bash_profile"或者".bashrc'文件，在末尾追加"umask 077"命令。

[wangchen@fttsaxf ~]$ touch hh
[wangchen@fttsaxf ~]$ mkdir w
[wangchen@fttsaxf ~]$ ll
总用量 0
-rw-------. 1 wangchen shanxi 0 3月  17 10:55 hh
drwx------. 2 wangchen shanxi 6 3月  17 10:55 w
drwxr-xr-x. 2 wangchen shanxi 6 3月   4 13:55 wang
# 这样的话，新建的文件默认权限是600，新建的文件夹默认权限是700

练习三：

# 第三题
[root@fttsaxf perm]# chmod 750 hosts
[root@fttsaxf perm]# ll
总用量 4
-rwxr-x---. 1 root root 158 3月  17 11:10 hosts

# 第四题
[root@fttsaxf perm]# chmod 777 cali  # 这种权限不要乱给
[root@fttsaxf perm]# ll
总用量 4
drwxrwxrwx. 2 root root   6 3月  17 11:15 cali

# 第五题
[root@fttsaxf perm]# chmod 700 cali  # 虽然文件显示对任何用户都没有权限，但是对于root用户来说，这些东西不能够限制root用户。
[root@fttsaxf perm]# ll
总用量 4
drwx------. 2 root root   6 3月  17 11:15 cali

# 第六题
[root@fttsaxf perm]# chmod 000 cali
[root@fttsaxf perm]# ll
总用量 4
d---------. 2 root root   6 3月  17 11:15 cali

# 第七题
[root@fttsaxf perm]# ll /etc/passwd
-rw-r--r--. 1 root root 1681 3月  13 15:55 /etc/passwd
[root@fttsaxf perm]# ll /etc/shadow
----------. 1 root root 1685 3月  13 15:55 /etc/shadow
# 这个复制过来，与原文件的权限是一样的。若是想要时间以及属性也是一样的话，可以使用"cp -a"命令

# 第八题
# -d，查看这个文件夹本身的属性，若是没有这个选项就会查看这个文件夹下边文件以及文件夹的属性
[root@fttsaxf ~]# ll -d /tmp
drwxrwxrwt. 13 root root 4096 3月  17 10:30 /tmp

# 第九题
[root@fttsaxf ~]# ll -d /
dr-xr-xr-x. 20 root root 262 3月  13 16:33 /
[root@fttsaxf ~]# ll -d /root
dr-xr-x---. 10 root root 4096 3月  16 23:17 /root

练习四： 

提示：使用"chown -R"等命令来完成这些练习

3.3.1、"/etc/shadow"文件的权限是除了root用户，任何用户都不能去读写执行的，但是为什么普通用户可以修改自己的密码？

[root@fttsaxf perm]# ll /usr/bin/passwd
-rwsr-xr-x. 1 root root 27856 4月   1 2020 /usr/bin/passwd

# 因为passwd这个命令有"suid"权限，所以普通用户在执行passwd命令的时候，享有root用户的权限

3.3.2、 cp -a

-a，复制文件的时候，保留文件的属性(权限、时间、用户和组)

4、chattr

用途：设置文件或者文件夹的隐藏属性(attribute)

格式以及常用命令选项

4.1、chattr +i 和 chattr -i

锁定了文件或者文件夹之后，root用户也不够随心所欲。所以黑客或者病毒非常喜欢使用这个命令

# 对于文件来说，锁住之后不能够在文件夹里新建、删除、复制、移动文件到此文件里，但不影响把这里边的文件或者文件夹弄外边去。
[root@fttsaxf ~]# chattr +i /etc/passwd  # +i，锁定这个文件，不能够修改
[root@fttsaxf ~]# useradd xiannv
useradd：无法打开 /etc/passwd
[root@fttsaxf ~]# chattr -i /etc/passwd  # -i，解锁这个文件
[root@fttsaxf ~]# useradd xiannv
[root@fttsaxf ~]# chattr -i /etc/passwd
[root@fttsaxf ~]# useradd xiannv
useradd：用户“xiannv”已存在

# 对于文件夹来说
[root@fttsaxf rough_book]# chattr +i test
[root@fttsaxf rough_book]# cd test
[root@fttsaxf test]# mkdir hhh
mkdir: 无法创建目录"hhh": 权限不够

4.1.1、查看文件或者文件夹的隐藏属性

lsattr -d +文件夹；lsattr + 文件

# 对于文件夹来说
[root@fttsaxf rough_book]# lsattr -d test
----i----------- test

# 对于文件来说
[root@fttsaxf rough_book]# chattr +i haha\ xixi 
[root@fttsaxf rough_book]# lsattr haha\ xixi 
----i----------- haha xixi

4.1.2、ls和lsattr的区别

ls -l，查看的是基本权限；lsattr，查看的是隐藏权限

4.2、chattr +a 和 chattr -a

系统只允许在这个文件之后追加数据，不允许任何进程覆盖或截断这个文件。如果目录具有这个属性，系统将只允许在这个目录下建立和修改文件，而不允许删除任何文件。

# 对于文件来说，只能够在文件中添加内容，不能修改不能删除
[root@fttsaxf test]# chattr +a fairy 
[root@fttsaxf test]# echo 12 >>fairy 
[root@fttsaxf test]# cat fairy 
hhhh
12
[root@fttsaxf test]# echo 12 >fairy 
-bash: fairy: 不允许的操作
[root@fttsaxf test]# rm -rf fairy 
rm: 无法删除"fairy": 不允许的操作


# 对于文件夹来说
[root@fttsaxf rough_book]# chattr +a test
[root@fttsaxf rough_book]# lsattr -d test
-----a---------- test
[root@fttsaxf test]# mkdir god
[root@fttsaxf test]# rm -rf god
rm: 无法删除"god": 不允许的操作
[root@fttsaxf rough_book]# mv test/god/ find/
mv: 无法将"test/god/" 移动至"find/god": 不允许的操作
[root@fttsaxf rough_book]# lsattr test/
-----a---------- test/fairy
---------------- test/hh
---------------- test/god
[root@fttsaxf rough_book]# rm -rf test/
rm: 无法删除"test/fairy": 不允许的操作
rm: 无法删除"test/hh": 不允许的操作
rm: 无法删除"test/god": 不允许的操作

5、特殊权限

特殊权限功能：

 

如何让一个普通用户也可以在根目录下新建文件夹？

 1、可以让mkdir具有suid权限；2、设置根目录的权限位777，必须要加上粘滞位，防止不同的用户互删文件或者文件夹。 

5.1、suid权限(权限字符)

当某个用户执行某个具有suid权限的命令的时候，会以这个命令文件的拥有者的身份去执行 

[root@fttsaxf ~]# chmod u+s /usr/bin/mkdir
[root@fttsaxf ~]# su - wangchen
上一次登录：四 3月 17 10:53:32 CST 2022pts/0 上
[wangchen@fttsaxf ~]$ id 
uid=5566(wangchen) gid=5566(shanxi) 组=5566(shanxi)
[wangchen@fttsaxf ~]$ mkdir gl  
[wangchen@fttsaxf ~]$ ll
总用量 0
drwxr-xr-x. 2 root     shanxi 6 3月  17 21:23 gl
# 这个文件夹的拥有者是root而不是"wangchen"的原因，是因为这个用户拿着root用户的"mkdir"去新建的"gl"文件夹,所以这个文件夹的拥有者就是root
# 用进程的只是来解释，就是mkdir进程捆绑了"root"的uid和"wangchen"的gid
# 所以不要轻易的给命令授予suid权限位，因为其他用户在执行命令的时候会拥有root用户的权限

[root@fttsaxf rough_book]# chmod u-s /usr/bin/mkdir  # 取消suid权限位
[root@fttsaxf rough_book]# ll /usr/bin/mkdir  
-rwxr-xr-x. 1 root root 79768 8月  20 2019 /usr/bin/mkdir

5.2、粘滞位权限(Sticky)(权限字符)

主要用途和应用示例：

5.2.1、添加粘滞位

# 首先需要将目录的权限先设置为777
# 然后添加+t,特别权限。"o+t"和"+t"是一样的，粘滞位只会加在其他用户权限中
[root@fttsaxf rough_book]# chmod 777 perm
[root@fttsaxf rough_book]# ll -d perm
drwxrwxrwx. 3 root root 31 3月  17 11:15 perm
[root@fttsaxf rough_book]# chmod +t perm  # 授予权限
[root@fttsaxf rough_book]# ll -d perm/
drwxrwxrwt. 3 root root 31 3月  17 11:15 perm/
[root@fttsaxf rough_book]# chmod -t perm/
[root@fttsaxf rough_book]# ll -d perm/
drwxrwxrwx. 3 root root 31 3月  17 11:15 perm/

5.3、使用权限数字赋予特殊权限

格式：chmod  mnnn 可执行文件

m为4时，对应的SUID，2对应SGID，1对应粘滞位，可叠加使用

[root@fttsaxf rough_book]# chmod 0777 perm/
[root@fttsaxf rough_book]# ll -d perm/
drwxrwxrwx. 3 root root 31 3月  17 11:15 perm/
[root@fttsaxf rough_book]# chmod 1777 perm/
[root@fttsaxf rough_book]# ll -d perm/
drwxrwxrwt. 3 root     root       31 3月  17 11:15 perm

因为这种方法设置特殊权限的时候，你还要注意原来的读写执行权限是多少，所以比较麻烦。推荐使用权限字符来设置特殊权限。

若文章内容有错误或者有什么不足的地方，望各位小主及时告知