linux文件特殊权限及文件的访问控制列表

一、文件特殊权限

s: suid, set uid，属主有s权限，意味着用户在执行此程序时，其进程的属主不再是发起者本人，而是这个程序文件的属主；
        s:属主原本有执行权限
        S:属主原本无执行权限
        chmod u+|-s /path/to/somefile  给文件属主增删执行权限
        chmod 4644 /path/to/somefile
    s: sgid, set gid，属组有s权限，意味着执行此程序时，其进程的属组不再是运行者本人所属的基本组，而是此程序文件的属组；主要用于在特定目录创建文件时使其属组与目录属组相同
        chmod g+|-s /path/to/somefile   设置目录+s再于目录下创建文件则文件属组不再是当前用户基本组，此方式创建的文件同组用户可互相删除文件需再行设定t属性

    t: sticky, 粘贴位，附加other的权限上，表现为t  仅owner可删除此文件但是同组用户仍可修改内容。
        t:
        T:
        chmod o+|-t /path/to/somefile

    三位特殊权限

    u:s
    g:s
    o:t

    suid,sgid,sticky

         000
    ugt: 001
         010
         100
         011
         101
         110: 6
         111

    chmod 6664 /tmp/a.txt
        umask: 0022   首位对应特殊权限

    目录应用实例

    /tmp/test
    chmod g+s,o+t /tmp/test
    即若原权限为775
    chmod 3775 /tmp/test
    chown :mygrp /tmp/test

 

二、FACL: 文件访问控制列表

hadoop: /var/tmp/test.txt
    hadoop, hadoop
    664: 其它，只读

    hadoop希望能够让hive写此文件，他该如何进行？只能修改other的权限有写权限；

    acl: 用于实现在原有的访问控制机制之外补充一种文件访问控制机制

    用户访问文件：
        1、用户是否为文件属主？
        2、用户是否有特定的访问控制条目？
        3、用户是否属于文件属组？
        4、用户所属的组是否有特定的访问控制条目？
        5、其它。

    getfacl /path/to/somewhere: 查看文件或目录的访问控制列表；

    setfacl -m u:USERNAME:MODE /path/to/somewhere: 为USERNAME指定的用户设定对文件/path/to/somewhere具有MODE访问权限；

    setfacl -m g:GROUPNAME:MODE  /path/to/somewhere: 为GROUPNAME指定的组设定对文件/path/to/somewhere具有MODE访问权限；

    setfacl -x u:USERNAME /patn/to/somewhere
    setfacl -x g:GROUPNAME /path/to/somewhere

    额外挂载的文件系统默认不支持acl，如果要支持，
    方法1：
        mount -o acl DEVICE MOUNT_POINT
        永久有效：需要编辑/etc/fstab，在挂载选项（defaults）后附加acl选项；

    方法2：设定分区的默认挂载选项中有acl，则挂载时无须再指定acl；
        tune2fs -o acl DEVICE
        取消此默认挂载选项：
        tune2fs -o ^acl DEVICE

hadoop: 文件/var/tmp/hadoop.txt， 664
    拒绝hive用户对此的任何访问；
    setfacl -m u:hive:--- /var/tmp/hadoop.txt

复制文件/var/log/messages至/data目录， 其属主为root用户，且有读写权限，属组为root组，且有读写权限；可以被任何人读取，可以被gentoo用户和magedu组读写，但centos用户没有任何访问权限；

# mkdir /data
# cp /var/log/messages /data
# chmod 664 /data/mesages
# setfacl -m u:gentoo:rw /data/mesages
# setfacl -m g:magedu:rw /data/mesages
# setfacl -m u:centos:--- /data/mesages