文件權限的設置和文件的特殊權限及其命令使用

1. linux的系統管理員很重要的任務就是管理自己服務器的文件，對于權限設置等級森嚴的linux文件系統，文件系統的訪問權限管理自然也是linux管理員必不可少的一項技能。

在linux中文件的基本權限中：被分為三大項：文件擁有者，文件擁有組，其他人。

每一項中，用三位八進制的數字來代表文件是否可讀，是否可寫，是否可執行。并根據用戶不同可以設置不同的umask值，來屏蔽文件的權限，umask值位數等于文件的權限位數，當umask的值為1，表示該位的權限就應該屏蔽掉。

后來在使用過程中發現，除了上面的幾種分類之外，往往會出現第四種，第五種人，比如雖然是同一個組，但是權限卻不能要求一樣，或者后一個屬于其他人的分組的一個人權限卻要求更大，還有就是比如linux的密碼文件，對于系統中的密碼文件對于普通用戶是不應該可見或更改的，但是在系統某些普通用戶登錄時又必須訪問該文件，于是便出現了，文件的特殊權限以及文件的訪問控制ACL。

2. umask工作原理及其配置：

umask是從最大權限中屏蔽掉相應的權限位，從而得到相應的權限。

對于每個用戶都有其默認的umask值的設定，對于root，umask值較大，默認022，其他人umask較小，因為root權限較大，umask值越大，屏蔽掉的權限也越多，默認創建的文件權限也就越小，對于系統來說，文件系統權限越小，相對來說也就是更高的安全。umask計算時可以用下面的方法計算：

默認權限=最大權限位 – umask屏蔽位。

上面的計算是目錄時，最大權限是777，文件時最大權限是666，然后與umask位做差運算，如果是文件則結果就是文件的權限，如果是目錄時則要看每一位的數值是奇數還是偶數，如果是奇數就需要該位上加一，偶數位則不變。

示例：

[root@centos7 ~]# ll f4.txt cd
-rwxr-xr-x. 1 root root 0 Aug 3 10:33 cd
-rw-r--r--. 1 root root 12 Jul 27 10:35 f4.txt

  有上面的文件可知f4.txt文件權限位中（第一個–表示是文件類型，不屬于文件權限位），每三個位表示一端，每一段中又分別是r，w，x三中權限，–表示沒有該權限位被屏蔽掉了。每一位若用二進制數字表示的話r（100）表示4，w（010）表示2，x（001）表示1，文件最大umask權限默認是666是因為默認屏蔽掉x權限，表示執行的x權限對于系統來說有安全隱患，所以默認屏蔽掉了。

         umask值查看與設定：

[root@centos7 ~]# umask
0022
[root@centos7 ~]# umask -p
umask 0022
[root@centos7 ~]# umask -S
u=rwx,g=rx,o=rx

上面的三種查看方法當中，第一種沒有加參數，可以直接顯示umask的值，第二種加了-p選項后在umask值前面多了umask字樣，可以用來編寫腳本時使用，比如要把umask的值改變需要改變配置文件每一個用戶的初始化配置文件~/.bashrc當中都有有關umask的值的設定，在/etc/bashrc下面有全局設定，在配置文件的末尾直接寫 ：umask  0147 便將umask值修改為0111了

umask值計算示例：

如將umask的值改為0147了此時

         目錄：777-147=630  目錄值算出多少就是多少

         文件：666-147=52(-1)  結果當中有奇數有偶數奇數加一偶數不變（加一是為了屏蔽掉執行權限）結果為620

測試結果如下

[root@centos7 ~]# umask 147
[root@centos7 ~]# touch aa
[root@centos7 ~]# ll aa
-rw--w----. 1 root root 0 Aug  3 10:59 aa
[root@centos7 ~]# mkdir aadir
 [root@centos7 ~]# ll aadir/ -d
drw--wx---. 2 root root 6 Aug  3 11:00 aadir/

可知，結果與計算相符，計算正確

注意：

文件權限是需要和文件系統關聯的，假如將fat文件系統格式化的分區，該分區將不支持文件系統權限的，比如用fat32的優盤掛載至文件系統，通過lsblk列出塊設備，df –T 查看文件系統確認分區格式和掛載點，修改文件權限，切至普通用戶就會發現文件權限修改使沒有生效的

3. 文件系統的特殊權限：SUID,SGID,STICKY

三種文件系統權限的都是文件系統權限的擴展，分別簡寫為s，s，t。在通過ls  -l查看文件時第一位就是文件的特殊權限三個字母分別對應于原來的rwx三位，數值也是4，2，1

三種權限的含義：

SUID:對用戶有效，并且需要是二進制的可執行文件，對于普通文件和腳本文件無效，當用戶執行具有suid的可執行文件時，該用戶將繼承擁有該程序擁有者的權限執行該程序（可執行文件的運行身份是以發起該進程的用戶身份的）

如：

[root@centos7 ~]# ll `which vim`
-rwxr-xr-x. 1 root root 2289656 Jun 10  2014 /usr/bin/vim
[root@centos7 ~]# ll `which vim`
-rwxr-xr-x. 1 root root 2289656 Jun 10  2014 /usr/bin/vim
[root@centos7 ~]# chmod u+s `which vim`
[root@centos7 ~]# ll `which vim`
-rwsr-xr-x. 1 root root 2289656 Jun 10  2014 /usr/bin/vim
[root@centos7 ~]# su - jack
Last login: Tue Aug  2 21:43:24 CST 2016 on pts/1
[jack@centos7 ~]$ ll /etc/shadow
----------. 1 root root 1309 Aug  2 21:47 /etc/shadow
 [jack@centos7 ~]$ vim /etc/shadow
[jack@centos7 ~]$ echo $?
0
[jack@centos7 ~]$ exit
logout
[root@centos7 ~]# chmod u-s `which vim`
[root@centos7 ~]# ll `which vim`
-rwxr-xr-x. 1 root root 2289656 Jun 10  2014 /usr/bin/vim

通過給/usr/bin/vim添加suid權限，普通用戶可以編輯對于任何用戶都不能查看或編輯的shadow文件，最后給vim減去suid權限。

SGID:類似于suid，目標也是針對可執行的二進制文件有效，對擁有sgid權限的程序，可以擁有可執行文件的組內的權限，使用較少，用法與suid類似，此處不在贅述

sgid作用在目錄上的特殊功能：當對目錄擁有sgid位時，該目錄內新建的文件或目錄的所屬組自動集成該目錄的所屬組

示例：在添加了sgid的dir目錄中，其他用戶創建的目錄和文件都會變成jack所屬組

[root@centos7 testdir]# mkdir dir
[root@centos7 testdir]# chown jack.jack dir
[root@centos7 testdir]# chmod g+s dir
[root@centos7 testdir]# cd dir
[root@centos7 dir]# touch a.txt
[root@centos7 dir]# mkdir a_dir
[root@centos7 dir]# ll
total 0
drwxr-sr-x. 2 root jack 6 Aug  3 16:02 a_dir
-rw-r--r--. 1 root jack 0 Aug  3 16:02 a.txt

sticky：又叫粘滯位，該位在
普通文件的sticky位會被linux內核忽略，目錄的sticky位表示這個目錄里的文件只能被owner和root刪除 。粘滯位出現執行許可的位置上，用t表示。但是該目錄下的目錄不繼承該權限，要再設置才可使用。   

示例：tmp目錄

[root@centos7 ~]# ll /tmp -d
drwxrwxrwt. 24 root root 4096 Aug  3 11:22 /tmp

 
那么原來的執行標志x到哪里去了呢? 系統是這樣規定的, 假如本來在該位上有x, 則這些特別標志 (suid, sgid, sticky) 顯示為小寫字母 (s, s, t).
 否則, 顯示為大寫字母 (S, S, T) 。    

chattr：在文件系統的層面為文件添加屬性，保護特殊文件，防止誤操作，在系統中root可以把本已對任何人都沒有權限的文件，執行操作

在操作系統層面上，文件的屬性有：

a：讓文件或目錄僅供附加用途；

b：不更新文件或目錄的最后存取時間；

i：不得任意更動文件或目錄；

u：預防意外刪除。
示例：

[root@centos7 testdir]# ls
adir  a.txt
[root@centos7 testdir]# chattr +a  a.txt //添加a屬性
[root@centos7 testdir]# chattr +i adir/
[root@centos7 testdir]# echo aa > a.txt//不能修改
-bash: a.txt: Operation not permitted
[root@centos7 testdir]# echo aa >> a.txt//只能增加內容
[root@centos7 testdir]# rm -rf adir/  //不能刪除目錄
rm: cannot remove ‘adir/’: Operation not permitted

文件訪問控制列表ACL（Access Control List，ACL）對文件權限進行精確匹配，包括組和用戶，都可以進行匹配：

選項：

-b,--remove-all：刪除所有擴展的acl規則，基本的acl規則(所有者，群組，其他）將被保留。
-m給文件添加acl規則
-M 根據規定好的acl格式的文件（存放acl規則的文件），為需要添加acl的文件添加acl
-x 給文件移除規則
-X 類似于-M也是根據文件移除acl權限

-m和-x后邊跟以acl規則。多條acl規則以逗號(,)隔開。選項-M和-X用來從文件或標準輸入讀取acl規則。 選項–set和–set-file用來設置文件或目錄的acl規則，先前的設定將被覆蓋。 選項-m(–modify)和-M(–modify-file)選項修改文件或目錄的acl規則。 選項-x(–remove)和-X(–remove-file)選項刪除acl規則。
當使用-M，-X選項從文件中讀取規則時，setfacl接受getfacl命令輸出的格式。每行至少一條規則，以#開始的行將被視為注釋。 當在不支持ACLs的文件系統上使用setfacl命令時，setfacl將修改文件權限位。如果acl規則并不完全匹配文件權限位，setfacl將會修改文件權限位使其盡可能的反應acl規則，并會向standard error發送錯誤消息，以大于0的狀態返回

一般示例：

[root@centos7 testdir]# ll
total 4
drwxr-xr-x. 2 root root 6 Aug  3 16:17 adir
-rw-r--r--. 1 root root 9 Aug  3 16:31 a.txt
[root@centos7 testdir]# setfacl -m u:jack:rwx a.txt //給用戶jack添加rwx權限
[root@centos7 testdir]# getfacl a.txt //查看文件的acl權限
# file: a.txt
# owner: root
# group: root
user::rw-
user:jack:rwx
group::r--
mask::rwx
other::r—
[root@centos7 testdir]# setfacl -x u:jack:  a.txt 
[root@centos7 testdir]# getfacl a.txt
# file: a.txt
# owner: root
# group: root
user::rw-
group::r--
mask::r--
other::r--
[root@localhost ~]# getfacl ./test.txt 
# file: test.txt 
# owner: root 
# group: admin user::rw- 
user:john:rw- group::rw- 
group:dev:r-- mask::rw- 
other::r—

前面三個以#開頭的定義了文件名，file owner和group。

user::rw- 定義了ACL_USER_OBJ, 說明file owner擁有read and write permission

user:jack:rwx 定義了ACL_USER,這樣用戶jack就擁有了對文件的讀寫執行權限,實現了我們一開始要達到的目的

group::rw- 定義了ACL_GROUP_OBJ,說明文件的group擁有read and write permission group:dev:r– 定義了ACL_GROUP,使得dev組擁有了對文件的read permission mask::rw- 定義了ACL_MASK的權限為read and write other::r– 定義了ACL_OTHER的權限為read