文件權限

       文件權限

一．文件屬性

如下圖所示：rw- 屬于所屬主root。中間r–屬于所屬組root的。r–屬于其他的（other）

文件屬性的操作：

1.chown 設置文件的所有者

例：chown  li(用戶)   f1（文件）

也可以改組，chown 所有者:組名 文件

Chown 所有者： 文件（所有者和所屬組都改）

Chown :所屬組 文件（只改組，所有者不變）

–Ｒ是遞歸

2.Chgrp 設置文件的所屬組

例：chgrp   hh(組名)  f1(文件)

二．文件的權限主要針對三類對象進行定義：

owner: 屬主, u

group: 屬組, g

other: 其他, o

2.每個文件針對每類訪問者都定義了三種權限：

r: Readable（讀，查看目錄內容列表）

w: Writable（寫，能刪和創建文件，需配合X）

x: eXcutable（執行，CD讀取目錄內文件內的內容）

注意：光有讀沒有執行權限，對于目錄來講意味著不能cd進去，也不能訪問里邊的文件。

4.文件：

r: 可使用文件查看類工具獲取其內容

w: 可修改其內容

x: 可以把此文件提請內核啟動為一個進程

5.目錄：

r: 可以使用ls查看此目錄中文件列表

w: 可在此目錄中創建文件，也可刪除此目錄中的文件

x: 可以使用ls -l查看此目錄中文件列表，可以cd進入此目錄

X:只給目錄x權限，不給文件x權限

三．文件權限操作

操作命令：chmod 數字 文件

八進制數字

例如：

640: rw-r—–

rwxr-xr-x: 755

四．修改文件權限ｃｈｍｏｄ

1.chmod -R 是遞歸

2.修改一類用戶的所有權限：

   u= g= o= ug= a= u=,g=

3.修改一類用戶某位或某些位權限

u+ u-g+ g-o+ o-a+ a-

4.chmod –reference f1 f2 可以復制f1的權限到f2

五．新建文件和目錄的默認權限

1.umask值可以用來保留在創建文件權限

含義是，從最大權限中屏蔽掉相應的權限，從而獲得默認權限

2.新建FILE權限: 666-umask（如：666-022=默認權限）

2.1默認權限=最大權限-umask

2.3.如果文件所得結果某位存在執行（奇數）權限，則將其權限+1

4.新建DIR權限: 777-umask（如：777-022=默認權限）

5.root的umask是022

6.非特權用戶umask是002

7.設置#umask 值 。如：umask 033

8.umask u=rw,g=r,o= 也可使用這種寫法

9.-p輸入可以被調用（如：umask -p >> .bashrc）

10.-s 以模式的方式直接顯示

六．Linux文件系統上的特殊權限

1.SUID, SGID, Sticky

2.三種常用權限：r, w, x user, group, other

3.前提：進程有屬主和屬組；文件有屬主和屬組

(1) 任何一個可執行程序文件能不能啟動為進程：取決發起者對程序文件是否擁有執行權限

(2) 啟動為進程之后，其進程的屬主為發起者；進程的屬組為發起者所屬的組

(3) 進程訪問文件時的權限，取決于進程的發起者

(a) 進程的發起者，同文件的屬主：則應用文件屬主權限

(b) 進程的發起者，屬于文件屬組；則應用文件屬組權限

(c) 應用文件“其它”權限

可執行文件上的ＳＵＩＤ權限

１.任何一個可執行程序文件能不能啟動為進程：取決發起者對程序文件是否擁有執行權限

２.啟動為進程之后，其進程的屬主為原程序文件的屬主

３.SUID只對二進制可執行程序有效

４.SUID設置在目錄上無意義

５.權限設定：

Chmod　u+s　FILE…

Chmod　u-s 　FILE

可執行文件上的SGID權限

1.任何一個可執行程序文件能不能啟動為進程：取決發起者對程序文件是否擁有執行權限

2.啟動為進程之后，其進程的屬主為原程序文件的屬組

3.權限設定：chmod g+s FILE… Chmod g-s FILE

目錄上的SGID權限

1.默認情況下，用戶創建文件時，其屬組為此用戶所屬的主組

2.一旦某目錄被設定了SGID，則對此目錄有寫權限的用戶在此目錄中創建的文件所屬的組為此目錄的屬組

3.通常用于創建一個協作目錄

4.權限設定：

chmodg+sDIR…

chmodg-s DIR…

Sticky位

1.具有寫權限的目錄通常用戶可以刪除該目錄中的任何文件，無論該文件的權限或擁有權

2.在目錄設置Sticky 位，只有文件的所有者或root可以刪除該文件

3.sticky 設置在文件上無意義

4.權限設定：

chmodo+tDIR…

chmodo-t DIR

權限位映射

1.SUID: user,占據屬主的執行權限位

s: 屬主擁有x權限

S：屬主沒有x權限

2.SGID: group,占據屬組的執行權限位

s: group擁有x權限

S：group沒有x權限

3.Sticky: other,占據other的執行權限位

t: other擁有x權限

T：other沒有x權限

設定文件特定屬性

1.chattr +i 不能刪除，改名，更改

2.chattr +a 只能增加

3.lsattr 顯示特定屬性

訪問控制列表

1.ACL：Access Control List，實現靈活的權限管理

2.除了文件的所有者，所屬組和其它人，可以對更多的用戶設置權限

3.CentOS7.0默認創建的xfs和ext4文件系統有ACL功能

4.CentOS7.X之前版本，默認手工創建的ext4文件系統無ACL功能。需手動增加:

tune2fs –o acl/dev/sdb1

mount –o acl/dev/sdb1 /mnt

5.ACL生效順序：所有者，自定義用戶，自定義組，其他人

為多用戶或者組的文件和目錄賦予訪問權限rwx

?mount -o acl /directory

?etfacl file |directory

?setfacl -m u:ww:rwx file

?setfacl -Rm g:sales:rwX directory

?setfacl -M file.acl file|directory

?setfacl -m g:salesgroup:rw file| directory

?setfacl -m d:u:wang:rx directory

?setfacl -x u:wang file |directory

?setfacl -X file.acl directory

1.ACL文件上的group權限是mask 值（自定義用戶，自定義組，擁有組的最大權限）,而非傳統的組權限

2.getfacl可看到特殊權限：flags

3.默認ACL權限給了x，文件也不會繼承x權限。

4.base ACL 不能刪除

5.setfacl-k dir 刪除默認ACL權限

6.setfacl-b file1清除所有ACL權限

7.getfaclfile1 | setfacl–set-file=-file2 復制file1的acl權限給file2

1.mask只影響除所有者和other的之外的人和組的最大權限

2.Mask需要與用戶的權限進行邏輯與運算后，才能變成有限的權限(Effective Permission)  

用戶或組的設置必須存在于mask權限設定范圍內才會生效。setfacl-m mask::rxfile

3.–set選項會把原有的ACL項都刪除，用新的替代，需要注意的是一定要包含UGO的設置，不能象-m一樣只是添加ACL就可以.

4.如：

setfacl –set u::rw,u:wang:rw,g::r,o::-file1

備份和恢復ACL

1.主要的文件操作命令cp和mv都支持ACL，只是cp命令需要加上-p 參數。但是tar等常見的備份工具是不會保留目錄和文件的ACL信息

#getfacl -R /tmp/dir1 > acl.txt

#setfacl -R -b /tmp/dir1

#setfacl -R –set-file=acl.txt /tmp/dir1

#getfacl -R /tmp/dir1