Linux系统中文件权限(特殊权限)的相关认识

  1. 文件属性

    在linux系统中一切皆文件,所有的数据都是以文件的形式存储在系统中,我们可以通过ls命令可以查看文件的相关属性,如下图:

            

blob.png

 

                     图1-1 文件权限及属性


   从上图中,可以看到该boot文件权限是r-xr-xr-x(d表示该文件是一个目录),在linux系统中对文件进行操作的一共三类对象,分别是:

    owner 所属主: 即创建该文件的人     u

    group 所属组: 即文件所属群组      g  

    other 其他人: 即属主和属组之外的人  o

每个文件对每类用户都定义了三种权限:

   Readable:可读    文件-可以获取文件的内容   目录-可以使用ls命令查看文件列表     r

   Writable:可写    文件-可以对文件进行修改   目录-可以在目录中创建和删除文件     w

   Excutable:可执行  文件-可以对文件执行操作   目录-可以ls查看文件列表,cd进入目录  x

           注:X表示只给目录x权限,不给文件x执行权限

              blob.png

                        图1-2  X权限

  

  八进制下权限的表现形式:

     blob.png

                        图1-3 八进制下的权限表现形式


2.文件权限及属性修改命令

  2.1 chmod 

     改变文件权限

blob.png

                    图2-1 chmod帮助手册

  从帮助文档中,可以获取chmod命令的相关信息,它语法格式有如下几种:

    chmod [OPTION]…MODE[,MODE]…FILE…

    chmod [OPTION]…OCTAL-MODE FILE…

    chmod [OPTION]…–REFERENCE=RFILE FILE… 

       -R 递归修改权限

  修改一类用户的所有权限:

    u=  g=  o=  ug=  a=  u= ,g=

  修改某类用户一位或多位权限

    u+  g+  o+  u-  g-  o-  a+  a-

   blob.png 

            图2-2 chmod命令使用

  2.2 chown

    修改文件的属主和属组 blob.png

                         图2-3 chown帮助手册

   chown改变文件所有者和所属组,语法格式:

      chown [option]…[owner][:[group]] file… 

      chown [option]…reference=rfile file…

         -R:递归

    blob.png

             图2-4 chown命令使用


3.文件系统上的特殊权限

  a.任何一个可执行程序文件能不能执行为进程,是由它的发起者是否有执行权限决定的

  b.启动为进程后,进程的属组为发起者,属组为发起者所属的组

  c.进程访问文件时的权限,取决于进程的发起者

  3.1 SUID

    blob.png

                 图3-1 SUID文件

    SUID只对二进制文件可执行程序有效

   SUID设置在目录上是无效的

    chmod u+s file…

    chmod u-s file…


  3.2 SGID

   可执行文件上的SGID权限

    启动为进程后,其进程的属主为原程序的属组

    blob.png

                  图3-2 SGID文件  

    chmod g+s file…

    chmod g-d file…

    

    目录上的SGID权限

    默认情况下,用户创建文件,其属组为此用户所属的主组,一旦某目录被设置为SGID,则对此目录有些的权限的用户在此目录创建的文件所属的组为此目录的属组

    通常用于创建一个协作目录 

    blob.png

             图3-3 SGID目录

    chmod g+s dir…

   chmod g-s dir… 


  3.3 Sticky位

   当一个用户对一个目录具有写权限时,就可以对目录中的任何文件执行删除操作,而不需要看该文件的权限。即便该文件由他人创建,并且有严格的读写权限,只要该文件是创建在该用户拥有读写权限的目录下,那么该用户就可以直接对文件进行删除操作,这样就不利于数据的安全性,完整性…所以,就有了sticky位,它的作用就是用来约束用户的行为,在有sticky位的目录中创建文件,那么只有文件所有者和root才能对文件进行删除操作,即使,他人有对该目录的读写执行权限,也无法对非本人创建的文件进行删除。

         blob.png

                       图3-4 sticky位目录及操作

   从上图也可看出,普通用户想要删除不是由他创建的目录时,显示不允许的操作,即使该用户对该目录有读写执行的权限。

   sticky位设置在文件上无意义

    chmod o+t dir…

    chmod o-t dir…

 

  3.4 SUID SGID STICKY

     SUID:user 占据属主的执行权限位  4

       s:属主具有x权限

       S:属主没有x权限

     SGID:group 占据数组的执行权限位  2

       s:group拥有x权限

       S:group没有x权限

     STICKY:other 占据other的执行权限位 1

       t:other拥有x权限

       T:other没有执行权限

  3.5 文件特定属性设定

     chattr

blob.png

                      图3-5 chattr帮助手册

    chattr:改变linux文件系统中文件属性

    +i:当为某个文件设置了i属性,那么该文件就不能被删除或者重命名,也不能创建链接,也不能将任何数据写入到该文件中,只有超级管理员和文件的拥有者才能设置或清除这个属性

    +a:当给某个文件设定了a属性,那就表明只能往该文件写入数据,其他操作均不能实现

    lsattr:可以查看文件的这些特定属性

blob.png

            图3-6 chattr命令操作

4.访问控制列表ACL

  ACL: Access Control List 访问控制列表(实现灵活的权限管理)

  作用: 除了文件的所有者,所属组和其他人,可以对更多的用户进行权限设置

  ACL生效顺序:所有者 自定义用户 自定义组 其他人

 4.1 setfacl

blob.png

                    图4-1 setfacl帮助手册

   setfacl:设置文件访问控制权限列表

      setfacl -m u:user:rwx file|directory   对指定用户设置rwx的acl权限

      setfacl -m g:group:rwx fiel|directory  对指定的组设置rwx的acl权限

      setfacl -Rm g:group:rwX directory     对指定的组设置rwx递归目录的acl权限     

      setfacl -x u:user file | directory     删除指定用户的acl权限

      setfacl -X facl.acl directory        删除指定的acl权限文件

      setfacl -k dir                  删除默认的acl权限

      setfacl -b file                 清除所有的acl权限 

 

 4.2 getfacl

blob.png

                      图4-2 getfacl帮助手册

   getfacl:获取文件访问控制列表信息

      getfacl file | directory   查看文件或目录的acl权限  

    blob.png

                 图4-3 getfacl命令使用

   备份和恢复ACL

      getfacl -R /tmp/dir1 > acl.txt

      setfacl -R -b /tmp/dir1

      setfacl -R –set-file=acl.txt /tmp/dir1 

      getfacl -R /tmp/dir1

5.umask和acl mask的联系与区别

  5.1 umask

    当我们登录系统后创建文件总是有一个默认的权限,普通用户创建文件默认权限664,创建文件夹默认权限是775,root用户默认创建文件权限644,创建的目录默认权限755.这是由umask来限定的,它的参数设置在/etc/profile中,我们可以在/etc/bashrc或家目录下的.bashrc进行自定义的设置。 

  blob.png

             图5-1 umask参数      

root用户的umask码为022,普通用户的umask码为002.

blob.png

          图5-2 root用户

blob.png

          图5-3 普通用户

   

  5.2 acl mask

     ACL中的mask只影响出所有者和other的之外的人和组的最大权限,mask需要与用户的权限进行逻辑与运算后,才能变成有效的权限。也就是用户或组的设置必须存在于mask限定的范围内才会生效,即当给予了用户或者组rwx的权限,但是mask码为rw,那么x的权限就不会生效,有限的就只是rw的权限,有限权限就是不能大于mask码的权限,可以小于或者等于mask码的权限。

    blob.png

                    图5-4 ACL中的mask码

    ACL中的mask码规定了用户或组的默认最大权限,超过这个权限的权限会变成无效的权限,即便给了额外的权限,该权限也无法进行操作,文件中的umask码则是用文件666(目录777)-umask,与umask位相同的权限就会被屏蔽掉,从而得出最终的权限。

原创文章,作者:Stupid_L,如若转载,请注明出处:http://www.178linux.com/28085

(0)
Stupid_LStupid_L
上一篇 2016-08-04
下一篇 2016-08-04

相关推荐

  • Linux bash编程基础语法总结

    前言 在Linux学习过程中,我们无可避免的会碰到一个既让人喜欢,又令人头疼的神奇的东西——bash编程,即shell脚本。那么什么是shell脚本呢?shell是一个命令语言解释器,而shell脚本则是Linux命令的集合,按照预设的顺序依次解释执行,来完成特定的、较复杂的系统管理任务,类似于Windows中的批处理文件。本文带来的是bash编程的基础语法…

    Linux干货 2015-04-04
  • linux中bash的基础特性和基本文件管理命令

    linux的文件管理类命令 linux系统下的涉及到目录管理命令,主要有 mkdir,rmdir linux系统下也会用到许多文件查看类命令,包括cat,tac,head,tail,more,less等 linux系统下涉及的文件管理类命令主要有cp,mv,rm 本节我们主要说明文件管理类命令的使用方法。 cp命令的使用方法 首先,cp这个命令的作用是可以复…

    Linux干货 2016-09-26
  • bash的基础特性[更新中]

    2、bash的工作特性之命令执行状态返回值和命令行展开所涉及的内容及其示例演示。
    3、请使用命令行展开功能来完成以下练习:
    (1)、创建/tmp目录下的:a_c, a_d, b_c, b_d
    (2)、创建/tmp/mylinux目录下的:
    mylinux/
    ├── bin
    ├── boot
    │   └── grub
    ├── dev
    ├── etc
    │   ├── rc.d
    │   │   └── init.d
    │   └── sysconfig
    │   └── network-scripts
    ├── lib
    │   └── modules
    ├── lib64
    ├── proc
    ├── sbin
    ├── sys
    ├── tmp
    ├── usr
    │   └── local
    │   ├── bin
    │   └── sbin
    └── var
    ├── lock
    ├── log
    └── run
    5、如何定义一个命令的别名,如何在命令中引用另一个命令的执行结果?
    6、显示/var目录下所有以l开头,以一个小写字母结尾,且中间至少出现一位数字(可以有其它字符)的文件或目录。
    7、显示/etc目录下,以任意一个数字开头,且以非数字结尾的文件或目录。
    8、显示/etc目录下,以非字母开头,后面跟了一个字母以及其它任意长度任意字符的文件或目录。
    9、在/tmp目录下创建以tfile开头,后跟当前日期和时间的文件,文件名形如:tfile-2016-05-27-09-32-22。
    10、复制/etc目录下所有以p开头,以非数字结尾的文件或目录到/tmp/mytest1目录中。
    11、复制/etc目录下所有以.d结尾的文件或目录至/tmp/mytest2目录中。
    12、复制/etc/目录下所有以l或m或n开头,以.conf结尾的文件至/tmp/mytest3目录中。

    2018-03-17
  • Linux各发行版、哲学思想、基础目录

    Linux发行版本? Linux操作系统的发行版本可以大体分为两类,一类是商业公司维护的发行版本,一类是社区组织维护的发行版本,前者以著名的Redhat(RHEL)为代表,后者以Debian为代表。               R…

    Linux干货 2016-10-26
  • Ansible中文权威

    福利贴 运维神器 Ansible 本土化在际,除了每日分享,定期更新外,还有大虾不定期解惑,更多福利可关注  http://www.178linux.com/doc/ansible/  或 扫描二维码入( 372011984 )群关注.

    Linux干货 2015-08-13
  • 磁盘管理及shell脚本编程练习

    1、创建一个10G分区,并格式为ext4文件系统 a) 要求其block大小为2048,预留空间百分比为2,卷标为MYDATA,默认挂载属性包含acl; ~]# mke2fs –t ext4 –b 2048 –m 2 –L MYDATA  /dev/sda3 b) 挂载至/data/madata目录,要求挂载时禁止程序自动运行,且不更新文件的访问时间戳; ~…

    2017-11-15