文件权限

       文件权限

一．文件属性

如下图所示：rw- 属于所属主root。中间r–属于所属组root的。r–属于其他的（other）

文件属性的操作：

1.chown 设置文件的所有者

例：chown  li(用户)   f1（文件）

也可以改组，chown 所有者:组名 文件

Chown 所有者： 文件（所有者和所属组都改）

Chown :所属组 文件（只改组，所有者不变）

–Ｒ是递归

2.Chgrp 设置文件的所属组

例：chgrp   hh(组名)  f1(文件)

二．文件的权限主要针对三类对象进行定义：

owner: 属主, u

group: 属组, g

other: 其他, o

2.每个文件针对每类访问者都定义了三种权限：

r: Readable（读，查看目录内容列表）

w: Writable（写，能删和创建文件，需配合X）

x: eXcutable（执行，CD读取目录内文件内的内容）

注意：光有读没有执行权限，对于目录来讲意味着不能cd进去，也不能访问里边的文件。

4.文件：

r: 可使用文件查看类工具获取其内容

w: 可修改其内容

x: 可以把此文件提请内核启动为一个进程

5.目录：

r: 可以使用ls查看此目录中文件列表

w: 可在此目录中创建文件，也可删除此目录中的文件

x: 可以使用ls -l查看此目录中文件列表，可以cd进入此目录

X:只给目录x权限，不给文件x权限

三．文件权限操作

操作命令：chmod 数字 文件

八进制数字

例如：

640: rw-r—–

rwxr-xr-x: 755

四．修改文件权限ｃｈｍｏｄ

1.chmod -R 是递归

2.修改一类用户的所有权限：

   u= g= o= ug= a= u=,g=

3.修改一类用户某位或某些位权限

u+ u-g+ g-o+ o-a+ a-

4.chmod –reference f1 f2 可以复制f1的权限到f2

五．新建文件和目录的默认权限

1.umask值可以用来保留在创建文件权限

含义是，从最大权限中屏蔽掉相应的权限，从而获得默认权限

2.新建FILE权限: 666-umask（如：666-022=默认权限）

2.1默认权限=最大权限-umask

2.3.如果文件所得结果某位存在执行（奇数）权限，则将其权限+1

4.新建DIR权限: 777-umask（如：777-022=默认权限）

5.root的umask是022

6.非特权用户umask是002

7.设置#umask 值 。如：umask 033

8.umask u=rw,g=r,o= 也可使用这种写法

9.-p输入可以被调用（如：umask -p >> .bashrc）

10.-s 以模式的方式直接显示

六．Linux文件系统上的特殊权限

1.SUID, SGID, Sticky

2.三种常用权限：r, w, x user, group, other

3.前提：进程有属主和属组；文件有属主和属组

(1) 任何一个可执行程序文件能不能启动为进程：取决发起者对程序文件是否拥有执行权限

(2) 启动为进程之后，其进程的属主为发起者；进程的属组为发起者所属的组

(3) 进程访问文件时的权限，取决于进程的发起者

(a) 进程的发起者，同文件的属主：则应用文件属主权限

(b) 进程的发起者，属于文件属组；则应用文件属组权限

(c) 应用文件“其它”权限

可执行文件上的ＳＵＩＤ权限

１.任何一个可执行程序文件能不能启动为进程：取决发起者对程序文件是否拥有执行权限

２.启动为进程之后，其进程的属主为原程序文件的属主

３.SUID只对二进制可执行程序有效

４.SUID设置在目录上无意义

５.权限设定：

Chmod　u+s　FILE…

Chmod　u-s 　FILE

可执行文件上的SGID权限

1.任何一个可执行程序文件能不能启动为进程：取决发起者对程序文件是否拥有执行权限

2.启动为进程之后，其进程的属主为原程序文件的属组

3.权限设定：chmod g+s FILE… Chmod g-s FILE

目录上的SGID权限

1.默认情况下，用户创建文件时，其属组为此用户所属的主组

2.一旦某目录被设定了SGID，则对此目录有写权限的用户在此目录中创建的文件所属的组为此目录的属组

3.通常用于创建一个协作目录

4.权限设定：

chmodg+sDIR…

chmodg-s DIR…

Sticky位

1.具有写权限的目录通常用户可以删除该目录中的任何文件，无论该文件的权限或拥有权

2.在目录设置Sticky 位，只有文件的所有者或root可以删除该文件

3.sticky 设置在文件上无意义

4.权限设定：

chmodo+tDIR…

chmodo-t DIR

权限位映射

1.SUID: user,占据属主的执行权限位

s: 属主拥有x权限

S：属主没有x权限

2.SGID: group,占据属组的执行权限位

s: group拥有x权限

S：group没有x权限

3.Sticky: other,占据other的执行权限位

t: other拥有x权限

T：other没有x权限

设定文件特定属性

1.chattr +i 不能删除，改名，更改

2.chattr +a 只能增加

3.lsattr 显示特定属性

访问控制列表

1.ACL：Access Control List，实现灵活的权限管理

2.除了文件的所有者，所属组和其它人，可以对更多的用户设置权限

3.CentOS7.0默认创建的xfs和ext4文件系统有ACL功能

4.CentOS7.X之前版本，默认手工创建的ext4文件系统无ACL功能。需手动增加:

tune2fs –o acl/dev/sdb1

mount –o acl/dev/sdb1 /mnt

5.ACL生效顺序：所有者，自定义用户，自定义组，其他人

为多用户或者组的文件和目录赋予访问权限rwx

•mount -o acl /directory

•etfacl file |directory

•setfacl -m u:ww:rwx file

•setfacl -Rm g:sales:rwX directory

•setfacl -M file.acl file|directory

•setfacl -m g:salesgroup:rw file| directory

•setfacl -m d:u:wang:rx directory

•setfacl -x u:wang file |directory

•setfacl -X file.acl directory

1.ACL文件上的group权限是mask 值（自定义用户，自定义组，拥有组的最大权限）,而非传统的组权限

2.getfacl可看到特殊权限：flags

3.默认ACL权限给了x，文件也不会继承x权限。

4.base ACL 不能删除

5.setfacl-k dir 删除默认ACL权限

6.setfacl-b file1清除所有ACL权限

7.getfaclfile1 | setfacl–set-file=-file2 复制file1的acl权限给file2

1.mask只影响除所有者和other的之外的人和组的最大权限

2.Mask需要与用户的权限进行逻辑与运算后，才能变成有限的权限(Effective Permission)  

用户或组的设置必须存在于mask权限设定范围内才会生效。setfacl-m mask::rxfile

3.–set选项会把原有的ACL项都删除，用新的替代，需要注意的是一定要包含UGO的设置，不能象-m一样只是添加ACL就可以.

4.如：

setfacl –set u::rw,u:wang:rw,g::r,o::-file1

备份和恢复ACL

1.主要的文件操作命令cp和mv都支持ACL，只是cp命令需要加上-p 参数。但是tar等常见的备份工具是不会保留目录和文件的ACL信息

#getfacl -R /tmp/dir1 > acl.txt

#setfacl -R -b /tmp/dir1

#setfacl -R –set-file=acl.txt /tmp/dir1

#getfacl -R /tmp/dir1