文件权限

一、文件权限

       linux系统中文件众多,针对不同的文件面向的对象不同,因此对其设置的权限各不相同,那么我们来对文件设置权限呢?

        1470484917439742.jpg

            如上图所示,文件的权限主要分三个部分:r、w、x

                                文件面向的对象有三类:属主,数组和other

           rwx权限分别对于应文件和目录的意义如下:

            对于文件:

                            r:可以ls,可以cat

                            w:可以修改文件中的内容,可以ll,如果其父目录具有wx权限可以删除文件

                            x:可以执行二进制程序

            对于目录:

                            r:可以ls

                            w:可以在目录中创建文件,但需要配合x使用

                            x:可以cd到目录,可以访问目录中的文件

  

        相关命令:chmod    chown   chgrp

        chmod:修改权限

                格式:

                          chmod [option] file | dir

                          chmod u+rwx file

                         chmod a+rwx file    a—-ugo

                          chmod u=rwx file

                          chmod 777 file

                注意:当我们执行给文件添加X权限时,如果该文件之前权限有一位x,则可以添加x权限,如果一位x权限都没有,则不能添加x权限。

                          目录不受影响

                               rwxr–r– –>chmodrwxrwxrwx
                               ——— –>rw-rw-rw-

                选项:

                          -R 递归

                          –reference=RFILE FILE…   参考RFILE文件的权限,修改FILE的权限与RFILE一致

        chown:修改属主和属组

                格式:

                           chown  tom:harry f1

                           chown tom f1       修改属主为tom

                           chown tom: f1      修改属主和属组为tom

                           chown :harry f1    修改属组为tom

        chgrp:将文件的属组

        umask:我们发现在我们创建文件或目录时,他们都会有一个默认的权限,这个权限就是通过umask来设置的,umask这个值管理员默认是022,普通用户是002,当我们在配置文件(/etc/profile、/etc/bashrc、也可以是用户自己的.bashrc)中配置umask的值时,就可以定义用户创建文件或目录时的默认权限,也可以说是限制了ugo的权限。

                管理员文件的权限和umask的关系为:666-022=644,如果计算结果中有基数,则加1,例如666-123=543 ->644,这里加1主要是为了避免给用户提供文件的执行权限,将执行权限屏蔽。

                管理员目录的权限和umask的关系为:777-022=755

                umask -S  查看文件夹的默认权限

                umask -p 输出可以被调用

                umask # 可以设置默认值的大小临时生效

二、文件系统的特殊权限

        当我们用tom的身份执行cat /etc/passwd 时,我们的匹配权限的流程是,先匹配/etc/passwd 这个文件的属主,该文件的数主是root与tom不是同一个,不匹配,接着匹配文件的数组,发现也不匹配,接下来就到other的权限了,我们发现other的权限为r,所以我们就以other的身份来访问/etc/passwd 这个文件了,这里需要注意的是,当我们从前往后匹配的时候,如果匹配到权限就不往后面匹配了,就算后面的数组或者other的权限比数主大,也不匹配。

            tom@cenots6.8  ~ # ll /etc/passwd
            -rw-r--r--. 1 root root 1849 8月   6 17:44 /etc/passwd
            tom@cenots6.8  ~ # cat /etc/passwd

特殊权限  

suid

            面向对象:二进制程序 

            格式:chmod u+s file  、 chmod 4### file

            作用:用户发起进程访问文件时,不在是以用户自己的身份来访问,而是以进程属主的身份来访问。        

            应用场景:passwd 所有用户都需要执行的二进制程序,直接给管理员的程序,不用单独给某些用户添加加权限。

             -rwsr-xr-x. 1 root root 30768 11月 24 2015 /usr/bin/passwd   —–此时我们就是以passwd的数主roor身份运行,而不是当前用户的身份。

        sgid

             面向对象:文件、目录

            格式: chmod g+s file | dir   、 chmod 2### file | dir

             作用:

                    目录:用户在该目录下创建文件时,文件的属组不在是以自己的身份创建,而是以该目录数组的身份创建。

                    文件:用户发起进程访问文件时,不在是以用户自己的身份来访问,而是以进程属组的身份来访问。

             应用场景:

                    目录:比如组内同事,以某一特定的权限共享将一些文件或目录给大家,这样避免单独给多个文件分别设置权限。

        sticky

            面向对象:目录 

            格式:chmod o+t dir   、chmod 1### dir

            作用:用户在该目录下可以自由的创建改文件,但是不能删除非自己创建的文件

            应用场景:/tmp 所有用户都可以编辑,但是不能删除别人的文件

    注意:在给文件添加uid gid sticky位后,如果对应的位为S或T,则表示该文件之前具有x权限,如果对应的对时s或t,则表示文件没有x权限。

三、访问控制列表

        通常我们访问文件时,是以属主、属组或其他的身份访问的,当我们想单独给某一个用户设定权限时,可通过ACL访问控制列表来进行设置。

        相关命令:setfacl 、getfacl 、mask

        setfacl:

                选项:

                    -Rm(递归指定权限):u(指定用户):user1(用户名):rwx(权限) dir   

                    -x(取消权限):g(指定组) file | dir

                    -M file.txt  file|dir –>   文件格式:u:wang:0         指定文件中用户或组acl权限
                                                                    u:wangcai:rw
                                                                    g:it:rw

                     -X file.txt file|dir                                                   取消文件中用户或组acl权限

                    -x:d:u:user:rwx                                            对新建的文件具有的acl权限

                    -b file | dir:清除所有acl权限

                    -k file | dir:清除默认acl权限

                    –set选项会吧原有的acl项都删除,用新的替代,需要注意的时一定要包含ugo的设置,不能像-m一样添加acl就可以    

                            setfacl –set u::rw,u:wang:rw,g::r,p::- file1                    

    

    getfacl file | dir:查看文件或目录的acl权限

    getfacl -R dir > acl.txt    将dir目录及其子目录的acl权限记录到acl.txt文件中

    getfacl file1| setfacl –set-file=- file2  复制file1的acl权限给file2

       mask:是在指定给某些用户或者组设置ACL权限时,针对除了属主和other之外的人,其中
包括属组和添加ACL的用户和组,限制了他们的权限,不能超过mask的权限,mask在使用时需要注意的是,当我们设置了ACL权限时,如果设置组的权
限chmod g=rw file|dir,等同于设置了mask的权限,此时所有设置了ACL权限的人和文件或目录的数组都会改变。

       ACL文件上的group权限是mask 值(自定义用户,自定义组,拥有组的最大权限) ,而非传统的组权限,改变group权限,mask也会变。
       默认ACL权限给了x,文件也不会继承x权限,这就是为什么针对file文件给user1用户指定rwx权限时,我们getfacl file查看mask权限为rw-的原因。

        mask的设置方法:setfacl -m m::rw file

                                    setfacl -m mask::rwx file

    当我们通过tar命令打包文件时,是不能像cp -p|-a 一样保存元数据属性,我们可以采取如下备份和恢复访问控制列表的方法:

            getfacl -R /tmp/dir1 > acl.txt
            setfacl -R -b /tmp/dir1
            setfacl -R –set-file=acl.txt /tmp/dir1
            getfacl -R /tmp/dir1

     设定文件特定属性
            chattr +A 锁定不能修改时间
                       -A 解锁
                      +i 不能更改删除改名 只能读
                      +a 只能修改内容
            lsattr 显示特定属性(chattr都设置了那些属性)

原创文章,作者:Naruto,如若转载,请注明出处:http://www.178linux.com/30247

(0)
上一篇 2016-08-08 09:22
下一篇 2016-08-08 09:43

相关推荐

  • Linux计划任务

    计划任务 工作当中有时候需要将某件事情在未来的某个特定的时间执行,而自己确不在机器旁,该如何是好?像这样在每天特定的时间内去安排做一些事情这样,一种事情我们就称之为例行性的计划任务,其实在我们的操作系统当中都有类似的例行性任务计划功能,那如何去像设定闹钟一种在Linux上指定例行性计划任务并实施,主要有两种工具:at和crontab   计划任务分…

    Linux干货 2016-09-19
  • man帮助

                                        正确使用 man帮助      在生产过程中,我们会遇到不同的技术故…

    2017-05-30
  • 马哥教育网络班21期+第6周课程练习

    请详细总结vim编辑器的使用并完成以下练习题1、复制/etc/rc.d/rc.sysinit文件至/tmp目录,将/tmp/rc.sysinit文件中的以至少一个空白字符开头的行的行首加#; %s/^([[:space:]]{1,}.*)/#\1/s 2、复制/boot/grub/grub.conf至/tmp目录中,删除/tmp/grub.conf文件中的行…

    Linux干货 2016-08-15
  • Linux基本知识之echo命令详解

    该博文以CentOS6.8_x86_64系统为基础,Xshell使用pts/X终端登录CentOS6.8系统,以root身份登录系统。 为什么学习echo命令?     echo是一种最常用的与广泛使用的内置于Linux的bash和C shell的命令,通常用在脚本语言和批处理文件中来在标准输出或者文件中显示一行文本或者字符串。…

    Linux干货 2016-07-29
  • 马哥教育网络班21期第8周课程练习

    1、请描述网桥、集线器、二层交换机、三层交换机、路由器的功能、使用场景与区别。 网桥也叫桥接器,是连接两个局域网的一种存储/转发设备,用来连接不同网段。 集线器称为“Hub”,主要功能是对接收到的信号进行再生整形放大,以扩大网络的传输距离,同时把所有节点集中在以它为中心的节点上。 二层交换机工作于OSI模型的第2层(数据链路层),可识别数据包中的MAC地址信…

    Linux干货 2016-09-19
  • 第二周:文件管理练习

    1.Linux上的文件管理类命令都有哪些,其常用的使用方法及其相关示例演示 目录管理管理类命令 mkdir make directories mkdir [OPTION]… DIRECTORY… 注意:路径基名作为命令的作用对象时,基名之前的路径必须要存在;     -p:自动按需创建父目录…

    Linux干货 2016-09-23