linux文件权限

一、前言

在linux中,每个目录或者文件都有相对应的权限,linux通过文件属主(user),文件属组(group),其它人(order)对一个文件或者目录控制读写执行权限,当然在这些基本权限之外还有特殊权限,facl(file access control list)等。

二、文件基本权限

   2.1:属主、属组、order概念

      属主:即文件的拥有者,当创建或复制一个目录或者文件时,默认是执行此命令的用户为属主,用户所属的群组为文件或者目录的属组。除非使用其它选项(cp命令的选项 -a -p)或者此目录下有默认属主或属组的权限。

      属组:即一个或多个用户同属于一个用户组对这个文件拥有属组的权限

       order : 其它人,除属主和属组以外的用户

  2.2:文件属性

      下面我们看一个文件的属性,如下

        [root@dns tmp]# \ls -ld mytest        
        d rwx r-x r-x. 4 root root 4096 Aug  2 05:10 mytest
        |  |  |    |     |     |
        文 属  属 order  属     属
        件 主  组  权    主     组
        类 权  权  限
        型 限  限

  2.3:基本文件权限

     一个文件或者目录有读、写、执行权限。在其中在上图中,属主、属组、order 权限中3位一组。r:表示读权限(read),w:表示写权限(write)。x:表示执行权限(execute),- :表示无任何权限。

     r(read):对目录而言,用户可以对目录就有浏览权限。对文件而言,用户可以读取文件内容

     w(write):对目录而言,用户删除,移动目录内的文件权限。对文件而言,用户可以写文件

     x(execute):对目录而言,用户可以进入目录。对文件而言,用户有执行文件的权限

     r:可以用数字4表示读权限,w:可以用2表示写全些,x:可以用1表示执行权限,-:可以用0表示无权限。那么一个属主的权限rwx可以表示为4+2+1=7,属组的权限r-x可以表示为4+0+1=5,order的权限r-x的权限可以表示为4+0+1=5,那么上述mytest的属主属组和order权限为755。可以使用命令chmod更改用户文件权限,如chmod 644 mytest 。chmod的具体用法如下

    chmod [OPTION]… MODE[,MODE]… FILE…

        [root@dns tmp]# chmod -R 700 mytest        #递归更改mytest权限
        [root@dns tmp]# ll -d mytest
        drwx------. 4 root root 4096 Aug  2 05:10 mytest
        [root@dns tmp]# chmod 777 a_b
        [root@dns tmp]# ll a_b
        -rwxrwxrwx+ 1 leon leon 0 Aug  2 04:40 a_b

2.4:文件特殊权限

    suid:set uid 权限,任何一个用户运行一个带此权限的命令时,不是以此用户的身份启动,而是以文件自身的属主访问。

[root@dns mytest]# ll `which passwd`
-rwsr-xr-x. 1 root root 30768 Feb 22  2012 /usr/bin/passwd

    sgid : set gid权限,若一个目录设置了SGID,则所有被复制到这个目录下的文件, 其所属的组都会被重设为和这个目录一样,除非在复制文件时加上-p (preserve,保留文件属性)的参数,才能保留原来所属的群组设置。

[root@dns tmp]# chmod g+s mytest
[root@dns tmp]# ll -d mytest
drwx--S---+ 5 root root 4096 Aug  7 10:05 mytest

   sticky :又称黏滞位,对一个文件设置了sticky-bit之后,尽管其他用户有写权限, 也必须由属主执行删除、移动等操作。对一个目录设置了sticky-bit之后,存放在该目录的文件仅准许其属主执行删除、 移动等操作。

[root@dns tmp]# chmod o+t mytest            #设置sticky权限
[root@dns tmp]# ll -d mytest
drwx--S--T+ 5 root root 4096 Aug  7 10:05 mytest

 

 三、ACL权限

FACL(file access control list)文件系统访问控制列表,在基本的文件权限之后,由ACL控制权限来控制文件权限,FACL可以设置多个用户或者组对文件或目录的权限,包括一个目录下各文件的默认权限。用法如下

getfacl - get file access control lists
getfacl [-aceEsRLPtpndvh] file ...
setfacl - set file access control lists
setfacl [-bkndRLPvh] [{-m|-x} acl_spec] [{-M|-X} acl_file] file ...

[root@dns tmp]# getfacl a_b        #查看a_b的acl权限
# file: a_b
# owner: leon
# group: leon
user::rwx
user:leon:rw-
group::r--
mask::rwx
other::rwx
[root@dns tmp]# setfacl -m u:gentoo:rw- a_b    #添加gentoo访问控制权限
[root@dns tmp]# getfacl a_b
# file: a_b
# owner: leon
# group: leon
user::rwx
user:leon:rw-
user:gentoo:rw-                                #gentoo访问控制权限
group::r--
mask::rw-
other::rwx

[root@dns tmp]# setfacl -m d:u:gentoo:rwx mytest   #设置文件夹的默认权限
[root@dns tmp]# getfacl mytest
# file: mytest
# owner: root
# group: root
user::rwx
group::---
other::---
default:user::rwx                                   #默认权限,
default:user:gentoo:rwx
default:group::---
default:mask::rwx
default:other::---

四、总结

文件或目录通过基本权限控制用户或者进程访问,基本权限不能满足用户需求的情况下可以设置特殊权限和FACL权限,在线上环境时,不能随便设置777的权限,可以通过FACL设置某个用户rwx的权限。总之,文件系统的权限一定要把控好,否则将存在严重的安全隐患。 

原创文章,作者:成吉思汗,如若转载,请注明出处:http://www.178linux.com/6978

(0)
上一篇 2015-08-13 10:19
下一篇 2015-08-17 11:28

相关推荐

  • 磁盘管理

    一、知识整理 1、每个扇区:512字节;每个柱面:256个磁头*63个扇区*512字节,大概为8M。centos6中分区使用起始结束柱面;centos7中分区使用起始结束扇区。EBR:扩展分区的第一个扇区。 2、MBR:master root record,1982年,使用32位表示扇区数,分区不超过2T。其中,一共512bytes字节,446bytes为b…

    Linux干货 2016-08-29
  • N25-第七周

    1、创建一个10G分区,并格式为ext4文件系统; (1) 要求其block大小为2048, 预留空间百分比为2, 卷标为MYDATA, 默认挂载属性包含acl;     [root@localhost ~]# fdisk -l Disk /dev/sda: 42.9 GB, 42949672960 bytes 255…

    Linux干货 2017-05-21
  • Linux运维实战之一:初识计算机组成及Linux系统

    本次博文是Linux运维实战的开山篇,主要内容如下: 计算机的组成及其功能; Linux的不同发行版之间的联系与区别; Linux的哲学思想; Linux系统上命令的适用格式及一些常用命令的使用; Linux系统上如何获得帮助信息; Linux发行版的基础目录名称命名法则及功用规定; 一、计算机的组成及其功能: 问题引入:互联网时代,计算机是我们每天都要使用…

    Linux干货 2016-10-31
  • ​文件系统层级结构标准

    多数Linux发行版遵从FHS标准并且声明其自身政策以维护FHS的要求。 [1] [2] [3] [4] 然而,包括由自由标准小组成员在内开发的绝大多数发行版(截至2009年),并不完全执行建议的标准。
    当FHS创建之时,其他的UNIX和类Unix操作系统已经有了自己的标准,尤其是hier(7)文件系统布局描述。 自从第七版Unix(于1979年)发布以来已经存在,或是SunOS filesystem(7), [5] 和之后的Solaris filesystem(5)。 例如,Mac OS X使用如 /Library、 /Applications和/Users 等长名与传统UNIX目录层次保持一致。
    现在的Linux发行版包含一个/sys目录作为虚拟文件系统(sysfs,类似于 /proc,一个procfs),它存储且允许修改连接到系统的设备,然而许多传统UNIX和类Unix操作系统使用/sys作为内核代码树的符号链接。
    一些Linux系统如GoboLinux和Syllable Server使用了和FHS完全不同的文件系统层次组织方法。

    Linux干货 2016-10-17
  • 生产环境日志审计

         日志审计,就是记录所有系统和相关用户行为的信息,并且可以自动分析,处理。在中小企业环境中,一般都是在单个服务器上记录日志,而大型企业的生产环境当中,会有专门的日志服务器乃至集群。本文通过sudo配合centos自带的rsyslog(syslog)服务,进行日志审计。    &nb…

    Linux干货 2016-10-20
  • sed命令、crontab任务、简单脚本练习(21期网络班第六周博客作业)

    vim使用: 直接使用sed模式空间演示,基本语法与vim命令模式类似(需注意vim默认定界为当前行,一般需要在前面加1,$定界为全文,而sed不需要) 1、 复制/etc/rc.d/rc.sysinit文件至/tmp目录,将/tmp/rc.sysinit文件中的以至少一个空白字符开头的行的行首加#;      sed &#03…

    Linux干货 2016-08-22

评论列表(2条)

  • stanley
    stanley 2015-08-17 11:27

    赞,应该首次写文章吧,分类和标签都有,意识非常强

  • zhangwu0801
    zhangwu0801 2015-08-20 11:04

    好东西 感谢分享和付出 。。