linux文件权限

一、前言

在linux中,每个目录或者文件都有相对应的权限,linux通过文件属主(user),文件属组(group),其它人(order)对一个文件或者目录控制读写执行权限,当然在这些基本权限之外还有特殊权限,facl(file access control list)等。

二、文件基本权限

   2.1:属主、属组、order概念

      属主:即文件的拥有者,当创建或复制一个目录或者文件时,默认是执行此命令的用户为属主,用户所属的群组为文件或者目录的属组。除非使用其它选项(cp命令的选项 -a -p)或者此目录下有默认属主或属组的权限。

      属组:即一个或多个用户同属于一个用户组对这个文件拥有属组的权限

       order : 其它人,除属主和属组以外的用户

  2.2:文件属性

      下面我们看一个文件的属性,如下

        [root@dns tmp]# \ls -ld mytest        
        d rwx r-x r-x. 4 root root 4096 Aug  2 05:10 mytest
        |  |  |    |     |     |
        文 属  属 order  属     属
        件 主  组  权    主     组
        类 权  权  限
        型 限  限

  2.3:基本文件权限

     一个文件或者目录有读、写、执行权限。在其中在上图中,属主、属组、order 权限中3位一组。r:表示读权限(read),w:表示写权限(write)。x:表示执行权限(execute),- :表示无任何权限。

     r(read):对目录而言,用户可以对目录就有浏览权限。对文件而言,用户可以读取文件内容

     w(write):对目录而言,用户删除,移动目录内的文件权限。对文件而言,用户可以写文件

     x(execute):对目录而言,用户可以进入目录。对文件而言,用户有执行文件的权限

     r:可以用数字4表示读权限,w:可以用2表示写全些,x:可以用1表示执行权限,-:可以用0表示无权限。那么一个属主的权限rwx可以表示为4+2+1=7,属组的权限r-x可以表示为4+0+1=5,order的权限r-x的权限可以表示为4+0+1=5,那么上述mytest的属主属组和order权限为755。可以使用命令chmod更改用户文件权限,如chmod 644 mytest 。chmod的具体用法如下

    chmod [OPTION]… MODE[,MODE]… FILE…

        [root@dns tmp]# chmod -R 700 mytest        #递归更改mytest权限
        [root@dns tmp]# ll -d mytest
        drwx------. 4 root root 4096 Aug  2 05:10 mytest
        [root@dns tmp]# chmod 777 a_b
        [root@dns tmp]# ll a_b
        -rwxrwxrwx+ 1 leon leon 0 Aug  2 04:40 a_b

2.4:文件特殊权限

    suid:set uid 权限,任何一个用户运行一个带此权限的命令时,不是以此用户的身份启动,而是以文件自身的属主访问。

[root@dns mytest]# ll `which passwd`
-rwsr-xr-x. 1 root root 30768 Feb 22  2012 /usr/bin/passwd

    sgid : set gid权限,若一个目录设置了SGID,则所有被复制到这个目录下的文件, 其所属的组都会被重设为和这个目录一样,除非在复制文件时加上-p (preserve,保留文件属性)的参数,才能保留原来所属的群组设置。

[root@dns tmp]# chmod g+s mytest
[root@dns tmp]# ll -d mytest
drwx--S---+ 5 root root 4096 Aug  7 10:05 mytest

   sticky :又称黏滞位,对一个文件设置了sticky-bit之后,尽管其他用户有写权限, 也必须由属主执行删除、移动等操作。对一个目录设置了sticky-bit之后,存放在该目录的文件仅准许其属主执行删除、 移动等操作。

[root@dns tmp]# chmod o+t mytest            #设置sticky权限
[root@dns tmp]# ll -d mytest
drwx--S--T+ 5 root root 4096 Aug  7 10:05 mytest

 

 三、ACL权限

FACL(file access control list)文件系统访问控制列表,在基本的文件权限之后,由ACL控制权限来控制文件权限,FACL可以设置多个用户或者组对文件或目录的权限,包括一个目录下各文件的默认权限。用法如下

getfacl - get file access control lists
getfacl [-aceEsRLPtpndvh] file ...
setfacl - set file access control lists
setfacl [-bkndRLPvh] [{-m|-x} acl_spec] [{-M|-X} acl_file] file ...

[root@dns tmp]# getfacl a_b        #查看a_b的acl权限
# file: a_b
# owner: leon
# group: leon
user::rwx
user:leon:rw-
group::r--
mask::rwx
other::rwx
[root@dns tmp]# setfacl -m u:gentoo:rw- a_b    #添加gentoo访问控制权限
[root@dns tmp]# getfacl a_b
# file: a_b
# owner: leon
# group: leon
user::rwx
user:leon:rw-
user:gentoo:rw-                                #gentoo访问控制权限
group::r--
mask::rw-
other::rwx

[root@dns tmp]# setfacl -m d:u:gentoo:rwx mytest   #设置文件夹的默认权限
[root@dns tmp]# getfacl mytest
# file: mytest
# owner: root
# group: root
user::rwx
group::---
other::---
default:user::rwx                                   #默认权限,
default:user:gentoo:rwx
default:group::---
default:mask::rwx
default:other::---

四、总结

文件或目录通过基本权限控制用户或者进程访问,基本权限不能满足用户需求的情况下可以设置特殊权限和FACL权限,在线上环境时,不能随便设置777的权限,可以通过FACL设置某个用户rwx的权限。总之,文件系统的权限一定要把控好,否则将存在严重的安全隐患。 

原创文章,作者:成吉思汗,如若转载,请注明出处:http://www.178linux.com/6978

评论列表(2条)

  • stanley
    stanley 2015-08-17 11:27

    赞,应该首次写文章吧,分类和标签都有,意识非常强

  • zhangwu0801
    zhangwu0801 2015-08-20 11:04

    好东西 感谢分享和付出 。。