文件权限

 本篇博客是对文件权限的简单介绍,将会简述下权限的数字表现形式,还有字母表现形式,还有一些特殊的suid、sgid、sticky的权限介绍,还有对ACL权限的简述。

 一、权限的定义

    关于权限,百度百科的解释如下:权限(privilege)是指某个特定的用户具有特定的系统资源使用权力,像是文件夹,特定系统指令的使用或存储量的限制。通常,系统管理员,或者在网络中的网络管理员,对某个特定资源的使用分配给用户不同的权限,系统软件则自动地强制执行这些权限。所以,对于文件,也同样有读写执行的权限,只有拥有了这些权限,才能进行操作,否则,也是无权进行操作的。
 二、权限的数字字母表现形式
1.chown  chgrp命令
  
    要先介绍下chown和chgrp命令,一个是设置文件所有者,一个是设置文件的属组信息。
    chown owner.(:)group file  可以用此命令设置文件file的所有人file及所在组group的信息
    chown -R owner.(:)group file 指可以进行目录的递归操作
    以上只有root才能修改文件的所有人,且owner必须属于group
    charp group file   设置file的所属组group
    charp -R group file 可以进行递归操作
2.文件的读、写、执行权限
    
    文件读权限   r:十进制100 二进制4  cat、less、more、nano、vim、执行脚本需要读权限 
    文件写权限   w:十进制010 二进制2  nano、vim、>、>>、tee、gedit需要写权限
    文件执行权限 x:十进制001 二进制1  执行脚本需要执行权限
    r w x组合的意义:
    r: 用户可以列出目录下有哪些文件(不能查看文件的详细信息)
        w: 只有w无意义。
        x: 用户可以进入该目录(如果知道文件名,且有相对应的文件权限 ,可以执行对应的操作)
        rx: 用户可以进入目录,且可以长列出。
        rw:等于只有r
        wx: 能进入,能创建能删除,不能列出。故用户能否删除文件与文件自身权限无关。
        rwx: 全部权限。
        —:null
    chmod 权限的修改命令
    u代表user g代表group o代表other
    ①chmod ugo+rwx 
        可以直接在u g o上直接加权限(文件加执行权限是很危险的,可以用chmod ugo+X只给目录加执行权限)
    ②chmod u=…,g=…,o=…
        直接修改u g o的权限
    ③chmod 777
        直接用数字来修改file权限r=4 w=2 o=1,用rwx的组合
    umask
    文件权限最大666   目录权限最大是777
    umask    root用户=002  普通用户=022
    权限值=权限最大值-umask(当umask中包含奇数时,对于目录直接减,对于文件,在奇数所在的位减完后加一。)
3.文件的suid、sgid、sticky权限
    
    suid权限是一种特殊的权限,举个简单的例子,用户的密码存在于/etc/passwd目录中,但是该文件的权限是r——–,即400,只有文件所有人和root用户才能修改密码,但是普通用户怎么修改自己的密码呢?所以引入了suid权限,即普通用户可以以文件所有者的身份对文件进行修改,用ll命令长列出文件信息时,会发现在user的执行权限位上是s,这个就是suid权限。
    sgid和suid同理,只是一个是以所有人身份运行,一个以所有组身份运行。
    Sticky属性只能应用在目录,当目录拥有Sticky属性所有在该目录中的文件或子目录无论是什么权限只有文件或子目录所有者和root用户能删除。比如当用户test在“/app”目录中建立一个文件并将该文件权限配置为777,当/charles目录拥有Sticky属性时,只有root和test用户可以将该文件删除。在使用ll命令浏览目录时,如果其他用户权限的第三位是一个小写的“t”就表明该执行文件或目录拥有Sticky属性。
    配置普通权限时可以使用字符或数字,SUID、SGID、Sticky也是一样。使用字符时s表示SUID和SGID、t表示Sticky;4表示SUID、2表示SGID、1表示Sticky。在配置这些属性时还是使用chmod命令,数字和字母都可以用。
    例如:chmod 7777 file   chmod u+s file  
三、ACL权限
1.ACL权限的简单定义

    传统的权限仅有三种身份(owner,group,others)搭配三种权限(r,w,x)以及三种特殊的权限(SUID,SGID,SBIT),随着应用的发展,这些权限组合已不能适应现在复杂的文件系统权限控制要求,所以引入了ACL(Access Control Lists)权限。举个简单的例子:目录data的权限为:rwxr-x—,所有者与所属组均为root,在不改变所有者和所属组的前提下,要求用户mage对该目录有完全访问权限(rwx),但又不能让其他有用完全权限(rwx)。这个要求看似不能实现,这就看出来传统的权限管理设置有时候也会力不从心。这时候,我们就可能通过ACL来实现。ACL可以针对单个用户,单个文件或目录来进行r,w,x的权限设定,特别适用于需要特殊权限的使用情况。但是ACL权限只支持linux:ext2 ext3 ext4 xfs vfat ntfs的文件系统。
2.如何查看ACL权限是否开启

    CentOS7当中,无论是操作系统安装时还是之后手工创建的文件系统(xfs、ext4)均会开启ACL功能。
    CentOS6及之前的版本,仅操作系统安装时创建的文件系统才会默认开启ACL,手工创建的文件系统,需要手工开启ACL功能。
      mount -o acl /dev/sda7  取消的方式,重新挂载时不指定即可
      mount -o remount,acl /dev/sda7
         以上两种方式开启的ACL可以通过mount |grep sdaX查看
      创建: tune2fs -o acl /dev/sda7 
      取消: tune2fs -o ^acl /dev/sda7
         使用以上方式开启的ACL可以通过tune2fs -l /dev/sda7 |grep option查看
3.关于ACL权限命令
    
    setfacl -m u:liubei:rwx f1  设置ACL user
    setfacl -m g:shuguo:rwx f1  设置ACL group
    setfacl -M acl.txt f1
        acl.txt 内容来自getfacl f1 > acl.txt(把ACL权限导入文件acl.txt),文件如下
            # file: fstab
            # owner: root
            # group: root
            user::rw-
            user:zhangfei:rwx
            group::r–
            mask::rwx
            other::r–
    setfacl -Rm u:zhangfei:rwx acltest/   递归设置user权限
    setfacl -m mask:rwx f1
    或 chmod g=rwx f1 一旦设置了ACL权限后,原有的文件group不可再更改,使用chmod即修改ACL mask
    ACL mask随着新的ACL设置会被重置,重置的标准是让该文件上的所有ACL及文件原group上的权限都有效。
    setfacl -x u:liubei f1  单独去除一条ACL权限
    setfacl -X aclrm.txt f1[ f2 f3 *]
        aclrm.txt 内容如下
            u:liubei
            g:shuguo
    setfacl -x d:sunquan d11 删除一条默认权限
    setfacl -k d1 删除全部默认权限
    setfacl -b d1 删除ACL属性

    getfacl -R /tmp/dir1 > acl.txt  将目录下的所有文件的ACL属性备份到文件
    setfacl -R -b /tmp/dir1            清除目录下所有文件的ACL属性
    setfacl -R –set-file=acl.txt /tmp/dir1   通过文件还原ACL属性的方法1
    setfacl –restore acl.txt    通过文件还原ACL属性的方法2

以上便是本篇博客的全部内容,如有什么问题还请各位大牛帮忙提出,谢谢!

原创文章,作者:Mr.DONG,如若转载,请注明出处:http://www.178linux.com/82987

(0)
上一篇 2017-07-29 09:43
下一篇 2017-07-29 11:26

相关推荐

  • shell脚本编程练习

    1、写一个脚本,使用ping命令探测172.16.250.1-172.16.250.254之间的所有主机的在线状态 在线的主机使用绿色显示 不在线的主使用红色显示 #!/bin/bash # for i in {1..254};do if ping -c 6 -w 1 192.168.1.$i &> /dev/null;then echo -e…

    2017-11-15
  • five

    1;显示当前系统上root, fedora或user1用户的默认shell。 #   grep "^\(root\|fedora\|user1\)" /etc/passwd #   grep -E "^(root|fedora|u…

    Linux干货 2017-01-16
  • 马哥教育网络班21期-第7周课程练习

    第7周课程练习 创建一个10G分区,并格式为ext4文件系统; 添加一块硬盘sdb 要求其block大小为2048,       预留空间百分比为2, 卷标为MYDATA, 默认挂载属性包含acl; # mke2fs -t ext4 -b 2048 -L 'MYDATA' -m 2 # mount -o ac…

    Linux干货 2016-10-09
  • bash编程之数组和字符串处理

    数组: 程序=指令+数据          指令:     数据:变量、文件 数组:存储过个元素的连续的内存空间; 变量:存储单个元素的内存空间; 数组名:整个数组只有一个名字; 数组索引:编号从0开始;   &nbsp…

    Linux干货 2016-08-24
  • 第八周作业脚本练习

    1、写一个脚本,使用ping命令探测172.16.250.1-172.16.250.254之间的所有主机的在线状态;      在线的主机使用绿色显示;      不在线的主使用红色显示;          &…

    Linux干货 2017-02-01
  • python Django分页

    自定义html_helper.py  —>  Page_helper类 #coding:utf-8 from django.utils.safestring import mark_safe class Page_Helper(object):    …

    Linux干货 2016-08-22