文章目录
一、文件属性介绍
Linux系统是一种典型的多用户系统,不同的用户处于不同的地位,拥有不同的权限。为了保护系统的安全性,Linux系统对不同的用户访问同一文件(包括目录文件)的权限做了不同的规定。
在Linux中我们可以使用ll或者ls –l命令来显示一个文件的属性以及文件所属的用户和组,如:
[root@ecs-c2c9 ~]# ls -l
total 8
-rw-------. 1 root root 981 May 21 12:52 anaconda-ks.cfg
drwxr-xr-x 2 root root 4096 May 22 11:33 test
实例中,bin文件的第一个属性用"d"表示。"d"在Linux中代表该文件是一个目录文件。
1、在Linux中第一个字符代表这个文件是目录、文件或链接文件等等。
- 当为[ d ]则是目录
- 当为[ - ]则是文件;
- 若是[ l ]则表示为链接文档(link file);
- 若是[ b ]则表示为装置文件里面的可供储存的接口设备(可随机存取装置);
- 若是[ c ]则表示为装置文件里面的串行端口设备,例如键盘、鼠标(一次性读取装置)。
接下来的字符中,以三个为一组,且均为『rwx』 的三个参数的组合。其中,[ r ]代表可读(read)、[ w ]代表可写(write)、[ x ]代表可执行(execute)。 要注意的是,这三个权限的位置不会改变,如果没有权限,就会出现减号[ - ]而已。
每个文件的属性由左边第一部分的10个字符来确定(如下图)。
从左至右用0-9这些数字来表示。
第0位确定文件类型,第1-3位确定属主(该文件的所有者)拥有该文件的权限。
第4-6位确定属组(所有者的同组用户)拥有该文件的权限,第7-9位确定其他用户拥有该文件的权限。
其中,第1、4、7位表示读权限,如果用"r"字符表示,则有读权限,如果用"-"字符表示,则没有读权限;
第2、5、8位表示写权限,如果用"w"字符表示,则有写权限,如果用"-“字符表示没有写权限;第3、6、9位表示可执行权限,如果用"x"字符表示,则有执行权限,如果用”-"字符表示,则没有执行权限。
2、 ls -l查看 文件是所有属性代表什么意思
二、文件属主和属组 文件属性操作
1、chown 设置文件的所有者
语法:
chown [–R] 属主名 文件名
chown [-R] 属主名:属组名 文件名
参数选项
- -R递归,目录以及目录一下所有文件和目录
进入 /root 目录(~)将install.log的拥有者改为bin这个账号:
[root@www ~] cd ~
[root@www ~]# chown bin install.log
[root@www ~]# ls -l
-rw-r--r-- 1 bin users 68495 Jun 25 08:53 install.log
将install.log的拥有者与群组改回为root:
chown可以单独设置所属人权限也可以同时设置所属人所属组权限,所属人和所属组中间用".“或者”:"隔开
[root@www ~]# chown root.root install.log //相同意思
[root@www ~]# chown root:root install.log //相同意思
[root@www ~]# ls -l
-rw-r--r-- 1 root root 68495 Jun 25 08:53 install.log
2、chgrp 设置文件的属组信息
语法:
chgrp [-R] 属组名 文件名
参数选项
- -R:递归更改文件属组,就是在更改某个目录文件的属组时,如果加上-R的参数,那么该目录下的所有文件的属组都会更改。
[root@centos6 app]#chgrp root test/ #只可以设置文件所属组权限
[root@centos6 app]#ll
total 4
drwxrwx---. 2 test root 4096 Mar 2 19:05 test
三、文件权限
普通的文件权限
1)、普通的文件权限主要作用于所属人,所属组,其他人
owner: 属主, u
group: 属组, g
other: 其他, o
2)每个文件都对没类访问这定义了三种权限
r ( Readable ):读权限 ---------4
w ( Writable ):写权限 --------2
x ( eXcutable):执行权限--------1
3)文件权限:
r:可以使用文件查看工具获取其内容
w:可修改其内容
x:可把此文件提请内核启动的一个进程
4)目录权限:
r:可以使用ls查看目录文件列表
w:可在此目录创建文件,也可以删除此目录中的文件
x:可以使用ls -l查看此文件列表,也可以 cd进入该目录
X:只给目录x权限,不给文件x权限
5)文件权限图(rwx|X)
6)八进制数字
— 000 | 0 |
---|---|
-x 001 | 1 |
-w- 010 | 2 |
wx 01 | 3 |
r-- 100 | 4 |
r-x 101 | 5 |
rw- 110 | 6 |
rwx 111 | 7 |
四、修改文件权限
(一)、chmod 更改文件9个属性
语法:
chmod [-R] xyz 文件或目录
选项:
- xyz: 就是刚刚提到的数字类型的权限属性,为 xyz属性数值的相加。
- -R : 进行递归修改权限(recursive)的持续变更,亦即连同次目录下的所有文件都会变更
1、数字类型改变文件权限
举例来说,如果要将.bashrc这个文件所有的权限都设定启用,那么命令如下:
[root@www ~]# ls -al .bashrc
-rw-r--r-- 1 root root 395 Jul 4 11:45 .bashrc
[root@www ~]# chmod 777 .bashrc
[root@www ~]# ls -al .bashrc
-rwxrwxrwx 1 root root 395 Jul 4 11:45 .bashrc
那如果要将权限变成 -rwxr-xr– 呢?那么权限的分数就成为 [4+2+1][4+0+1][4+0+0]=754。
2、符号类型改变文件权限
还有一个改变权限的方法,从之前的介绍中我们可以发现,基本上就九个权限分别是:
- (1)user
- (2)group
- (3)others
那么我们就可以使用 u, g, o 来代表三种身份的权限!
此外, a 则代表 all,即全部的身份。读写的权限可以写成 r, w, x,也就是可以使用下表的方式来看:
chmod命令 | 身份 | 加减权限 | 权限 | 文件或目录 |
---|---|---|---|---|
chmod | u g o a | +(加入) -(除去) =(设定) | r w x | 文件或目录 |
- 修改一类用户的所有权限:
u= g= o= ug= a= u=,g=
- 修改一类用户某位或某些位权限
u+ u- g+ g- o+ o- a+ a- +
示例:
如果我们需要将文件权限设置为 -rwxr-xr– ,可以使用 chmod u=rwx,g=rx,o=r 文件名 来设定:
# touch test1 // 创建 test1 文件
# ls -al test1 // 查看 test1 默认权限
-rw-r--r-- 1 root root 0 Nov 15 10:32 test1
# chmod u=rwx,g=rx,o=r test1 // 修改 test1 权限
# ls -al test1
-rwxr-xr-- 1 root root 0 Nov 15 10:32 test1
而如果是要将权限去掉而不改变其他已存在的权限呢?例如要拿掉全部人的可执行权限,则:
# chmod a-x test1
# ls -al test1
-rw-r--r-- 1 root root 0 Nov 15 10:32 test1
(二)、新建文件和目录的默认权限 umask值
umask值 可以用来保留在创建文件权限
新建FILE权限: 666-umask 如果所得结果某位存在执行(奇数)权限,则将其权限+1
新建DIR权限: 777-umask
非特权用户umask是 002
root的umask 是 022
umask: 查看
umask #: 设定
umask 002
umask –S 模式方式显示
umask –p 输出可被调用
全局设置: /etc/bashrc 用户设置:~/.bashrc
(三)、特殊权限
1、Linux文件系统上的特殊权限
SUID, SGID, Sticky
三种常用权限:r, w, x user, group, other
安全上下文
前提:进程有属主和属组;文件有属主和属组
(1) 任何一个可执行程序文件能不能启动为进程,取决发起者对程序文件是 否拥有执行权限
(2) 启动为进程之后,其进程的属主为发起者,进程的属组为发起者所属的 组
(3) 进程访问文件时的权限,取决于进程的发起者
(a) 进程的发起者,同文件的属主:则应用文件属主权限
(b) 进程的发起者,属于文件属组;则应用文件属组权限
© 应用文件“其它”权限
2、可执行文件上SUID权限
文件所属人上的SGID权限
任何一个可执行程序文件能不能启动为进程:取决发起者对程序文件是否拥 有执行权限
启动为进程之后,其进程的属主为原程序文件的属主
SUID只对二进制可执行程序有效
SUID设置在目录上无意义
权限设定:
chmod u+s FILE…
chmod u-s FILE…
文件所属组上的SGID权限
任何一个可执行程序文件能不能启动为进程:取决发起者对程序文件是否拥 有执行权限
启动为进程之后,其进程的属组为原程序文件的属组
权限设定:
chmod g+s FILE…
chmod g-s FILE…
目录所属组上的SGID权限
默认情况下,用户创建文件时,其属组为此用户所属的主组
一旦某目录被设定了SGID,则对此目录有写权限的用户在此目录中创建的文 件所属的组为此目录的属组
通常用于创建一个协作目录
权限设定:
chmod g+s DIR…
chmod g-s DIR…
Sticky 目录其他人加SGID权限
具有写权限的目录通常用户可以删除该目录中的任何文件,无论该文件的权 限或拥有权
在目录设置Sticky 位,只有文件的所有者或root可以删除该文件
sticky 设置在文件上无意义
权限设定:
chmod o+t DIR…
chmod o-t DIR…
例如:
– ls -ld /tmp drwxrwxrwt 12 root root 4096 Nov 2 15:44 /tmp
特殊权限数字法
SUID SGID STICKY
000 0
001 1
010 2
011 3
100 4
101 5
110 6
111 7
chmod 4777 /tmp/a.txt
权限位映射
SUD: user,占据属主的执行权限位
s: 属主拥有x权限
S:属主没有x权限
SGID: group,占据属组的执行权限位
s: group拥有x权限
S:group没有x权限
Sticky: other,占据other的执行权限位
t: other拥有x权限
T:other没有x权限
设定文件特定属性
chattr +i 不能删除,改名,更改
chattr +a 只能追加内容
lsattr 显示特定属性
权限的作用在文件时:
lsattr 显示特定属性
chattr +a :只能追加内容
[root@centos7 app]# chattr +a 1.txt //只能追加内容
[root@centos7 app]# rm -rf 1.txt //删除失败
rm: cannot remove ‘1.txt’: Operation not permitted
[root@centos7 app]# mv 1.txt 2.txt //重命名失败
mv: cannot move ‘1.txt’ to ‘2.txt’: Operation not permitted
[root@centos7 app]# touch 123 > 1.txt //覆盖失败
-bash: 1.txt: Operation not permitted
[root@centos7 app]# touch 123 >> 1.txt //追加成功
[root@ecs-c2c9 ~]# lsattr 1.txt //显示特定属性
-----a-------e-- 123
[root@ecs-c2c9 ~]# chattr -a 123 //**减去特殊权限**
[root@ecs-c2c9 ~]# lsattr 123
-------------e-- 123
chattr +i :不能删除,不能改名,不能修改,不能追加。
[root@centos7 app]# chattr +i 1.txt //不能删除,改名,更改
[root@centos7 app]# lsattr 1.txt //显示特定属性
----i--------e-- 1.txt
[root@ecs-c2c9 ~]# chattr -a 123 //**减去特殊权限**
[root@ecs-c2c9 ~]# lsattr 123
-------------e-- 123
五、acl
acl新添加的磁盘默认没有acl功能需要用
方法一:
[root@centos6 etc]#dumpe2fs -h /dev/sda1
方法二:
[root@centos6 etc]#tune2fs -l /dev/sda1
[root@centos6 etc]#tune2fs -o acl /dev/sda1
setfacl:用来在命令行里设置权限,可以针对用户,组来设置权限
acl 设置格式setfacl -m u:user:rwx file
前面选项:
-m:添加acl
-X:批量导入
-d:设置默认权限
-k:清除默认权限
-b:清楚acl属性
后面选项:
-u:指定用户权限
-g:指定附加组权限
-m:指定上线阈值
-o:指定其他人权限
举例使用:
setfacl -m u:user:rwx file :给user添加rwx
setfacl -m g:user:rwx file:给user组添加rwx
setfacl -m d:u:user:rwx file:添加默认acl权限
setfacl -X file.acl file :将file.acl文件中权限给file文件
setfacl -k file :清除默认权限
setfacl -b file :清除acl属性
getfacl:用来查看设置的acl权限。
getfacl -R 查看acl文件 > acl.txt #进行acl备份
[root@centos7 app]# getfacl 1.txt #查看文件acl权限
#file: 1.txt
#owner: root
#group: root
user::rw-
group::r--
other::r--
五、ACL访问控制列表()
- ACL:Access Control List,实现灵活的权限管理
- 除了文件的所有者,所属组和其它人,可以对更多的用户设置权限
- CentOS7 默认创建的xfs和ext4文件系统具有ACL功能
- CentOS7 之前版本,默认手工创建的ext4文件系统无ACL功能,需手动增加
tune2fs –o acl /dev/sdb1
mount –o acl /dev/sdb1 /mnt/test
- ACL生效顺序:所有者,自定义用户,自定义组,其他人
acl新添加的磁盘默认没有acl功能需要用
方法一:
[root@centos6 etc]#dumpe2fs -h /dev/sda1
方法二:
[root@centos6 etc]#tune2fs -l /dev/sda1
[root@centos6 etc]#tune2fs -o acl /dev/sda1
- 为多用户或者组的文件和目录赋予访问权限rwx
mount -o acl /directory
getfacl file |directory
setfacl -m u:wang:rwx file|directory //给wang添加rwx
setfacl -Rm g:sales:rwX directory
setfacl -M file.acl file|directory
setfacl -m g:salesgroup:rw file| directory //给salesgroup组添加rw
setfacl -m d:u:wang:rx directory //添加默认acl权限
setfacl -x u:wang file |directory
setfacl -X file.acl directory //将file.acl文件中权限给file文件
setfacl -k file :清除默认权限
setfacl -b file :清除acl属性
-
ACL文件上的group权限是mask 值(自定义用户,自定义组,拥有组的最大 权限),而非传统的组权限
-
getfacl 可看到特殊权限:flags
-
通过ACL赋予目录默认x权限,目录内文件也不会继承x权限
-
base ACL 不能删除
-
setfacl -k dir 删除默认ACL权限
-
setfacl –b file1清除所有ACL权限
-
getfacl file1 | setfacl --set-file=- file2 复制file1的acl权限 给file2
-
mask只影响除所有者和other的之外的人和组的最大权限 Mask需要与用户的权限进行逻辑与运算后,才能变成有限的 权限(Effective Permission)
用户或组的设置必须存在于mask权限设定范围内才会生效 setfacl -m mask::rx file
-
–set选项会把原有的ACL项都删除,用新的替代,需要注 意的是一定要包含UGO的设置,不能象-m一样只是添加ACL 就可以
-
示例:
setfacl --set u::rw,u:wang:rw,g::r,o::file1
-
备份和恢复ACL
-
主要的文件操作命令cp和mv都支持ACL,只是cp命令需要 加上-p 参数。但是tar等常见的备份工具是不会保留目录 和文件的ACL信息
getfacl -R /tmp/dir1 > acl.txt
setfacl -R -b /tmp/dir1
setfacl -R --set-file=acl.txt /tmp/dir1
setfacl --restore acl.txt
getfacl -R /tmp/dir1