UMASK与ACL

UMASK与ACL

1. 设置默认权限 umask

umask 可以定义新建文件和新建文件夹的权限

umask+default=dir777/file666
022       默认值

非特权用户umask是002  
root的umask是022  

umask ：查看  
umask n ：设定   
    示例：umask 002  
          umask u=rw，g=r,o=   

umask -S 模式方式显示  
umask -p 输出可被调用  
    例：umask -p >> ~adong/.bashrc  

2. 文件默认权限

    666-umask，如果结果,有奇数，就加1，偶数不变
022
644
666

3. 目录默认权限

    777-umask
022
755
777

file 600
666-600=066
dir
777-066=711

4. 将umask写入家目录配置文件

用户设置：~/.bashrc (不影响其他用户)
全局设置：/etc/bashrc (不推荐)

5. umask 本质的含义

     umask 125 
     666
     umask中 0表示不关心 不检查  1表示 将对应的权限位去除

     110110110
     001010101

     110100010
     642

     看到奇数就加一

• (umask 066;touch file) 临时性

6. linux文件系统上的特殊权限

SIUD SGID Sticky
三种常用：r,w,x user,group,other

安全上下文

前提：进程有属主和属组
(1)任何一个可执行程序文件能不能启动为进程，取决发起者对程序文件是否拥有执行权限
(2)启动为进程之后，其进程的属主为发起者，进程的属组为发起者的组
(3)进程访问文件是的权限，取决于进程的发起者
    (a)进程的发起者，同文件的属主；则应用文件属主权限
    (b)进程的发起者，属于文件的属组；则应用文件属组权限
    (c)应用文件"其他"权限 

SUID 4 作用在所有者上

添加suid权限：
        chmod u+s  file
        chmod 4755 file
    只能作用在二进制的可执行程序文件上，当用户执行此程序时， 将会临时继承此程序所有者的权限

SGID 2 作用在所属组上

添加sgid权限：
        chmod g+s file
        chmod 2755 file
    1.作用在二进制的可执行程序文件上,当用户执行此程序时，将会临时继承此程序所属组的权限
    2.可以作用在目录上，当用户在此目录中创建新文件时，文件的所属组会自动继承目录的所属组

Sticky 1 粘滞位

添加Sticky权限：
        chmod o+t dir
        chmod 1755 dir
    只能作用在目录上，用户只能删除自己的文件

设定文件特定属性

chattr +i 不能删除，改名，更改 
      -R 递归
chattr +a 只能追加内容
lsattr    显示特定属性

7. 访问控制列表

ACL:Access Control List,实现灵活的权限管理

除了文件的所有者，所属组和其他人，可以对更多的用户设置权限
Centos7默认创建的xfs和ext4文件系统具有ACL功能
Centos7之前的版本，默认手工创建的ext4文件系统无ACL功能，需手动增加
    tune2ft -o acl /del/sdb1
    mount -o acl /del/sdb1 /mnt/test
ACL生效顺序：所有者，自定义用户，自定义组，其他人 

文件权限依赖于文件系统 vfat文件系统不支持文件权限

8. FACL --> 文件系统

getfacl file

• 查看acl权限列表

  常用选项：
  -a,  --access   仅显示文件访问控制列表
  -d, --default   仅显示默认的访问控制列表
  -R, --recursive 递归显示子目录
  -t, --tabular   使用制表符分隔的输出格式

  setfacl

  • 设置facl权限

    -m 修改权限
        -m u:adong:0 file / g:[组名]:rwx 设置文件ACL权限   modify(修改)
    -x 删除权限
    -b 清空权限
    -M 调取文件
    -d --default：设定默认的acl规则
        递归设置acl文件只能对现有的文件实现
        后面新建的文件是没有acl权限的.如果你想后面新建文件也能实现acl权限，就用默认acl权限
    -R 递归
    -X file.acl dirctory 删除目录下每个文件的权限

示例：setfacl  -m  d:u:wang:rx directory   默认每个文件都有rx权限

    echo u:adong:rw > acl.txt
    setfacl -M acl.txt f1 
    getfacl f1

加了acl权限以后所属组的权限已经不是原来所属组的权限，是mask权限

如果一个用户属于多个组，那它将继承多个组的累加权限

mask只影响除所有者和other的之外的人和组的最大权限

Mask需要与用户的权限进行逻辑与运算后，才能变成有限的权限(Effctive Permission)
用户或组的设置必须存在于mask权限设定范围内才会生效

setfacl -m mask::rx file   
    --set选项会把原有的ACL项都删除，用新的替代，需要注意的是一定要包含UGO的设置，不能像-m一样只是添加ACL就可以  

    例：   
        setfacl --set u::rw,u:adong:rw,g::r,o::- file1  

为多用户或者组的文件和目录赋予访问权限rwx

mount -o acl/directory
getfacl file |directory 
setfacl -m u:wang:rx file |dirctory
setfacl -m g:admins:rw file |dirctory
setfacl -x u:wang file |directory 
setfacl -b file1  清空所有ACL权限
getfacl file1 | setfacl --set-file=- file2 复制file1的acl权限给file2

9. 备份和恢复ACL

主要的文件操作命令cp和mv都支持ACL，只是cp命令需要加上-p参数。但是 tar等常见的备份工具是不会保留目录和文件的ACL信息

getfacl -R /tmp/dir1 > acl.txt
setfacl -R -b /tmp/dir1
setfacl -R --set-file=acl.txt /tmp/dir1
setfacl --restore acl.txt
setfacl -R /tmp/dir1

10. 练习

• 在/testdir/dir⾥创建的新⽂件⾃动属于g1组，组g2的成员如：alice能对这些新⽂件有读写权限，组g3的成员 如：tom只能对新⽂件有读权限，其它⽤户（不属于g1,g2,g3）不能访问这个⽂件夹。

mkdir /testdir/dir -p 
groupadd g1 
groupadd g2 
groupadd g3 

useradd -G g2 alice 
useradd -G g3 tom  

chgrp  g1 /testdir/dir 
chmod 2770 /testdir/dir 

setfacl -Rm d:g:g2:rw /testdir/dir/  设置g2组的默认权限为rw
setfacl -Rm g:g2:rwx /testdir/dir/   设置g2组的权限为rwx
setfacl -Rm g:g3:rx /testdir/dir/    设置g3组的权限为rx

getfacl dir/
# file: dir/
# owner: root
# group: g1
组权限
user::rwx
group::r-x
group:g2:rwx
group:g3:r-x
mask::rwx
other::r-x
(默认权限)
default:user::rwx
default:group::r-x
default:group:g2:rw-
default:mask::rwx
default:other::r-x

• 备份/testdir/dir里所有文件的ACL权限到/root/acl.txt中，清除/testdir/dir中所有ACL权限，最后还原ACL权限

  # getfacl -R /testdir/dir/ > /root/acl.txt
  # setfacl -R -b /testdir/dir
  # getfacl /testdir/dir
  # setfacl -R --set-file=/root/acl.txt /testdir/dir

  chmod -R 444 /  危险
  chown -R adong / 危险