linux文件属性分为4个部分,依次为:
1,普通属性,及rwx属性。
2,隐藏属性,及A,a,i属性,无法修改访问时间,无法删除和覆盖文件内容,只读文件等 。
3,特殊属性,及suid,sgid,sbit属性。
4,acl,访问控制列表,可以允许指定的用户拥有写权限而不再是让他们整个组拥有写权限。
一、 普通属性。
图释:
· 第一个字符代表这个文件的类型(如目录、文件或链接文件等等):
· 当为[ d ]则是目录,例如上表档名为『.gconf』的那一行;
· 当为[ - ]则是文件,例如上表档名为『install.log』那一行;
· 若是[ l ]则表示为连结档(link file);
· 若是[ b ]则表示为装置文件里面的可供储存的接口设备(可随机存取装置);
· 若是[ c ]则表示为装置文件里面的串行端口设备,例如键盘、鼠标(一次性读取装置)
· 接下来的字符中,以三个为一组,且均为『rwx』 的三个参数的组合
< [ r ]代表可读(read)、[ w ]代表可写(write)、[ x ]代表可执行(execute) 要注意的是,这三个权限的位置不会改变,如果没有权限,就会出现减号[ - ]而已>
· 第一组为『文件拥有者的权限』,以『install.log』那个文件为例, 该文件的拥有者可以读写,但不可执行;
· 第二组为『同群组的权限』;
· 第三组为『其他非本群组的权限』.
二、默认属性umask
在系统中新建文件时会默认生成属性,此功能通过umask实现:
① 查看umask值
[root@localhost /]#umask(数字形式)
0022
[root@localhost /]#umask –S(符号形式)
u=rwx,g=rx,o=rx
上面的命令显示出umask值的两种表现形式。我们看到数字表现出来的有4位数字,第一位数字用来表示特殊权限,我们在后面介绍,第二三四位数字分别用来表示用户/组/其他用户的权限。
在默认权限的属性上,目录文件和普通文件是不同的。因为我们不希望普通文件具有可执行权限,所以,普通文件在默认情况下是没有执行权限的。又因为目录文件需要具有可执行权限才可以进入,所以普通文件的默认属性最大为666,目录文件的默认属性最大为777。
② umask值的意义
umask值就是指“Linux文件的默认属性需要减掉的权限”。比如Linux普通文件的最大默认属性是666,目录文件的最大属性是777。但是我们不想要用户在新建立文件时,文件的属性是666或777,那么我们就要设置umask值。Linux系统预置的umask值是022,那么用户在新建立普通文件时,普通文件的属性就是666-022=644,新建立目录文件时,目录文件的属性就是777-022=755。
③ umask值设置
我们不想要新建立的普通文件的属性是644,目录文件的属性是755,我们想要新建立普通文件的属性是664,新建立目录文件的属性是775。那么我们就设置umask值为002即可。设置方法就是“umask 002”。
三、 Linux文件隐藏属性
文件都具有隐藏属性,隐藏属性对于系统安全来说很重要。
① 设置文件隐藏属性
[root@localhost /]#chattr [-R] [- =][AacDdijsSu]文件名
(A)no atime updates;(a)append only;(c)compressed;(D)synchronousdirectory updates;(d)no dump;(i)immutable;(j)data journalling;(s)securedeletion;(S)synchronous updates;(u)undeletable;(T)and top of directory hierarchy;(t)no tail-merging。
常用参数意义:
-R:递归处理。
-:删除某个隐藏属性,其他原本存在的属性不改变。
:添加某个隐藏属性,其他原本存在的属性不改变。
=:将隐藏属性设置为指定的参数,其他原本存在的属性会被改掉。
A(atime):如果设置了A属性,则这个文件的最后访问时间atime不能被修改。
a(append only):如果设置了a属性,则这个文件只能增加数据,不允许任何进程覆盖或截断这个文件。如果某个目录具有这个属性,那么只能在这个目录下建立和修改文件,而不能删除任何文件。
i(immutable):如果设置了i属性,则不能对这个文件做任何修该。如果某个目录具有这个属性,那么只能修改该目录下的文件,而不能建立和删除文件。
s(secure deletion):如果设置了s属性,则这个文件将从硬盘空间中完全删除。
u(undeletable):与s完全相反。如果设置了u属性,则这个文件虽然被删除了,但是还在硬盘空间中存在,还可以用来还原恢复。
② 查看文件隐藏属性
文件既然有隐藏属性,那么我们如何查看这些文件的隐藏属性呢?
[root@localhost /]#lsattr [-RVadlv] 文件名
-R:递归显示目录文件下的所有文件。
-a:显示隐藏文件的属性。
[root@localhost /]#lsattr –Ra CaiWu
-----a------- CaiWu/.bb.swo
------------- CaiWu/aa
CaiWu/aa:
------------- CaiWu/aa/.
-----a------- CaiWu/aa/..
-----a------- CaiWu/.
------------- CaiWu/..
------------- CaiWu/bb
-----a------- CaiWu/.bb.swp
-----a------- CaiWu/.bb.swn
-----a------- CaiWu/.bb.swpx
四、Linux文件特殊权限
Linux文件特殊权限主要体现在set UID、set GID、StickyBit这三个上面。
要理解这三个特殊权限,就要先理解账号的ID(UID和GID)以及进程等概念。
① SUID
SUID就是Set UID。
设置它是为了让普通用户在执行某些程序时,能够暂时具有该程序的拥有者权限。
比如:在Linux系统中普通用户也可以使用passwd命令来修改自己的密码。但是密码文件shadow只有root用户有读权限,其他用户没有任何权限,那么普通用户是怎样通过passwd命令来修改自己的密码呢?我们看下/usr/bin/passwd程序的属性就知道了。
[root@localhost /]# ll /usr/bin/passwd
-rwsr-xr-x 1 root root 22984 Jan 7 2007/usr/bin/passwd
我们发现passwd程序user的x权限位变成了s。那么在这里就是这个s使普通用户有权限来执行这个程序。它让普通用户在执行passwd这个程序时暂时拥有了root的权限。
因此,当某程序user的x权限位变成s时,就是进行了SetUID设置,简称SUID。
SUID仅可用于二进制文件,对于其他普通文件,目录文件和脚本之类的文件是无效的。
② SGID
SGID就是Set GID。设置它用来作用于用户组。
如果将SGID设置在二进制文件上,则不论用户是谁,在执行该程序时,它的有效用户组将会变成改程序的用户组所有者;
如果将SGID设置在目录文件上,则在该目录文件内所建立的文件或目录的用户组,将会变成该目录的用户组。
SGID一般用于团队的项目开发上,在系统中很少使用。如果设置了SGID,那么该二进制文件或者目录group的x属性位将会变成s。
③ SBIT
SBIT就是Sticky Bit。如果在设置了SBit属性的目录中,用户在该目录下拥有w和x权限,那么当用户在该目录下新建文件时,只有文件拥有者和root才有权利删除。
比如:root在/目录下建立了一个文件夹test,test的权限是0777。在没有加特殊权限前,任何人都可以在test目录下做任何事,包括删除别人建立的文件。当我给test目录设置了SBit属性后,那么bobyuan这个用户在test下新建了一个文件bobtest, 属性是0777;bob这个用户进入test目录下试图删除bobtest,发现没有权限删除。
如果某个目录设置了SBit属性,那么该目录other的x属性位将会变成t。如【drwxrwxrwt】。
SBIT仅可用于目录文件,对于普通文件是不生效的。
如果某个文件的user或者group或者other没有设置x属性,但是设置了SUID或者SGID或者GBIT,那么,这些特殊属性将会以大写的S和T表现出来。
④ 设置SUID/SGID/SBIT
我们用数字形式来表示这三个特殊属性,他们和r/w/x的数字表现形式类似。
SUID:4
SGID:2
SBIT:1
比如我要设置cat命令的SUID属性,那就可以用chmod 4755来实现。
比如我要设置test目录的SBIT属性,那就可以用chmod 1777来实现。
注意,在设置目录或者二进制文件的特殊属性时,一定要给予这些目录或者文件可执行权限。如果未给予可执行权限,即使设置了特殊属性,也将会是空的,会用大写的S和T表示。
五、ACL范例测试
基础ACL通过两条命令管理:setfacl用于增加或者修改ACL,getfacl用于显示分配完的ACL。让我们来做一些测试。
我创建一个目录/shared给一个假设的用户,名叫freeuser
1. $ ls -lh /
我想要分享这个目录给其他两个用户test和test2,一个拥有完整权限,另一个只有读权限。
首先,为用户test设置ACL:
1. $ sudosetfacl -mu:test:rwx /shared
现在用户test可以随意创建文件夹,文件和访问在/shared目录下的任何地方。
现在我们增加只读权限给用户test2:
1. $ sudosetfacl -mu:test2:rx /shared
注意test2读取目录需要执行(x)权限
让我来解释下setfacl命令格式:
· -m 表示修改ACL。你可以增加新的,或修改存在的ACL
· u: 表示用户。你可以使用 g 来设置组权限
· test 用户名
· :rwx 需要设置的权限。
现在让我向你展示如何读取ACL:
1. $ ls -lh /shared
你可以注意到,正常权限后多一个+标记。这表示ACL已经设置成功。要具体看一下ACL,我们需要运行:
1. $ sudo getfacl /shared
最后,如果你需要移除ACL:
1. $ sudosetfacl -xu:test /shared
如果你想要立即擦除所有ACL条目:
1. $ sudosetfacl -b /shared
最后,在设置了ACL文件或目录工作时,cp和mv命令会改变这些设置。在cp的情况下,需要添加“p”参数来复制ACL设置。如果这不可行,它将会展示一个警告。mv默认移动ACL设置,如果这也不可行,它也会向您展示一个警告。
总结
使用ACL让在你想要分享的文件上拥有更多的能力和控制,特别是在NFS/Samba服务。此外,如果你的主管共享主机,这个工具是必备的。