Linux系统中的权限管理

目录

（1）权限查看及读取

（2）普通权限类型及作用

（3）设定普通权限的方法

（4）系统默认权限设定

（5）文件用户组管理

（6）特殊权限

（7）cal权限列表

（8）attr权限

---

（1）权限查看及读取

 权限查看

ls –l  文件名    查看文件权限

ls –ld   目录     查看目录权限

权限的读取

文件的权限叫做文件的元数据，一种元数据用一个byte来就内容

文件权限信息

目录权限信息

【1】文件类型

-普通文件   d目录    l软连接      b快设备   c字符设备   s socket套接字  p 管道

（2）普通权限类型及作用

#1.用户对文件的身份

u    user 文件的拥有者，ls -l 看到的第五列信息

g    group 文件拥有组， ls -l 看到的第六列信息

o    other 既不是拥有者也不是拥有组成员的其他用户的通称

权限位

rwx | r-- | r--  u  g  o

3.用户身份匹配

user>group>other

4.权限类型

 - 权限未开启

 r    可读

                           对于文件：可以读取文件内容

                           对于目录：可以ls列出目录中的文件

w     可写

                          对于文件：可以更改文件内容

                          对于目录：可以在目录中新建或者删除文件

x     可执行

                          对于文件：可以用文件名称调用文件内记录的程序

                          对于目录：可以进入目录中

（3）设定普通权限的方法

chmod          设定文件权限

chmod          复制权限

chmod --reference=需要复制的目录   此目录             复制目录的权限到另一目录上

chmod -R --reference=需要复制的目录   此目录        复制目录的权限到该目录及目  

                                                                               录中的子文件上（-R代表第归操作）

chmod 字符方式设定权限

示例：

chmod u+x /mnt/linux2

chmod g+x /mnt/linux3

chmod o+w /mnt/linux4

chmod +x /mnt/linux5

 

chmod 数字方式设定权限

权限波尔指表示方式

rwx = 111   7

--- = 000   0

 

（4）系统默认权限设定

系统本身存在的意义共享资源，从安全角度讲系统共享的资源越少，开放的权力越小系统安全性越高，既要保证系统安全，又要系统创造价值，于是把应该开放的权力默认开放，把不安全的权力默认保留

umask零时更改

如何保留权力

umask                   查看保留权力

umask 权限值       临时设定系统预留权力

文件默认权限 = 777-umask-111

目录默认权限 = 777-umask

umask值越大系统安全性越高

umask临时更改

umask 077

 

umask永久更改

source /etc/bashrc           source作用时使我们更改的内容立即被系统识别

source /etc/profile

vim /etc/profile

 

vim /etc/bashrc 

 

（5）文件用户组管理

chown用户名  文件名                       更改文件拥有者

chgrp 组名 文件名                            更改文件拥有组

chown 用户名.组名 文件名               同时更改文件的拥有者和拥有组

chown -R 用户名  目录                     更改目录本身及目录中内容的拥有者或者拥有组

chgrp –R 组名 目录

 

（6）特殊权限

stickyid      粘制位

针对目录: 如果一个目录stickyid开启，那么这个目录中的文件只能被文件所有人删除

 

chmod 1原始权限 目录

chmod o+t 目录

 

sgid 强制位

针对目录: 目录中新建的文件自动归属到目录的所属组中

设定：

chmod 源文件权限 目录

chmod g+s 目录

suid 冒险位

只针对二进制的可执行文件(c程序) 当运行二进制可执行文件时都是用文件拥有者身份运行，和执行用户无关

chmod 原属性 文件名

chmod u+s 文件名

（7）cal权限列表

Aiccess Control Lists #访问控制列表

功能: 在列表中可以设定特殊用户对与特殊文件有特殊权限

acl列表开启标识

-rw-rw---- 1 root caiwu 0 Apr 18 09:03 westosfile  没有+，代表cal列表未开启

-rw-rw----+ 1 root caiwu 0 Apr 18 09:03 westosfile  有+，cal列表功能开启

acl列表权限读取

getfacl westosfile

显示内容分析

file: westosfile          文件名称

owner: root              文件拥有者 

group: root               文件拥有组

user::rw-                  文件拥有者权限

user:lee:rw-             特殊指定用户权限

group::r--                 文件拥有组权限

group:westos:---       特殊指定的用户组的权限

mask::rw-                 能够赋予特殊用户和特殊用户组的最大权限阀值

other::r--                   其他人的权限

 

注意：

"当文件权限列表开启，不要用ls -l 的方式来读取文件的权限"

acl列表的控制

setfacl -m u:lee:rw westosfile     设定

setfacl -m g:westos:rw westosfile

setfacl -m u::rwx westosfile

setfacl -m g::0 westosfile

setfacl -x u:lee westosfile         删除列表中的lee

setfacl -b westosfile                  关闭

 cal 权限优先级

拥有者 > 特殊指定用户 > 权限多的组 >权限少的组 > 其他

acl mask 控制

mask是能够赋予指定用户权限的最大阀值

 问题 当设定完毕文件的acl列表之后用chmod缩小了文件拥有组的权力 mask会发生变化 恢复： setfacl -m m:权限 文件

acl 列表的默认权限

setfacl -m u:用户名:rwx /mnt/westos         只对于/mnt/westos目录本身生效

setfacl -Rm u:用户名:rwx /mnt/westos       对于/mnt/westos目录和目录中已经存在的内容生效

以上的命令之针对与存在的文件生效，新建文件是不会被设定的

setfacl -m d:u:用户名:rwx /mnt/westos/         针对与/mnt/westos目录中新建文件生效

 

（8）attr权限

attr权限限制所有用户

I              不能作任何的更改

a             能添加不能删除

lsattr dir|file                 查看attr权限

chattr +i|+a|-i|-a dir|file       设定attr权限