1.文件权限相关
Linux 里的每个文件都有三种属性,允许用户控制文件的访问者和访问方式,用户所有者、拥有组和其他人权限。当用户创建一个文件,这个用户就是这个文件的拥有人(通常),这个用户的组也成为这个文件的拥有组。权限(rwx,分别表示可读,可写,可执行)规定三个不同的级别的用户(文件的拥有人、文件的拥有组和其他人)能够如何使用这个文件。
2.文件权限的查看
ls -l file ##查看文件属性==
ls -ld dir ##查看目录本身属性
ls -lR dir ##递归查看
有些时候文件属性查看也可以使用以下命令
ll file
ll -d dir
ll表示ls -l
3.文件权限的读取
[1]文件类型
— ##空文件或者文本
d ##目录,上图中为/mnt中目录hello的属性
l ##软连接
s ##socket套接字
b ##blocck块设备
c ##字符设备
[2]文件的权限
[u]--------->文件拥有者对文件权限
[g]--------->文件所有组对文件权限
[o]--------->其他用户对文件权限
[3]
2
对文件:文件硬链接个数(文件内容被记录的次数)
对目录:目录中子目录个数
[4]
文件所有人
[5]
文件所有组
[6]
对文件:文件大小
对目录:目录中子文件元数据大小
[7]
文件的内容被修改的时间
[8]
文件的名称
4.如何改变文件属性信息
先建立监视文件
watch -n 1 ls -lR /mnt
chown user file ##改变文件所有人
chgrp group file ##改变文件所有组
chown user:group file ##同时改变所有人所有组
chown user.group file
chown -R user dir ##改变目录里所有文件及目录的所有人
chgrp -R group dir ##改变目录里所有文件及目录的所有组
chown -R user:group dir ##同时改变目录里文件及目录的所有人所有组
chown -R user.group dir
5.如何改变文件的权限
1.对权限的理解
r
对文件:是否可以查看文件中的内容
对目录:是否可以查看目录中有什么子文件或者子目录
w
对文件:是否可以改变文件里面记录的字符
对目录:是否可以对目录中子目录或子文件元数据进行修改
x
对文件:是否可以通过文件名称调用文件内记录的程序
对目录:是否可以进入目录
2.更改方式
chmod <u/g/o><+/=/-><r/w/x> file/dir
建立监控窗口
chmod u+x /mnt/file1
chmod g-r /mnt/file2
chmod ug-r /mnt/file3
chmod u-r,g+x /mnt/file4
chmod -r /mnt/file5
chmod o=r-x /mnt/file6
各权限对应的权值
r=4,w=2,x=1
7=rwx
6=rw-
5=r-w
4=r–
3=-wx
2=-w-
1=–x
0=—
例:
rwx|r-x|rw-
756
6.umask
umask 系统建立文件时默认保留的权力
umask 077 ##临时设定系统预留权限为077(临时更改)
永久更改umask
(1).
vim /etc/profile ##shell配置文件
60行为普通用户的默认保留权限;62行为超级用户的默认保留权限
更改62行的umask值为077(我们用超级用户建立文件和目录来完成实验),:wq退出保存
(2).shell配置
shell配置文件:/etc/bashrc
71行为普通用户的默认保留权限;73行为超级用户的默认保留权限
更改73行的umask值为077(我们用超级用户建立文件和目录来完成实验),:wq退出保存
source /etc/profile ##让文件立即生效
source /etc/bashrc ##让文件立即生效
7.特殊权限(重难点)
1.sticky ##粘制位
作用:
只针对目录生效,当一个目录上sticky权限时,这个目录的文件只能被文件所有者删除
首先,我们切换用户到westos,在/mnt下建立目录hello,在hello中建立文件file1、file2、file3、file4
然后再切换用户ha,删除文件file1。可见一个用户建立的文件,可以被其他用户删除。为了限制这种权力,就有了sticky命令。
设定方式:
chmod o+t dir
chmod 1xxx dir
现在再次用用户ha删除file2------>删除失败,用户权力被限制
2.sgid ##强制位
作用:
对文件:只针对二进制可执行文件;当文件上有sgid时任何人执行此文件产生的进程都属于文件的组
我们一起来验证sgid对文件的作用
1)首先我们选择一个二进制可执行文件------>/bin/watch,查看文件属性
ls -l /bin/watch
2)执行watch date 命令 ,使用ps命令查看进程
watch date
ps ax -o comm,user,group | grep watch
3)修改watch 命令的所有组为student,对/bin/watch设置sgid强制位,再次执行watch date,使用ps查看进程
对目录:当目录上有sgid权限时任何人在此目录中建立的文件都属于目录所有组
接下来我们一起来验证以下强制位对目录的影响
我们用westos在目录/mnt下建立一个名叫hello的属于westos的目录,切换用户可以ha,在目录hello中建立一个文件file。可以看到,文件file的文件所属人、所属组均为ha用户。
接下来我们进行强制位的设置:
chmod g+s fire/dir
chmod 2xxx fire/dir
设置完成后,再用ha用户建立文件file2,可以看到,文件file2的所属组变成了目录所属组。
3.suid ##冒险位
作用:
只针对二进制可执行文件
当文件上有suid时任何人执行这个文件中的程序产生的进程都属于文件的所有人
方式
chmod u+s fire
chmod 4xxx fire
接下来我们来冒险位对文件的影响
1).执行watch命令,查看watch进程
2).修改/bin/watch文件的所有人为westos,然后再对/bin/watch文件设置suid权限
3).再次执行watch命令,查看watch进程
8.acl权限列表
1.作用
让特定的用户对特定的文件有特定的权限
2.acl列表查看
getfacl file ##查看acl开启的文件
#file: file ##文件名称
#owner: root ##文件拥有者
#group:root ##文件拥有组
user::rw- ##文件拥有人权限
user:kiosk:rwx ##指定用户的权限
group::r-- ##文件拥有组的权限
mask::rwx ##能赋予用户的最大权限阀值
other::r-- ##其他人的权限
3.acl列表管理
先设置监控命令
getfacl file ##查看列表
setfacl -m u:username:rwx file ##设定username对file拥有rwx的权限
setfacl -m g:group:rwx file ##设定group组成员对file拥有的rwx权限
setfacl -x u:usermane file ##从acl列表中删除username
setfacl -x g:group file ##从acl列表中删除group
setfacl -b file ## 关闭file上的acl列表
4.mask值
当用chmod减小开启acl文件权限时mask值会发生变化
在上图中,光标点亮的位置属于文件所属组的权限(r–)与第一行文件权限中文件所属组的权限(rwx)不符,如用命将多出的权限w删除,mask值将会发生变化。
chmod g-w file
如果要恢复mask值
setfacl -m m:rw westos
5.acl的默认权限列表设定
acl默认权限列表只针对目录设定:
“acl权限指针对设定完成之后新建立的文件或目录生效,而一存在的文件时不会继承默认权限的”
setfacl -m d:u:student:rwx /mnt/westos ##设定默认权限列表
setfacl -k /mnt/westos ##删除权限列表
先在/mnt下建立目录hello,并对目录hello进行默认权限设定
然后在目录hello下新建文件file和目录hi,查看他们的acl列表
查看文件默认权限列表时会发现,他并没有继承hello的默认权限列表,这是因为系统自动将文件的部分权力去掉了