关于Linux中文件权限的探究

1.文件权限相关

Linux 里的每个文件都有三种属性，允许用户控制文件的访问者和访问方式，用户所有者、拥有组和其他人权限。当用户创建一个文件，这个用户就是这个文件的拥有人（通常），这个用户的组也成为这个文件的拥有组。权限（rwx,分别表示可读，可写，可执行）规定三个不同的级别的用户（文件的拥有人、文件的拥有组和其他人）能够如何使用这个文件。

2.文件权限的查看

ls  -l  file             ##查看文件属性==

ls -ld dir ##查看目录本身属性

ls -lR dir ##递归查看

有些时候文件属性查看也可以使用以下命令
ll file
ll -d dir
ll表示ls -l

3.文件权限的读取

[1]文件类型

— ##空文件或者文本
d ##目录,上图中为/mnt中目录hello的属性
l ##软连接
s ##socket套接字
b ##blocck块设备
c ##字符设备

[2]文件的权限

[u]--------->文件拥有者对文件权限
[g]--------->文件所有组对文件权限
[o]--------->其他用户对文件权限

[3]
2
对文件：文件硬链接个数（文件内容被记录的次数）
对目录：目录中子目录个数

[4]
文件所有人

[5]
文件所有组

[6]
对文件：文件大小

对目录：目录中子文件元数据大小

[7]
文件的内容被修改的时间

[8]
文件的名称

4.如何改变文件属性信息

先建立监视文件

watch -n 1 ls -lR /mnt

chown user  file   ##改变文件所有人

chgrp  group file   ##改变文件所有组

chown  user:group  file  ##同时改变所有人所有组
chown  user.group  file  

chown  -R user dir   ##改变目录里所有文件及目录的所有人

chgrp  -R  group dir    ##改变目录里所有文件及目录的所有组

chown  -R  user:group  dir  ##同时改变目录里文件及目录的所有人所有组
chown  -R  user.group  dir

5.如何改变文件的权限

1.对权限的理解
r
对文件：是否可以查看文件中的内容
对目录：是否可以查看目录中有什么子文件或者子目录
w
对文件：是否可以改变文件里面记录的字符
对目录：是否可以对目录中子目录或子文件元数据进行修改
x
对文件：是否可以通过文件名称调用文件内记录的程序
对目录：是否可以进入目录

2.更改方式

chmod   <u/g/o><+/=/-><r/w/x>  file/dir

建立监控窗口

chmod u+x  /mnt/file1

chmod g-r  /mnt/file2

chmod ug-r  /mnt/file3

chmod u-r,g+x  /mnt/file4

chmod -r /mnt/file5

chmod o=r-x  /mnt/file6

各权限对应的权值
r=4,w=2,x=1
7=rwx
6=rw-
5=r-w
4=r–
3=-wx
2=-w-
1=–x
0=—

例：
rwx|r-x|rw-
756

6.umask

umask  系统建立文件时默认保留的权力
umask  077  ##临时设定系统预留权限为077（临时更改）

永久更改umask
（1）.

vim /etc/profile  ##shell配置文件

60行为普通用户的默认保留权限；62行为超级用户的默认保留权限

更改62行的umask值为077（我们用超级用户建立文件和目录来完成实验），：wq退出保存

（2）.shell配置

shell配置文件：/etc/bashrc

71行为普通用户的默认保留权限；73行为超级用户的默认保留权限
更改73行的umask值为077（我们用超级用户建立文件和目录来完成实验），：wq退出保存

source  /etc/profile    ##让文件立即生效
source  /etc/bashrc    ##让文件立即生效

7.特殊权限（重难点）

1.sticky ##粘制位
作用：
只针对目录生效，当一个目录上sticky权限时，这个目录的文件只能被文件所有者删除

首先，我们切换用户到westos，在/mnt下建立目录hello，在hello中建立文件file1、file2、file3、file4

然后再切换用户ha，删除文件file1。可见一个用户建立的文件，可以被其他用户删除。为了限制这种权力，就有了sticky命令。

设定方式：

chmod  o+t  dir
chmod  1xxx  dir

现在再次用用户ha删除file2------>删除失败，用户权力被限制

2.sgid ##强制位

作用：
对文件：只针对二进制可执行文件；当文件上有sgid时任何人执行此文件产生的进程都属于文件的组

我们一起来验证sgid对文件的作用
1）首先我们选择一个二进制可执行文件------>/bin/watch，查看文件属性

ls -l /bin/watch

2）执行watch date 命令 ，使用ps命令查看进程

watch date
ps ax -o comm,user,group | grep watch

3）修改watch 命令的所有组为student，对/bin/watch设置sgid强制位，再次执行watch date，使用ps查看进程

对目录：当目录上有sgid权限时任何人在此目录中建立的文件都属于目录所有组

接下来我们一起来验证以下强制位对目录的影响

我们用westos在目录/mnt下建立一个名叫hello的属于westos的目录，切换用户可以ha，在目录hello中建立一个文件file。可以看到，文件file的文件所属人、所属组均为ha用户。

接下来我们进行强制位的设置：

chmod  g+s fire/dir
chmod   2xxx  fire/dir

设置完成后，再用ha用户建立文件file2，可以看到，文件file2的所属组变成了目录所属组。

3.suid ##冒险位

作用：
只针对二进制可执行文件
当文件上有suid时任何人执行这个文件中的程序产生的进程都属于文件的所有人
方式

chmod u+s  fire
chmod 4xxx  fire

接下来我们来冒险位对文件的影响

1）.执行watch命令，查看watch进程

2）.修改/bin/watch文件的所有人为westos，然后再对/bin/watch文件设置suid权限

3）.再次执行watch命令，查看watch进程

8.acl权限列表

1.作用
让特定的用户对特定的文件有特定的权限

2.acl列表查看

getfacl file   ##查看acl开启的文件

#file: file ##文件名称
#owner: root ##文件拥有者
#group：root ##文件拥有组
user::rw- ##文件拥有人权限
user:kiosk:rwx ##指定用户的权限
group::r-- ##文件拥有组的权限
mask::rwx ##能赋予用户的最大权限阀值
other::r-- ##其他人的权限

3.acl列表管理

先设置监控命令

getfacl  file     ##查看列表
setfacl  -m u:username：rwx  file  ##设定username对file拥有rwx的权限

setfacl -m g:group:rwx     file  ##设定group组成员对file拥有的rwx权限

setfacl -x u:usermane    file      ##从acl列表中删除username
setfacl -x g:group    file      ##从acl列表中删除group

setfacl  -b  file     ## 关闭file上的acl列表

4.mask值

当用chmod减小开启acl文件权限时mask值会发生变化
在上图中，光标点亮的位置属于文件所属组的权限(r–)与第一行文件权限中文件所属组的权限（rwx）不符，如用命将多出的权限w删除，mask值将会发生变化。

chmod g-w  file

如果要恢复mask值

setfacl  -m  m:rw  westos

5.acl的默认权限列表设定

acl默认权限列表只针对目录设定：
“acl权限指针对设定完成之后新建立的文件或目录生效，而一存在的文件时不会继承默认权限的”

setfacl -m d:u:student:rwx  /mnt/westos   ##设定默认权限列表
setfacl -k /mnt/westos    ##删除权限列表

先在/mnt下建立目录hello，并对目录hello进行默认权限设定

然后在目录hello下新建文件file和目录hi，查看他们的acl列表

查看文件默认权限列表时会发现，他并没有继承hello的默认权限列表，这是因为系统自动将文件的部分权力去掉了