Centos7-文件权限管理

7.1文件的基本权限：rwx （UGO）
7.2文件的特殊权限：suid sgid sticky和文件扩展权限ACL
7.3创建一个让root都无法删除的文件

7.1文件的基本权限
7.1.1 权限的作用
通过对文件设定权限可以达到以下三种访问限制权限：
只允许用户自己访问；
允许一个预先指定的用户组中的用户访问；
允许系统中的任何用户访问。
7.1.2 查看权限
文件类型
p表示命名管道文件
d表示目录文件
l表示符号链接文件
-表示普通文件
-表示socket套接口文件，比如我们启用mysql时，会产生一个mysql.sock文件
c表示字符设备文件 例：虚拟控制台 或tty0
b表示块设备文件 例：sda cdrom
7.1.3 权限说明
对于文件来说
读写执行 cat vim echo 编辑 脚本执行
对于目录来说
r： ls
w： touch mkdir rm mv cp
x：cd
7.1.4 文件拥有者
UGO：所有者–用户组–其他用户·

更改文件属主属组命令
chown root:root /文件或者目录
chown root: /文件或目录 属主属组都改为root
chown :root /文件或目录 只更改属组为root
chown -R (递归) 目录下所有内容都改 否则只修改目录

一个文件只有读的权限，拥有着可以写这个文件 vim写入 wq！

7.1.6 修改权限
命令chmod
对谁操作：
u----用户
g----用户组
o----其它用户
a----所有用户 u+g+o
操作符 +添加权限 -减少权限 =直接给定一个权限

使用八进制(0-7)数字表示权限法
权限 二迚制值 八迚制值 描述
— 000 0 没有任何权限
–x 001 1 只有执行权限
-w- 010 2 只有写入权限
-wx 011 3 有写入和执行权限
r-- 100 4 只有读叏权限
r-x 101 5 有读叏和执行权限
rw- 110 6 有读叏和写入权限
rwx 111 7 有全部权限

rwx 421
stat -c %a 数字权限如755
stat -c %A 字母 rwxr-xr-x

补码

文件默认权限=666
目录默认权限=777

创建文件的默认权限从哪来
/etc/profile
我们一般在/etc/profile、$ [HOME]/.bash_profile 戒$[HOME]/.profile 中设置 umask 值。
永丽生效，编辑用户的配置文件 vim .bash_profile

if [ $UID -gt 199 ] && [ “/usr/bin/id -gn” = “/usr/bin/id -un” ]; then
umask 002
else
umask 022
fi
**注：**UID大于199且用户的组名和用户名一样 那么umask值为002 否则为022
-gt在shell中表示大于；id -g 显示用户组ID
id -gn显示组名

权限一般算法
目录默认权限-umask值
666-022=644
777-022=755

权限科学的计算方法：
1、将默认权限（目彔 777，文件 666）和 umask 值都转换为 2 迚制
2、对 umask 叏反
3、将默认权限和 umask 叏反后的值做不运算
4、将得到的二迚制值再转换 8 迚制，即为权限，
例 1： umask 为 022
6 6 6 umask 0 2 2
110 110 110 000 010 010 # 转成二迚制
111 101 101 # umask 叏反的值
110 110 110 不 #第二步，默认权限和 umask 叏反后的值做不运算
111 101 101 # umask 叏反的值
110 100 100
6 4 4 #转成 8 迚制
例 2： umask 为 033 结果为： 644
6 6 6 umask 0 3 3
110 110 110 000 011 011 # 转成二迚制
111 100 100 # umask 叏反的值
110 110 110 不 #默认权限和 umask 叏反后的值做不运算
111 100 100 # umask 叏反的值
110 100 100
6 4 4 #转成 8 迚制

7.2文件的特殊权限：suid sgid sticky和文件扩展权限ACL
文件的特殊权限
1、SUID(set uid 设置用户ID:)限定：只能设置在二进制可执行程序上面，对目录设置无效
功能：程序运行时的权限从执行者变更成程序所有者的权限
2、SGID：限定：既可以给二进制可执行程序设置，也可以对目录设置
功能：在设置了SGID权限的目录下建立文件时，新创建的文件的所属组会，继承上级目录的所属组
3、Stickybit：粘滞位权限是针对目录的，对文件无效，也叫防删除位
这三个特殊权限对应的数值为
SIUD——u+s或u=4
SGID——g+s或g=2
Stickybit——o+t或o=1
SUID属性一般用在可执行文件上 当用户执行该文件时，会临时拥有该执行文件的所有者权限
ll 文件权限U 第三位会有一个代替x的小s
例如 /usr/bin/passwd

实际使用如
普通用户没有删除某文件权限
如赋予rm命令 u+s suid的权限 即可在执行时临时拥有所有者权限 并删除

SGID：
限定：既可以给二进制可执行程序设置，也可以给目录设置
功能：在设置了SGID权限的目录下建立文件时，新创建的文件的所属组会继承上级目录的权限

创建一个文件test
给g+s权限 再给此目录下新建文件会继承test的权限 例 属组为kylin 目录下创建文件属主也为kylin

Stickybit
限定：只作用于目录
功能：目录下创建的文件只有root、文件创建者、目录所有者才能删除。
例：系统中的tmp目录就是这样
一般用于共享目录 防止删除其它用户文件

7.2.1 文件扩展权限ACL

扩展ACL :access control list

命令格式：
getfacl 文件名 (查看该文件/目录权限)
setfacl -m u:user:rwx /file

目录设置acl

setfacl -m d:u:kk:rwx acltest/

#-d default 设置默认ACL 对目录有效 此目录下新建的文件都继承此acl权限
设置acl前 drwxr-xr-x 2 root root 4096 Apr 1 16:57 acltest/
设置acl后 drwxr-xr-x+ 2 root root 4096 Apr 1 16:57 acltest/

给目录下所有文件都加扩展权限

setfacl -R -m d:u:kz:rwx acltest/

去除权限

setfacl -x u:user:rwx /file

#去掉单个权限

setfacl -b /文件或目录

#去掉所有acl权限

命令：chattr
参数：+a 只能追加内容 +i 不能被修改
+i：即 Immutable，系统丌允许对这个文件迚行任何的修改。如果目彔具有这个属性，那举任何的迚程只能修
改目彔之下的文件，丌允许建立和删除文件。

chattr +a/+i /file
lsattr -a/-i /file

a为可追加内容
i为不可修改 即编辑、删除、增加内容等

2019-4-1