文件权限及其设定

文件权限

1.文件属性的查看

命令： ls -l filename
-|rw-r--r--.|1| root| root|   46 |Oct  1 05:03 |filename

- --------  --  -----  -----   ----   --------------   -----------

1    2       3     4     5       6          7                   8

命令：ls  ###列出文件

ls [OPTION]... [FILE]...

常用选项：

-a, --all
              do not ignore entries starting with .

-d, --directory
              list directory entries instead of contents, and do not  derefer-
              ence symbolic links

-h, --human-readable
              with -l, print sizes in human readable format (e.g., 1K 234M 2G)

-i, --inode
              print the index number of each file

-l     use a long listing format

-r, --reverse

              reverse order while sorting

-t     sort by modification time

1.1 "-":文件类型 

-##普通文件
d ##目录
c ##字符设备
s     ##套接字
p ##管道
b     ##快设备
l ##连接
 

1.2 "rw-r--r--":文件读写权限

rw-|r--|r--
 *    $  @

* ：所有人的权限 ；属主
$ ：所有组的权限 ；属组
@ ：其他人的权限 ；其他


1.3  "1":
对文件：文件内容被系统记录的次数
对目录：目录中文件属性的字节数


1.4 "root":文件所有人


1.5 "root":文件所有组


1.6 "46":文件内容的大小


1.7 "Oct  1 05:03":文件最后一次被修改的时间


1.8 "filename":文件名字


2.文件所有人所有组的管理

chown：更改文件属主；

Usage: chown [OPTION]... [OWNER][:[GROUP]] FILE...
  or:  chown [OPTION]... --reference=RFILE FILE...

  -R, --recursive        operate on files and directories recursively

chgrp：更改文件属组；

Usage: chgrp [OPTION]... GROUP FILE...

  or:  chgrp [OPTION]... --reference=RFILE FILE...

  -R, --recursive        operate on files and directories recursively

监控命令
watch -n 1 ls -lR /mnt


3.文件普通权限
rw-|r--|r--
 u   g   o
u：文件所有人对文件可以读写  user
g：文件组成员对文件可读  group
o：其他人对文件可读  other
u优先匹配，g次优先，o:当u，g不匹配时匹配

3.1 r  ## read
对文件：可以查看文件中的字符
对目录：可以查看目录中文件的信息


3.2 w  ##write
对文件：可以更改文件内字符
对目录：可以在目录中添加删除文件


3.3 x
对文件：可以运行文件内记录的程序动作
对目录：可以进入目录中

注意：对于目录而言，如果没有x权限，那么rw权限就没用。所以目录一般都会有x权限。

3.4 字符方式修改该文件权限

chmod ：修改文件访问权限；

Usage: chmod [OPTION]... MODE[,MODE]... FILE...
  or:  chmod [OPTION]... OCTAL-MODE FILE...
  or:  chmod [OPTION]... --reference=RFILE FILE...
Change the mode of each FILE to MODE.

选项： -R, --recursive         change files and directories recursively

 -------chmod u+x file ##file拥有者去掉x权限

--------chmod u-x,g+w file##file拥有者去掉x权，file拥有组添加w权限

chmod g+w file1##file1拥有组添加w权限
chmod ugo-r file2 ##file2的用户组其他人去掉r权限
chmod ug+x,o-r file3 ##file3用户和组添加x权限，其他人去掉r权限


3.5 数字方式修改该文件权限
在linux中
r=4；w=2；x=1
文件权限数字表示方式
rw-|r--|r--
-u--g--o-
u = rw- = 4+2+0=6
g = r-- = 4+0+0=4
o = r-- = 4+0+0=4

所以文件权限表示为644

eg：

7=rwx；6=rw-；5=r-x；4=r--；3=-wx；2=-w-；1=--x；0=---

文件777-umask-111   目录777-umask；可以使用umask查阅系统的umask值；

此系统umask为0077，前面的0先不讲，所以文件的初始权限为777-077-111=600；目录的初始权限为777-077=700。

4.系统默认权限的设定

从系统存在角度来说，开放权力越大，系统存在意义越高
从系统安全角度来说，开放权力越少，系统安全性越高
所以系统设定新建文件或目录会去掉一些权限

设定方式

umask ##查看系统保留权限默认为022
umask 077##修改该系统保留权限为077，此设定为临时设定，只当前shell中生效

永久设定方式：
vim /etc/bashrc ##shell
 70     if [ $UID -gt 199 ] && [ "`id -gn`" = "`id -un`" ]; then
 71        umask 002 ##普通用户umask
 72     else
 73        umask 077    ##超级用户umask                                                                      
 74     fi

vim /etc/profile ##系统
 59 if [ $UID -gt 199 ] && [ "`id -gn`" = "`id -un`" ]; then
 60     umask 002 ##普通用户umask
 61 else
 62     umask 077       ##超级用户umask                                                                                         
 63 fi

以上两个文件umask设定值必须保持一致
source /etc/bashrc
source /etc/profile
让设定立即生效

5.文件的访问控制（acl列表）

5.1 acl定义

setfacl命令可以用来细分linux下的文件权限。
chmod命令可以把文件权限分为u,g,o三个组，而setfacl可以对每一个文件或目录设置更精确的文件权限。
换句话说，setfacl可以更精确的控制权限的分配。
比如：让某一个用户对某一个文件具有某种权限。

这种独立于传统的u,g,o的rwx权限之外的具体权限设置叫ACL（Access Control List）
ACL可以针对单一用户、单一文件或目录来进行r,w,x的权限控制，对于需要特殊权限的使用状况有一定帮助。
如，某一个文件，不让单一的某个用户访问。指定特殊用户对特殊文件有特殊权限

drwxrwx---+ 2 root root 17 Jul 18 01:39 /westos/

+表示/westos目录时有权限列表

getfacl  /westos/
# file: westos/ ##文件名称
# owner: root ##文件所有人
# group: root ##文件所有组
user::rwx ##拥有者权限
user:student:rwx ##特殊用户权限
group::--- ##组权限
mask::rwx ##权限掩码
other::--- ##其他人权限

注意：当文件上有权限列表（+）时，ls -l 能看到的权限是假的

5.2 setfacl ：设定acl列表

Usage: setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ...

 setfacl 参数
  -m：设置后续acl参数 
  -x：删除后续acl参数  
  -b：删除全部的acl参数
  -k：删除默认的acl参数
  -R：递归设置acl，包括子目录
  -d：设置默认acl

新建一个文件test，将权限改为777，并查看ACL设置，现在我们设定xixi这个用户对它只有r权限。u表示对用户，这个用户必须事先存在，也可以用g，表示对组，当然这个组也必须事先存在。

5.3 acl mask值
5.3.1 mask 权限掩码
mask用来标实能够赋予用户最大权限
当用chmod改变文件普通权限时可能会被破坏

修复：setfacl -m m:rwx 文件名称： 改变mask的值

当我们改变了文件的权限时，它的mask也会发生变化，此时我们之前设定的ACL会受到一定的影响。这个时候，我们可以用setfacl -m m：权限 文件名来设置更改恢复文件的mask值。

5.4 acl 默认权限
当我们需求某个目录对于student可写，并且目录中新建的子目录对student也可写
就要设定默认默认权限

注意： 默认权限只对目录中新建立的文件或者目录生效，对已经建立的文件无效,
对于目录本身也无效

setfacl -m d:u:student:rwx  /westos  对于后面新建的全部

setfacl -R -m u:用户:权限 文件名   递归设定已经存在的全部文件，给他们添加ACL。

6.特殊权限
1.suid ##冒险位
只针对二进制可执行文件，
文件内记录的程序产生的进程的所有人为文件所有人
和进程发起人身份无关

SUID属性只能运用在可执行文件上，当用户执行该执行文件时，会临时拥有该执行文件所有者的权限。

如果可执行文件所有者权限的第三位是一个小写的“s”就表明该执行文件拥有SUID属性。

如果在浏览文件时，发现所有者权限的第三位是一个大写的“S”则表明该文件的SUID属性无效，比如将SUID属性给一个没有执行权限的文件。

设定方式：
chmod u+s file
suid=4

chmod 4xxx file

我们系统中/usr/sbin/useradd文件是二进制可执行文件，我们可以给此文件添加冒险位，设定方式为chmod 4777 /usr/sbin/useradd，查看文件添加冒险位成功，然后我们切换到一个普通用户去执行useradd这个命令，就会发现成功建立了用户。

2.sgid ##强制位
对文件：只针对二进制可执行文件，任何人运行二进制文件程序时程序产生的进程的所有组都是文件的所有组和程序发起人组的身份无关
对目录：当目录有sgid权限后，目录中新建的所有文件的所有组都自动归属到目录的所有组之中，和文件建立者所在的组无关

设定方式：
chmod g+s file|dir
sgid=2

chmod 2xxx file|dir

建立一个目录，给它加上强制位，然后去用普通用户登录，在目录底下新建文件，查看其所有组为目录的所有组root。

3.sticky ##粘制位
t权限： 
只针对与目录,当一个目录上有t权限，那么目录中的文件只能被文件的拥有者删除

设定方式：
chmod o+t direcotry
t=1

chmod 1777 direcotry

创建一个目录/tmp/westos，给它设置t权限后，切换到xixi用户，在它底下建立一个xixifile文件，然后退回root，再次切换到student用户，去删除这个xixifile的时候权限不够，退回root用户，再次切换到xixi，去删除xixifile文件，成功。