linux权限管理

文件基本权限

1.查看 ls -l
-rw-r--r-- 
- 常见文件类型(-文件 d目录 l软链接文件)

rw- u所有者  r--g所属组 r--o其他人
r 读   w 写   x 执行

2.修改 chmod

chmod [选项] 模式 文件名
  选项：-R 递归
  模式
    [ugoa][+-=][rwx]
    [mode=421]
例：chmod u+x test  所有者加上执行权限
    chmod g-w,o-w test 所属组和其他人去除写权限
    chmod chmod u=rwx test 所有者可读可写可执行
    chmod chmod u=rw test 所有人可读可写

权限数字表示
    r = 4 w = 2 x = 1
    rwxr-xr-x
    7 5 5
例：chmod 755 test    
常用权限：777 最高权限
          644 文件读写权限
          755 文件可执行权限

3.权限作用
    对文件作用
    r 读取文件内容 (cat more head tail)
    w 编辑 新增文件内容(但是不包含删除当前文件权限，需要对上级目录拥有w权限才可以删除下级文件)
    x 运行文件

    对目录作用
    r 可以查询目录下文件名 (ls)
    w 修改目录结构，如：新增和目录，删除此目录下文件和目录，重命名，复制，剪切
    x 可以进入目录 (cd)
    /*
      对文件来讲：最高权限是x权限
      对目录来讲：最高权限是w权限
    */

4.权限其他命令
    chown 用户名 文件名 改变文件或目录所有者
    例：chown user1 test
    例：chown user1:user1 test
    chgrp 组名 文件名 改变文件或目录所属组
    chgrp user1 test

5.文件默认权限
    umask 查看默认权限
    0022  
    第一位 文件特殊权限
    022 文件默认权限

    文件默认不能建立为执行文件，必须手动赋予权限
    所有文件默认权限最大为666
    默认权限需要换成字母再相减(不是数字直接相减)
    建立文件之后的默认权限为666-umask值

    目录默认最大权限为777
    默认权限需要换成字母再相减(不是数字直接相减)
    建立目录之后的默认权限为777-umask值

    临时修改umask 0002
    永久修改 vi/etc/profile

特殊权限

ACL权限(解决用户身份不够用的情况)
    dumpe2fs -h /dev/sda* 
    查询指定分区详细文件系统信息的命令

    临时开启
    mount -o remount,acl /

    永久开启acl defaults后面增加
    vi /etc/fstab UUID=*******... / ext4 defaults,acl
    mount -o remount / 重新挂载

    1.查看ACL权限
        getfacl 文件名

    2.设置ACL权限命令
        setfacl 选项 文件名
          选项：
            -m 设定acl权限
            -x 删除指定的acl权限
            -b 删除所有acl权限
            -d 设定默认acl权限
            -k 删除默认acl权限
            -R 递归设定acl权限

        例：setfacl -m u:user1:rx test
            getfacl test

    3.最大有效权限 mask
        ACL权限需要与mask进行与运算  
        setfacl -m m:rx test  设置最大有效权限

    4.删除ACL权限
        setfacl -x u:用户名 文件名
        setfacl -x g:组名 文件名

        setfacl -b 文件名 
        删除文件的全部ACL权限

    5.递归设定ACL权限 -R
      (x权限对目录与文件的作用是不一样的，注意递归时权限溢出问题)
        setfacl -m u:user:rx -R test/

    6.默认ACL权限(父目录设定默认权限，以后新建的子目录自动继承)   
        setfacl -d u:user:rx test/


sudo权限
    普通用户临时获取root权限
    visudo 命令设置sudo权限
        root       ALL=(ALL)  ALL
        用户  被管理主机的地址=(可使用的身份) 授权命令(绝对路径)
        %wheel     ALL=(ALL)  ALL
        组名  被管理主机的地址=(可使用的身份) 授权命令(绝对路径)

        例：user1 ALL=/sbin/shutdown -r now 授权普通用户可以任何主机上重启服务器
            user1 ALL=/usr/bin/passwd       授权修改用户密码(有风险，可直接修改root密码)
            user1 ALL=/usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd "", !/usr/bin/passwd root (需要过滤root)
            写的越详细越能限制权限大小

    sudo -l
    查看可执行命令
    例：sudo /sbin/shutdown -r now 普通用户使用,需要验证user1密码

文件特殊权限
    SetUid
        需要二进制可执行文件才设置SUID
        需要用户对该文件拥有x执行权限

        作用
        执行该文件时会临时将身份变成文件所有者
        例：ll /usr/bin/passwd  普通用户执行passwd命令 临时获得root权限 可修改密码
        (身份转换只在执行的过程中有效)

        设置
        chmod 4755 test
        chmod u+s test
            4代表SUID

        取消
        chmod 0755 test
        chmod u-s test

    SetGid
        除文件外还可对目录作用

        文件
        执行该文件时会临时将身份变成文件所属组
        例：ll /urs/bin/locate命令 普通用户执行时升级为slocate组身份，对/var/lib/mlocalte/mlocate.db用有读权限
        (身份转换只在执行的过程中有效)

        目录
        普通用户必须对目录拥有r和x权限,才能进入此目录
        任何用户在此目录下建立的文件所属组都属于设置用户的所属组

        设置
        chmod 2755 test
        chmod g+s test
            2代表SGID

    Sticky BIT 

        只对目录有作用
        普通用户对此目录拥有w和x权限

        作用
        限制777目录权限删除目录下不是自己的文件
        例：/tmp 目录 任何用户可查看,防止误删除,设置SBIT

        设置SBIT
        chmod 1777 test
        chmod o+t test
            1代表SBIT

        取消SBIT
        chmod 0777 test
        chmod o-t

不可改变位权限 chattr

    chattr [+-=] [选项] 文件或目录名
      + 增加权限
      - 删除权限
      = 等于某权限

      常用选项
        a 追加append
        i 插入insert

        i 文件 无法进行删除，增加，修改文件
          目录 不能新建删除文件，只能修改目录下文件的数据
        例：chattr +i test

        a 文件 只能增加数据，不能删除，不能修改(不能使用vi)
          目录 只能新建和修改文件，不能删除
        例：chattr +a test

    查看
    lsattr [选项] 文件名
        选项： 
           -a 显示所有文件和目录
           -d 若目标是目录，仅列出目录本身的属性，而不是子文件的