文件权限 2

文件权限2

一、系统默认权限的设定

设定意义：
从系统的存在角度开说，开放的权利越大，系统的存在意义就越高
从系统的安全角度来说，开放的权利越少，系统安全性越高
从系统设定新建文件或者目录会去掉一些权限

设定方式
umask 查看系统保留权限默认为022
umask 077 临时设定系统保留权限为077，只在shell中生效

永久性设定三步走：
1）vim /etc/bashrc

2) vim /etc/profile

3) 进行source,文件才能永久更改
source /etc/bashrc
source /etc/profile

修改后：

二、特殊权限

1.suid 冒险位
只针对与二进制可执行文件
当文件上有suid时，任何人执行这个文件产生的进程都属于文件所有人
操作如下：
监控进程



2.sgid 强制位
作用
对文件：只针对与二进制可执行文件
当文件上有sgid时任何人执行此
文件产生的进程都属于文件的组
对目录：当目录上有sgid时任何人在此目录中建立的文件都属于目录的组
设定方式

chmod g+s   file|dir
chmod 2xxx  file|dir

对于文件操作如下：

chmod g+s /bin/cat

对于目录：

3.stick 粘制位
作用
只针对目录有效，当一个目录上有sticky权限时，这个目录中的文件只能被文件所有者进行删除
设定方式：

chmod o+t   dir
chmod 1xxx dir

操作如下

先建立目录，设置满权限

让zhou用户建立文件

设置特殊权限，让dan用户无法删除



数字方式设定效果如下：
分别建立两个文件，去对比字符设定和数字设定：

对于suid：

对于sgid：

对于stickyid：

三、文件访问控制

1.acl的定义与作用
acl=access control
让特定的用户对特定的文件拥有特定的权限
2.acl的列表查看

-rw-rwxr--+ 1 root root 0 jul 21 15:35 file
‘+’出现在acl开启后

3.acl列表的管理

getfacl file ##查看acl开启的文件的权限

setfacl -m u:username:rwx file ##设定username对file拥有rwx权限

setfacl -m g:group:rwx file ##设定group组成员对file拥有rwx权限

setfacl -R -m u:username:rwx /dir ##递归修改

使用监控命令，修改前为r–修改之后为

setfacl -x u:username:rwx file ##从列表中删除username

setfacl -b file ##关闭file上的acl列表

4.关于acl mask的值
在权限列表中mask标示能生效的权利值

当用chmod减小开启acl的文件权限时mask值会改变
chmod g-m westos
如果要恢复mask的值

5.acl的默认权限
acl默认权限只针对目录设定
acl权限只针对设定完成之后新建立的文件或者目录生效，而对已经存在的文件是不会继承默认权限的

setfacl -m d:u：student：rwx  /dir/file

setfacl -k  /dir/file