文件权限2
一、系统默认权限的设定
设定意义:
从系统的存在角度开说,开放的权利越大,系统的存在意义就越高
从系统的安全角度来说,开放的权利越少,系统安全性越高
从系统设定新建文件或者目录会去掉一些权限
设定方式
umask
查看系统保留权限默认为022
umask 077
临时设定系统保留权限为077,只在shell中生效
永久性设定三步走:
1)vim /etc/bashrc
2) vim /etc/profile
3) 进行source,文件才能永久更改
source /etc/bashrc
source /etc/profile
修改后:
二、特殊权限
1.suid 冒险位
只针对与二进制可执行文件
当文件上有suid时,任何人执行这个文件产生的进程都属于文件所有人
操作如下:
监控进程
2.sgid 强制位
作用
对文件:只针对与二进制可执行文件
当文件上有sgid时任何人执行此
文件产生的进程都属于文件的组
对目录:当目录上有sgid时任何人在此目录中建立的文件都属于目录的组
设定方式
chmod g+s file|dir
chmod 2xxx file|dir
对于文件操作如下:
chmod g+s /bin/cat
对于目录:
3.stick 粘制位
作用
只针对目录有效,当一个目录上有sticky权限时,这个目录中的文件只能被文件所有者进行删除
设定方式:
chmod o+t dir
chmod 1xxx dir
操作如下
先建立目录,设置满权限
让zhou用户建立文件
设置特殊权限,让dan用户无法删除
数字方式设定效果如下:
分别建立两个文件,去对比字符设定和数字设定:
对于suid:
对于sgid:
对于stickyid:
三、文件访问控制
1.acl的定义与作用
acl=access control
让特定的用户对特定的文件拥有特定的权限
2.acl的列表查看
-rw-rwxr--+ 1 root root 0 jul 21 15:35 file
‘+’出现在acl开启后
3.acl列表的管理
getfacl file
##查看acl开启的文件的权限
setfacl -m u:username:rwx file
##设定username对file拥有rwx权限
setfacl -m g:group:rwx file
##设定group组成员对file拥有rwx权限
setfacl -R -m u:username:rwx /dir
##递归修改
使用监控命令,修改前为r–修改之后为
setfacl -x u:username:rwx file
##从列表中删除username
setfacl -b file
##关闭file上的acl列表
4.关于acl mask的值
在权限列表中mask标示能生效的权利值
当用chmod减小开启acl的文件权限时mask值会改变
chmod g-m westos
如果要恢复mask的值
5.acl的默认权限
acl默认权限只针对目录设定
acl权限只针对设定完成之后新建立的文件或者目录生效,而对已经存在的文件是不会继承默认权限的
setfacl -m d:u:student:rwx /dir/file
setfacl -k /dir/file