LINUX学习------1.5 Linux系统中的权限管理

1.5.1Linux权限查看及读取

1、权限查看

2权限读取

Linux 是个多用户多任务的系统 ， 对用户分为以下三大类：
                文件拥有者 (user)
                文件所属组 (group)
                其他人 (other)

        元数据（meta data）指用来描述一个文件的特征的系统数据，诸如访问权限、文件拥有者、以及文件数据块的分布信息等等，一种元数据用1个byte来记录内容。

 文件权限信息
 - | rw-r--r--| . |  1  | root | root | 0 | Apr 12 10：57| file
【1】  【2】   【3】 【4】  【5】  【6】 【7】     【8】       【9】

目录权限信息
 d | rw-r--r--| . |  1  | root | root | 0 | Apr 12 10：57| filedir
【1】  【2】   【3】 【4】  【5】  【6】 【7】     【8】       【9】

对于以上位置的解释

【1】	##文件类型
	[ - ]	##普通文件
	[ d ]	##目录
	[ l ]	##软连接
	[ b ]	##快设备
	[ c ]	##字符设备
	[ s ]	##socket套接字
	[ p ]	##管道“ | ”
【2】	##用户权限
	rw-  |  r--  |  r--  |
	user   group  other
【3】	##系统的SElinux开启
【4】	##对于文件：文件内容被系统记录的次数（硬链接个数）
	##对于目录：目录中子目录的个数
【5】	##文件拥有者
【6】	##文件拥有组
【7】	##对于文件：文件内容大小
	##对于目录:目录中子文件的元数据大小
【8】	##文件内容被修改的时间
【9】	##文件名称

1.5.2Linux普通权限的类型及作用

1、用户对文件的身份

u	##user 文件的拥有者，【5】第五列信息
g	##group 文件拥有组，【6】第六列信息
o	##other 既不是拥有者也不是拥有组成员的其他用户的通称

2、权限位

  rwx  |  r--  |  r--
  user   group   other

3、用户身份匹配排序

user>group>other（权限大小）

4、权限类型

-	##权限未开启
r	##可读
	对于文件，可以读取文件内容
	##对于目录，可以ls列出目录中的文件
w	##可写
	##对于文件，可以更改文件内容
	##对于目录，可以在目录中新建或者删除文件
r	##可执行
	##对于文件，可以用文件名称调用文件内记录的程序
	##对于目录，可以进入目录

1.5.2Linux设定普通权限的方法

chmod            ##设定文件权限

方法1、chmod 复制权限--
chmod --reference=/tmp /mnt/westos    ##复制/tmp目录权限到/mnt/westos上

chmod -R --reference=filedir2  filedir1    ##复制filedir1目录权限到filedir2上及目录中的子文件上 (-R 代表递归操作)

方法2、chmod 字符方式设定权限--
chmod <a|u|g|o><+|-|=><r|w|x>file    ##用字符方式设定文件权限

方法3、chmod 数字方式设定权限--
权限波尔表示方式（8421码）
rwx=111 7
---  =000

1.5.3Linux文件用户用户组管理

chown username file    ##更改文件拥有者

chgrp groupname file    ##更改文件拥有组

chown username：groupname file    ##更改文件用户者拥有组

 
chown|chgrp -R user|group dir    ##更改目录本身及目录中内容的拥有者或者拥有组

1.5.4Linux系统默认权限设定

        系统本身存在的意义共享资源，从安全角度讲系统共享的资源越少，开放的权力越小系统安全性越高，既要保证系统安全，又要系统创造价值，于是把应该开放的权力默认开放，不安全的权利默认保留

1、如何保留权力

umask        ##查看保留权力：表示系统保留权力

-临时更改-
umask 权限值    #临时设定系统预留权限
文件默认权限=777-umask-111
目录默认权限=777-umask

umask值越大系统安全性越高

-永久更改-
vim /etc/bashrc        ##shell系统配置文件
vim /etc/profile         ##系统环境配置文件
source /etc/bashrc    ##source作用时使我们更改的内容立即被系统识别（系统重新读取并运行相关配置文件）
souece /etc/profile

2、特殊权限

stickyid    ##粘制位 

针对目录：如果一个目录stickyid开启，那么这个目录中的文件只能被文件所有删除
    t    ##该标志位表示在目录中文件只能被文件所有人删除，其他成员不能使用删除操作
    chmod 1原始权限 dir
    chmod o+t dir
    chmod 1777 /pub
    chmod o+t /pub  以上两条命令都可以开启pub目录的t权限

sgid    ##强制位

针对目录：目录中新建的文件自动归属到目录的所属组中
    s    ##该标志位表示在此目录下建立的文件文件组与该目录文件组一致
    chmod 2原始权限 dir
    chmod g+s dir
    ej：只针对二进制可执行文件，当运行二进制可执行文件时都是用文件拥有组身份运行，和执行用户无关

suid    ##冒险位 

只针对二进制可执行文件，当运行二进制可执行文件时都是用文件拥有组身份运行，和执行用户无关
    chmod 4原始权限 file
    chmod u+s file

 3、权限列表

Aiccess Control Lists   

        访问控制列表，在列表中可以设定特殊用户对与特殊文件有特殊权限

acl列表开启标识
 d | rw-r--r--| . |  1  | root | root | 0 | Apr 12 10：57|westos
                ^ acl列表未开启
 d | rw-r--r--| + |  1  | root | root | 0 | Apr 12 10：57|westos
                ^ acl列表开启

getfacl filename                                    ##acl列表权限读取

!!!当文件列表权限开启，不要用ls -l的方式读取文件权限

acl列表的控制

setfacl -m u：lee：rw filename	##设定读写
setfacl -x u：lee filename	##删除列表中lee
setfacl -b filename	##关闭

acl权限优先级
拥有者>特殊制定者>权限多的组>权限少的组>其他
acl mask 控制,mask是能够赋予指定用户权限的最大阀值，当设定完毕文件的acl列表用chmod缩小文件权限mask会发生改变
setfacl -m m:权限 文件                    ##恢复

acl列表的默认权限
setfacl -m u:lee:rwx /mnt/fildir               ##只对于/mnt/fildir目录本身生效
setfacl -Rm u:lee:rwx /mnt/fildir            ##只对于/mnt/fildir目录和目录中已经存在的内容生效
（以上命令只针对已经存在的文件，新建文件是不会被设定）
setfacl -m d:u：lee:rwx /mnt/fildir         ##针对于/mnt/fildir目录中新建文件生效

4、attr权限

-attr权限限制所有用户-
i                                                             ##不能作任何修改
a                                                            ##能添加不能删除
lsattr dir|file                                          ##查看attr权限
chattr +i|+a|-i|-a dir|file                       ##设定attr权限