文件和目录权限 更改所有者和所属组 umask 隐藏权限

1，文件和目录权限。

    ①文件的所有者和所属组。

    一个linux文件或目录，都会有一个所有者和所属组，所有者是指文件的拥有者，所属组是指这个文件属于哪一个用户组。我们可以用学过的命令ls -l 来查看。第三列和第四列就是所有者和所属组。

②linux文件属性。

在上例中，用ls -l查看当前目录下的文件时，一共显示了9列内容。

第一列：包含该文件的类型，所有者，所属组以及其他用户对该文件的权限。其中第一位是表示文件类型，我们之前已经学过。d表示目录，-表示普通文件，l表示表示链接文件，b表示块设备，c表示串行端口设备文件，s表示套接字文件。

文件类型的后9位每3位为一组，均为rwx的这三个参数的组合，其中r表示可读，w表示可写，x表示可执行，如果没有该权限则用-表示。第一组为所有者的权限，第二组为所属组的权限，第三组为其他用户的权限。以上图中的2.txt的文件属性为例,-rw-r--r--表示该文件为普通文件，文件所有者可读写，文件所属组对文件只可读，其他用户对其只可读。

如果文件或目录使用了SELinux context的属性，最后一位还有一个点.，如果设置了acl的属性，则会变成一个加号+。

第二列：表示该文件占用的节点（inode），如果是目录，那么这个数值与该目录下的子目录数量有关。

第三列：表示文件的所有者。

第四列：表示文件的所属组。

第五列：表示文件的大小。

第六七八列：表示文件最后一次被修改的时间，依次为月份、日期、以及时间。

第九列：表示文件名。

2，改变文件或目录的权限。

为了方便更改文件的权限，linux使用数字代替rwx,具体规则为r=4,w=2,x=1,-=0。例如rwxrw-r--用数字表示就是764。

chmod(change mode的缩写)命令用于改变用户对文件或目录的读写执行权限。格式为：chmod [-R] xyz 文件名，这里的xyz表示数字，-R表示级联更改也就是目录以及目录下的子目录一起更改。

例如：将2.txt文件改为只有所有者可读可写可执行。

在linux中，一个目录的默认权限为755，一个文件的默认权限为644。755=rwxr-xr-x,644=rw-r--r--。在/tmp目录下新建一个/test1目录然后查看其权限，再新建一个test.txt的文本文档再查看其权限。

如果你创建一个文件的时候不想让别人看到，则只需可设置成740(rwxr-----)。

chmod还支持使用rwx的方式来设置权限。我们可以使用u,g,o来分别表示user，group，others的属性，用a代表all。

还可以针对u,g,o减少权限，使用u-rwx来执行。

3，改变所有者和所属组。

    chown命令可以更改文件的所有者，格式为chown [-R] 账户名 文件名 或者 chown [-R] 账户名：组名  文件名。-R的选项只适合目录，作用是级联更改。

使用cat /etc/passwd 查看系统里面的用户。

将/tmp/下的yum.log文件所有者改为wwan。

chgrp命令（change group）可以改变文件的所属组。格式：chgrp[组名][文件名]

chown还可以更改文件的所属组。将所有组和所属组之前用冒号：隔开。

-R选项。

4，umask命令。用于改变文件的默认权限。umask的默认值是0022，前面的0表示是八进制的可以省略。我们可以对umask值进行更改。

更改umask为0002后再创建一个文件和目录。我们可以看到它们的默认权限发生了变化。默认权限是文件644目录755,现在变成了文件664目录775.umask值更改后我们可以用9位的权限位去计算文件和目录的默认权限。

5,隐藏权限。

    ①chattr命令，用来设置权限。 格式：chattr [+-=][Asaci][文件或目录名]，其中，+-=分别表示增加减少和设定。各选项的含义：

A：文件或目录的 atime (access time)不可被修改(modified), 可以有效预防例如手提电脑磁盘I/O错误的发生。

S：硬盘I/O同步选项，功能类似sync。

a：即append，设定该参数后，只能向文件中添加数据，而不能删除，多用于服务器日志文件安全，只有root才能设定这个属性。

c：即compresse，设定文件是否经压缩后再存储。读取时需要经过自动解压操作。

d：即no dump，设定文件不能成为dump程序的备份目标。

i：设定文件不能被删除、改名、设定链接关系，同时不能写入或新增内容。i参数对于文件 系统的安全设置有很大帮助。

j：即journal，设定此参数使得当通过mount参数：data=ordered 或者 data=writeback 挂 载的文件系统，文件在写入时会先被记录(在journal中)。如果filesystem被设定参数为 data=journal，则该参数自动失效。

s：保密性地删除文件或目录，即硬盘空间被全部收回。

u：与s相反，当设定为u时，数据内容其实还存在磁盘中，可以用于undeletion。

各参数选项中常用到的是a和i。a选项强制只可添加不可删除，多用于日志系统的安全设定。而i是更为严格的安全设定，只有superuser (root) 或具有CAP_LINUX_IMMUTABLE处理能力（标识）的进程能够施加该选项。

给2.txt增加一个i权限。再用vi编辑会警告这个文件只可读。使用命令chattr -i移除这个权限。

②lsattr命令。读取文件或者目录的特殊权限。格式：lasttr [-aR][文件或目录名]。

-a：连同隐藏文件一起列出。

-R:连同子目录的数据一同列出。