linux系统权限大全
一、 文件的归属:
文件所有者(owner)、用户组(group)、其它人(others)二、查看 linux文件权限以及归属
ls 命令 ls -al 查看文件详细权限和属性权限 r w x
三、设置文件目录的权限
1、 修改权限的命令
有 chmod chown chgrp
四、默认权限
1 、查看默认权限 umask umask -s
2 、更改默认权限 umask xxx 直接接数字
五、文件或目录的隐藏属性
1、 设置文件的隐藏属性:
chattr [-R] [+-=] [a、i] file
-R 递归更改目录的隐藏属性
a 增加这个参数后,可以追加的方式增加数据,不能修改数据,
i 不能修改删除增加数据,相当于写保护
2、显示文件的隐藏属性:
lsattr [-Rda] file
-R 将子目录的属性也显示出来
-d 接的是目录那就只显示目录
-a 将隐藏文件的属性也显示出来
六、文件的特殊权限
1、 SetUID--- 前提必须是 二进制可执行文件,执行者对这个文件具有二进制可执行权限,执行者将暂时
具有该文件所有者的权限,相当于执行者对此文件有root用户的权限,使得任意使用者在执行该 文件时,都绑 定了文件拥有者的权限。 全能的root用户当然可以任意setUid和setGid,普通用户只能给属于自己的文件配置 setUid或setGid
2、 SetGID---前提必须是二进制可执行文件,执行者对这个文件具有二进制可执行权限,执行者将暂时
具有该文件用户组的权限,使得任意使用者在执行该文件时,都绑定了文件所有组的权限
3、 Sticky bit----粘滞位权限, 主要针对目录生效,当目录sticky位被设置以后,只有root或者文件属主
才能删除或 移动它
setuid,setgid,sticky的八进制位分别是4, 2, 1,助记法表示为u+s,g+s,o+t,(删除标记位是u-s,g-s,o-t)
SetUID的设置:
chmod u+s test.sh 或者 chmod 4755 test.sh #增加setuid权限
chmod u-s test.sh 或者 chmod 755 test.sh #删除setuid权限,目录需用 u-s
拥有setuid权限的二进制可执行文件背景色为 红色
SetGID的设置:
chmod g+s test.sh 或者 chmod 2755 test.sh
chmod g-s test.sh 或者 chmod 755 test.sh
拥有setgid权限的二进制可执行文件背景色为 ×××
同时设置setuid和setgid,就是把setuid和setgid两个八进位的值相加 (4000+2000=6000),即 6755
chmod 6755 test.sh 或者 chmod u+s,g+s test.sh #同时增加setuid和setgid权限
chmod 755 test.sh 或者 chmod u-s,g-s test.sh #同时删除setuid和setgid权限,目录需用后者
文件的属主和属组位的执行权限都为s
如果文件所归属的属主没有执行权限,则这个权限显示为 大S, setgid同理
setuid实例:
普通用户之所以可以修改自己的密码是因为passwd命令设置了setuid权限:
#su命令也一样。
让普通用户可以删除root目录下的文件(非常危险,只做测试)
chmod u+s /bin/rm #给rm这个命令加上setuid权限即可。
Sticky bit粘滞位权限设置:
chmod o+t stdir/ 或者 chmod 1755 stdir/ #增加 Sticky bit权限
chmod o-t stdir/ 或者 chmod 755 stdir/ #删除 Sticky bit权限
具有 Sticky bit权限的目录颜色为蓝色,其它者位的执行权限x则为 t
实例:在Linux下,/tmp是一个存放临时文件的目录,要求是对所有用户可写,
但每个用户都只能删除自己拥有的文件。这种情况下,就可以把目录加一个粘滞位。
rwt===可以进入该目录,可以列出该目录中的文件,可以在该目录中增加文件,但不能删除
其他用户的文件,自己的文件可以删除。
七、ACL
((Access Control List 访问控制列表)在linux系统中,我们将访问文件的用户分为三类,user,group,other。如果系统中某个用户想对某个文件有写入的权限,但是该用户是属于other,如果是这样,就只能够开放other的权限。但是一旦开放other的权限,那么所有人就对该文件有写入的权限了。文件的ACL权限就很好的解决了这个问题,它可以设置一个特定文件的特定权限给一个用户或者组
ACL的分类:
存取型 : 可以用于文件和目录
预设型 : 只用于目录,其子目录都继承主目录的ACL权限,
ACL的设置命令:
setfacl 选项 规则 file
选项:
-m 增加或修改ACL中的规则
-d 设置默认的ACL设置信息(只对目录有效)
-x 移除一个扩展的ACL设置信息
-b 删除所有的扩展的ACL设置信息
规则:
u:用户名或用户ID:权限 给一个用户设置权限
g:用户组或组ID:权限 给一个用户组设置权限
other::权限 指定其他所有者的权限
mask::权限 设定有效的权限屏蔽
getfacl 选项 file
选项:
-e 查看文件的mask有效权限
存储型 ACL权限设置:
设置规范:
setfacl -m u:用户名或用户ID:权限 给一个用户设置权限
setfacl -m g:用户组或组ID:权限 给一个用户组设置权限
设置实例:
setfacl -m u:feng:rwx ting/ #设置允许用户feng对ting这个目录有rwx权限
setfacl -m g:feng:rwx ting/ #设置允许用户组feng对ting这个目录有rwx权限
setfacl -x u:feng ting/ #删除用户feng对ting这个目录的rwx权限
注意:权限书写必须是rwx 不能是数字,不然报错无效的操作.
设置了ACL的目录或文件,在属性的最后一位会出现一个 “+”号,如下图:
预设型ACL权限设置:
设置规范:
setfacl -d -m [ug]:列表:[rwx] 目录 (注意:-d参数必须放在最前面。)
setfacl -d --set [ug]:列表:[rwx] 目录 (注意:-d参数必须放在最前面。)
setfac l -m d:[ug]:列表:[rwx] 目录
设置实例:
setfacl -d -m u:feng:rwx acldir/
setfacl -d --set u:feng:rwx acldir/
setfacl -m d:u:feng:rwx acldir/
setfacl -m d:g:feng:rwx acldir/ #设置用户组feng对acldir目录有读写权限
setfacl -b acldir/ #删除所有关于acldir目录下的扩展权限。
getfacl -e acldir/ #查看权限
注意:设置了 预设型ACL权限的目录,设定权限之前的文件不会继承 acl权限,只有设定之后
再创建的文件才会继承acl权限。
针对有效权限mask的设定
这是一个权限掩码。用来控制你所设置的扩展ACL权限。你所设置的权限必须存于mask规定的范围内才会生效,也就是所谓的“有效权限(effective permission),设定的最终权限由mask控制,你所设置的权限必须在mask内,否则相对mask多出来的权限也是无效的,可以用 getfacl -e 命令查看有效权限:
注意:若用户帐号不填的时候就默认为文件的 所有者。用户组不填时就默认为文件的所属用户组
注意:如果setfacl命令不指定操作用户,那么就是对默认属主用户权限的操作(例如acl_test/目录,owner:root,group:root),这时候的setfacl命令功能上和传统的chmod相同。例如setfacl u::rwx,g::rwx,o::rwx acl_test/ 等价于chmod 777 acl_test/ 。就是把缺省设置信息全部设置为rwx的权限了。
转载于:https://blog.51cto.com/lzp5896/1949776