在 Unix 安全模型中,一个用户可能拥有文件和目录。当一个用户拥有一个文件或目录时, 用户对这个文件或目录的访问权限拥有控制权。
用户又属于一个由一个或多个 用户组成的用户组,用户组成员由文件和目录的所有者授予对文件和目录的访问权限。除了对一个用户组授予权限之外,文件所有者可能会给每个人一些权限,在 Unix 术语中,每个人 是指整个世界。
文件类型
对于文件和目录的访问权力是根据读访问,写访问,和执行访问来定义的。如果我们看一下 ls 命令的输出结果
[root@iZ28dr6w0qvZ test]# ls -l
总用量 72
-rw-r--r-- 1 root root 62199 3月 2 11:21 lsbin.txt
drwxr-xr-x 38 root root 4096 2月 29 16:11 Pics
-rw-r--r-- 1 root root 54 2月 29 14:22 text.txt
-rw-r--r-- 1 root root 0 3月 1 17:07 two words.txt
列表的前十个字符是文件的属性。这十个字符的第一个字符表明文件类型。
常用的文件类型(还有其它的,不常见类型):
属性
文件类型
-
一个普通文件
d
一个目录
l
一个符号链接。注意对于符号链接文件,剩余的文件属性总是"rwxrwxrwx",而且都是 虚拟值。真正的文件属性是指符号链接所指向的文件的属性。
c
一个字符设备文件。这种文件类型是指按照字节流,来处理数据的设备。 比如说终端机,或者调制解调器
b
一个块设备文件。这种文件类型是指按照数据块,来处理数据的设备,例如一个硬盘,或者 CD-ROM 盘。
剩下的九个字符,叫做文件模式,代表着文件所有者,文件组所有者,和其他人的读,写,执行权限。
常用的linux文件权限
444 r--r--r--
600 rw-------
644 rw-r--r--
666 rw-rw-rw-
700 rwx------
744 rwxr--r--
755 rwxr-xr-x
777 rwxrwxrwx
读取的权限等于4,用r表示;
写入的权限等于2,用w表示;
执行的权限等于1,用x表示;
通过4、2、1的组合,得到以下几种权限:
0(没有权限);4(读取权限);5(4+1 | 读取+执行);6(4+2 | 读取+写入);7(4+2+1 | 读取+写入+执行)
注意:安全权限的临界点:1.目录755,文件644是相对安全的权限;2.用户为root以及用户组为root
chmod 更改权限
通过八进制表示法,我们使用八进制数字来设置所期望的权限模式。因为每个八进制数字代表了 3个二进制数字,这种对应关系,正好映射到用来存储文件模式所使用的方案上。下表展示了 我们所要表达的意思:
Octal
Binary
File Mode
0
000
---
1
001
--x
2
010
-w-
3
011
-wx
4
100
r--
5
101
r-x
6
110
rw-
7
111
rwx
通过传递参数 “600”,我们能够设置文件所有者的权限为读写权限,而删除用户组和其他人的所有 权限。虽然八进制到二进制的映射看起来不方便,但通常只会用到一些常见的映射关系: 7 (rwx),6 (rw-),5 (r-x),4 (r--),和 0 (---)。
chmod 命令支持一种符号表示法,来指定文件模式。符号表示法分为三部分:更改会影响谁, 要执行哪个操作,要设置哪种权限。通过字符 “u”,“g”,“o”,和 “a” 的组合来指定 要影响的对象,
chmod 命令符号表示法
u+x
为文件所有者添加可执行权限。
u-x
删除文件所有者的可执行权限。
+x
为文件所有者,用户组,和其他所有人添加可执行权限。 等价于 a+x。
o-rw
除了文件所有者和用户组,删除其他人的读权限和写权限。
go=rw
给群组的主人和任意文件拥有者的人读写权限。如果群组的主人或全局之前已经有了执行的权限,他们将被移除。
u+x,go=rw
给文件拥有者执行权限并给组和其他人读和执行的权限。多种设定可以用逗号分开。
符号表示法的优点是, 允许你设置文件模式的单个组成部分的属性,而没有影响其他的部分。
chown - 更改文件所有者和用户组
通过传递参数 “600”,我们能够设置文件所有者的权限为读写权限,而删除用户组和其他人的所有 权限。
虽然八进制到二进制的映射看起来不方便,但通常只会用到一些常见的映射关系: 7 (rwx),6 (rw-),5 (r-x),4 (r--),和 0 (---)。
参数
结果
cqh
把文件所有者从当前属主更改为用户 cqh。
cqh:users
把文件所有者改为用户 cqh,文件用户组改为用户组 users。
:cqh
把文件用户组改为组cqh,文件所有者不变。
cqh:
文件所有者改为用户 cqh,文件用户组改为,用户 cqh 登录系统时,所属的用户组。
chattr和lsattr -文件或者目录的隐藏属性
chattr可以创建root都不能修改的文件,但是它并不适合所有的目录,不能保护/、/dev、/tmp、/var目录
lsattr可以显示chattr命令设置的文件属性
与chmod这个命令相比,chmod只是改变文件的读写、执行权限,更底层的属性控制是由chattr来改变的。
chattr命令的用法:chattr [ -RVf ] [ -v version ] [ mode ] files…
最关键的是在[mode]部分,[mode]部分是由+-=和[ASacDdIijsTtu]这些字符组合的,这部分是用来控制文件的
属性。
+ :在原有参数设定基础上,追加参数。
- :在原有参数设定基础上,移除参数。
= :更新为指定参数设定。
A:文件或目录的 atime (access time)不可被修改(modified), 可以有效预防例如手提电脑磁盘I/O错误的发生。
S:硬盘I/O同步选项,功能类似sync。
a:即append,设定该参数后,只能向文件中添加数据,而不能删除,多用于服务器日志文件安全,只有root才能设定这个属性。
c:即compresse,设定文件是否经压缩后再存储。读取时需要经过自动解压操作。
d:即no dump,设定文件不能成为dump程序的备份目标。
i:设定文件不能被删除、改名、设定链接关系,同时不能写入或新增内容。i参数对于文件 系统的安全设置有很大帮助。
j:即journal,设定此参数使得当通过mount参数:data=ordered 或者 data=writeback 挂 载的文件系统,文件在写入时会先被记录(在journal中)。如果filesystem被设定参数为 data=journal,则该参数自动失效。
s:保密性地删除文件或目录,即硬盘空间被全部收回。
u:与s相反,当设定为u时,数据内容其实还存在磁盘中,可以用于undeletion。
各参数选项中常用到的是a和i。a选项强制只可添加不可删除,多用于日志系统的安全设定。而i是更为严格的安全设定,只有superuser (root) 或具有CAP_LINUX_IMMUTABLE处理能力(标识)的进程能够施加该选项。
示例一:创建不可删除的文件
# 设置
root@ubuntu:/tmp/test# chattr +i chenqionghe.txt
root@ubuntu:/tmp/test# rm -f chenqionghe.txt
rm: cannot remove 'chenqionghe.txt': Operation not permitted
# 解除
root@ubuntu:/tmp/test# lsattr chenqionghe.txt
----i---------e--- chenqionghe.txt
# 使用lsattr查看设置的参数
root@ubuntu:/tmp/test# chattr -i chenqionghe.txt
root@ubuntu:/tmp/test# rm -f chenqionghe.txt
示例二:创建只可能追加数据不能删除的文件(不可使用vim,不可echo >,只能使用echo >>追加)
root@ubuntu:~# chattr +a chenqionghe.txt
root@ubuntu:~# rm chenqionghe.txt
rm: cannot remove 'chenqionghe.txt': Operation not permitted
root@ubuntu:~# echo 'aa' > chenqionghe.txt
-su: chenqionghe.txt: Operation not permitted
root@ubuntu:~# echo 'aa' >> chenqionghe.txt
807
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
