linux init 文件权限,linux文件权限

一、简述

顾名思义，文件权限即是用户具有的对文件执行操作的范围和程度。在详解linux的文件权限之前，先来了解一下linux中一个常用的命令ls

二、ls命令及权限详解

ls主要用来显示目录列表及文件属性等信息

用法：ls [选项]... [文件]...

常用选项：

-a：显示目录中所有文件(包括以.开头的隐藏文件)

-l：长格式，显示文件的详细属性信息，ls -l相当于ll

-d：仅显示目录名，而不显示目录下的文件列表

-k：以KB(千字节)为单位显示文件大小

-i：显示文件的节点号(inode)

举例说明：

1、第一列代表该文件的类型与权限

a)第一个字符代表文件的类型

d：目录文件

-：普通文件

l：符号链接文件

c：字符设备(如键盘、鼠标)文件 ，如/dev/tty

b：块设备(如硬盘、光驱)文件 ，如/dev/sda1，块设备可随机访问，但字符设备不可以

s：套接字文件，如/var/run/acpid.socket

p：管道

b)接下来的字符中，以三个为一组，有三组，分别代表文件属主的权限、文件属组权限以及既不是属主又不属于群组的其它用户的权限。每组均为rwx三个参数的组合，r代表可读(read)，w代表可写(write)，x代表可执行(execute)

以drwxr-xr-x为例，表示该文件为目录文件，文件属主可读、可写、可执行，同群组的使用者可读、不可写、可执行，其它用户则也是可读、不可写、可执行

2、第二列代表有多少文件名连接到此节点(inode)

3、第三、四、五列分别代表文件属主和属组、文件大小(默认为字节)

4、第六列代表文件建立时间或最近修改时间

5、第七列即为文件名。注意，文件名以【.】号开头的为隐藏文件，需要指定-a选项显示

三、权限之于文件和目录的意义

1、权限之于文件的意义

r：可读取文件内容

w：可编辑、修改或新增文件内容

x：该文件具有被系统执行的权限

2、权限之于目录的意义

r：表示具有读取目录清单的权限

w：新建或删除已经存在的文件或目录

将已经存在的文件和目录更名

移动该目录内文件、目录位置

x：可进入该目录

四、用户访问文件时的权限匹配模型

1、检查运行此进程的属主是否与其正在访问的文件的属主相同

2、检查运行此进程的属主是否属于此文件的属组

3、以其它用户的身份访问

五、权限的修改

chmod命令用来修改文件或目录的权限

注意：只有文件的属主和root用户才能修改其权限

用法：chmod [OPTION]… MODE[,MODE]… FILE…

常用选项：

--reference=指定文件或目录：以指定的文件或目录的权限为参照设定文件的权限

-R：递归处理，连同目录内部所有文件和子目录一并修改

1、操作三类用户的权限，使用八进制来表示，如rwxr-xr-x可用755表示

例：chmod 640 file，chmod  5 file (相当于chmod 005file)

2、操作指定类别的权限

u：属主   g：属组   o：其它    a：all

例如：chmod u=rw  fatab  , chmod ug=rw fatab

3、操作指定类别使用者的指定权限位

如chmod g-w fatab

六、特殊文件权限

1、SUID

当s这个标志出现在文件属主的x权限位上时，如“-rwsr-xr-x.”，此时就被称为Set UID，简称为SUID。几点说明：

1)SUID权限仅对二进制程序有效

2)执行者对于该程序需要具有x的可执行权限

3)本权限仅在执行该程序的过程中有效(run-time)

4)执行者将具有该程序属主的权限

以passwd为例，我们知道，要修改密码，需要将密码以加密的方式写入/etc/shadow文件中，该文件的权限为----------，普通用户没有任何权限，但是所有的权限设置对于管理员root都是无效的。/usr/bin/passwd的权限为-rwsr-xr-x，当用户运行此命令为一个进程时，此进程的有效身份不再是发起者，而是文件的属主，也即root用户，而root用户对/etc/shadow是可写的，这就是为何普通用户也能修改密码的原因

设置方法：chmod u+s FILE...

添加SUID后使用ls -l查看时，s字符可能显示为大写或小写两种形式之一，属主原本具有执行权限时，显示为小写，否则为大写

2、SGID

类似于SUID，只是SGID是获得该文件属组的权限。

主要用于目录，如果使用者对该目录具有写权限，将目录的属组设置SGID之后，使用者在此目录中创建的文件属组不再是使用者的基本组，而是目录的属组

对二进制程序也有效，执行者需要具备x的可执行权限

设置方法：chmod g+s FILE...

3、Sticky(SBIT)

是针对other设置的，仅对目录有效，作用是：当用户在此目录中创建文件或目录时，只有自己和root用户能够删除

设置方法：chmod o+t FILE...

七、facl(文件访问控制列表)

facl能够让普通用户透过文件的扩展属性，为其添加额外的用户访问授权机制，排名而无需改变其属主、属组，也不用更改other的权限。

1、getfacl命令用来获取文件访问控制列表

用法：getfacl [option]... FILE...

2、setfacl命令用来设定文件访问控制列表

用法：setfacl [option]... 目标:MODE  FILE...

常用选项：

-m：更改文件的访问控制列表

-x：取消文件访问控制列表条目

-R：递归处理

例：setfacl -m u:docker:rw- a.os   使用户docker对a.os具有读写权限

3、启用facl之后权限的应用模型：

属主—用户级别的facl—属组—组级别的facl—其它

八、umask

umask命令用来设置新文件权限的掩码，从而控制新建文件的默认权限。

新建文件的默认权限为666-umask，新建文件默认没有可执行权限；新建目录的默认权限为777-umask。

umask值实际有4位数字，后三位为属主、属组、其它用户的权限，第一位是特殊权限位，其对应的数字为：SUID-4，SGID-2，SBIT-1。第一位用得不多，现只取后三位说明。

root用户umask的默认值为022(普通用户为002)，可通过umask命令查看并修改

用法：umask [option]... [新的权限值(以八进制表示)]

默认权限的计算示例：

1)若umask值为022，则文件权限起始值为666-022=644(rw-r--r--)，目录权限起始值为777-022=755(rwx-r-wr-w)

2)若umask值为045，666-045=621(rw--w---x)，由于通常要求新建文件默认不具有可执行权限，由此在对应的x位上加1，新建文件默认权限为622