linux文件系统权限控制文件访问

linux文件系统权限控制文件访问

文件详细信息：
dr-xr-x—. 16 root root 4096 Aug 26 09:47 root
文件类型 权限 硬链接次数 属主 属组 文件大小 文件的最后一次修改时间 文件名
权限：属主的权限u 属组的权限g 其他人的权限o a
读：r 4
写：w 2
执行：x 1
000 0 —
001 1 --x
010 2 -w-
011 3 -wx
100 4 r–
101 5 r-x
110 6 rw-
111 7 rwx
rwxr-xr-x:755
修改文件的属主和属组：
chown 属主：属组 文件名
chown 属主.属组 文件名
chgrp 属组 文件名
修改权限：
chmod 777 文件名
chmod u/g/o／ａ =/+/- r/w/x 文件名
一般权限：
对于普通文件：r----可读取此文件的实际内容（cat查看文件）；
w—可编辑该文件的内容（vim，echo），但并不具备删除该文件本身的权限（删除文件由文件的上层目录控制，跟文件本身的权限无关。）
x— 该文件具有可以被系统执行的权限，chmod
vim file
#!/bin/bash
echo ‘Hello Word!’
./file
对于目录文件：r—具有读目录结构列表的权限，可以查询该目录下的文件名数据（ls将该目录的内容列表显示出来）
w—空
x—用户能否进入该目录（cd），chmod
同时有w和x权限才可以创建、删除文件和目录

安全上下文指的是一类定义某个进程允许做什么的许可和权限的集合。
特殊权限：
suid：u+s，让进程不再属于它的发起者，而是属于程序文件本身。（suid只对二进制文件有效；调用者对该文件有执行权；在执行过程中，调用者会暂时获得该文件的所有者权限；该权限只在程序执行的过程中有效）
查找passwd的程序文件位置：which passwd
chmod u+s /usr/bin/passwd
查看进程信息：ps -ef
先找到查看命令的程序文件位置，which cat
sgid：g+s，对于普通文件，以组的权限执行,修改/usr/bin/touch的g+s，touch文件后文件所属组为root（作用于普通文件时，和suid类似）；对于目录文件，目录的属组是谁，在目录下创建的文件的属组是目录的属组。
练习题：创建共享目录/test，share组的用户对/test目录里的文件可读可写。
1、创建/test，修改属组为share
2、g+s 共享目录里面新创建的文件属组是share

sticky：o+t，不能够删除其他用户在同目录里创建的文件，可删除自己创建的文件
1.创建目录/test
2.添加三个用户
3.让每一个用户在目录里面写文件
4.用户3删除1和2用户的文件
5.目录 o+t
6.重复3、4步操作，验证是否能够删除其他用户在同目录里创建的文件
ACL（Access Control List，访问控制列表）可以对某个文件设置该文件具体的某些用户的权限，意思就是通过ACL可以对一个文件权限做扩展，可以不同的用户对某个文件有不同的权限。
获取文件的访问控制信息：getfacl 文件名
setfacl 设置文件的acl
修改文件的acl：setfacl -m u：用户名：权限 文件名/目录名
setfacl -m g:组名：权限 文件名
setfacl -b 文件名
setfacl -x g/u:组名/用户名 文件名

权限掩码：控制创建文件的权限
查看权限掩码：umask 0022
当前面第一位为2和4权限就叫强制位，1的权限就是冒险位，2代表GID，4代表的是uid
修改权限掩码：umask 022
普通文件的权限属性：666
目录文件的权限属性：777