尽管在Linux 系统中一切都是文件,但是每个文件的类型不尽相同,因此Linux 系统使用了不同的字符来加以区分,常见的字符如下所示。
-:普通文件。
d:目录文件。
l:链接文件。
b:块设备文件。
c:字符设备文件。
p:管道文件。
文件的基本权限
在Linux 系统中,每个文件都有所属的所有者和所有组,并且规定了文件的所有者、所有组以及其他人对文件所拥有的可读(r)、可写(w)、可执行(x)等权限。对于一般文件来说,权限比较容易理解:可读表示能够读取文件的实际内容;可写表示能够编辑、新增、修改、删除文件的实际内容;可执行则表示能够运行一个脚本程序。但是,对于目录文件来说,理解其权限设置来就不那么容易了。
对目录文件来说,可读表示能够读取目录内的文件列表;可写表示能够在目录内新增、删除、重命名文件;而可执行则表示能够进入该目录。
文件的读、写、执行权限可以简写为rwx,亦可分别用数字4、2、1 来表示,文件所有者,所属组及其他用户权限之间无关联,如下表所示:
| 权限分配 | 文件所有者 | 文件所属组 | 其他用户 | ||||||
|---|---|---|---|---|---|---|---|---|---|
| 权限项 | 读 | 写 | 执行 | 读 | 写 | 执行 | 读 | 写 | 执行 |
| 字符表示 | r | w | x | r | w | x | r | w | x |
| 数字表示 | 4 | 2 | 1 | 4 | 2 | 1 | 4 | 2 | 1 |
文件权限的数字法表示基于字符表示(rwx)的权限计算而来,其目的是简化权限的表示。例如,若某个文件的权限为7 则代表可读、可写、可执行(4+2+1);若权限为6 则代表可读、可写(4+2)。我们来看这样一个例子。现在有这样一个文件,其所有者拥有可读、可写、可执行的权限,其文件所属组拥有可读、可写的权限;而且其他人只有可读的权限。那么,这个文件的权限就是rwxrw-r–,数字法表示即为764。不过大家千万别再将这三个数字相加,计算出7+6+4=17 的结果,这是小学的数学加减法,不是Linux 系统的权限数字表示法,三者之间没有互通关系。
下面我们利用上文讲解的知识,一起分析下图中所示的文件信息:
在上图中,包含了文件的类型、访问权限、所有者(属主)、所属组(属组)、占用的磁盘大小、修改时间和文件名称等信息。通过分析可知,该文件的类型为普通文件,所有者权限为可读、可写(rw-),所属组权限为可读(r--),除此以外的其他人也只有可读权限(r--),文件的磁盘占用大小是34298 字节,最近一次的修改时间为4 月2 日的凌晨23 分,文件的名称为install.log。
chmod 命令
chmod 命令是一个非常实用的命令,能够用来设置文件或目录的权限,格式为chmod [参数] 权限 文件或目录名称。如果要把一个文件的权限设置成其所有者可读可写可执行、所属组可读可写、其他人没有任何权限,则相应的字符法表示为rwxrw----,其对应的数字法表示为760。通过前面的基础学习,现在大家可以感受到使用数字法来设置文件权限的便捷性了吧。
# -R:支持递归操作
[root@lynchj tmp]# chmod -R 760 users.txt
[root@lynchj tmp]# ll users.txt
-rwxrw----. 1 root root 33 May 16 16:42 users.txtchown 命令
除了设置文件或目录的权限外,还可以设置文件或目录的所有者和所属组,这里使用的命令为chown,其格式为chown [参数] 所有者:所属组 文件或目录名称。
chmod 和chown 命令是用于修改文件属性和权限的最常用命令,它们还有一个特别的共性,就是针对目录进行操作时需要加上大写参数-R 来表示递归操作,即对目录内所有的文件进行整体操作。
[root@lynchj tmp]# ll users.txt
-rwxrw----. 1 root root 33 May 16 16:42 users.txt
[root@lynchj tmp]# chown root:guoqingsong users.txt
[root@lynchj tmp]# ll users.txt
-rwxrw----. 1 root guoqingsong 33 May 16 16:42 users.txt文件的特殊权限
在复杂多变的生产环境中,单纯设置文件的rwx 权限无法满足我们对安全和灵活性的需求,因此便有了SUID、SGID 与SBIT 的特殊权限位。这是一种对文件权限进行设置的特殊功能,可以与一般权限同时使用,以弥补一般权限不能实现的功能。下面具体解释这3 个特殊权限位的功能以及用法。
SUID
SUID 是一种对二进制程序进行设置的特殊权限,可以让二进制程序的执行者临时拥有属主的权限(仅对拥有执行权限的二进制程序有效)。例如,所有用户都可以执行passwd 命令来修改自己的用户密码,而用户密码保存在/etc/shadow 文件中。仔细查看这个文件就会发现它的默认权限是000,也就是说除了root 管理员以外,所有用户都没有查看或编辑该文件的权限。但是,在使用passwd 命令时如果加上SUID 特殊权限位,就可让普通用户临时获得程序所有者的身份,把变更的密码信息写入到shadow 文件中。这很像我们在古装剧中见到的手持尚方宝剑的钦差大臣,他手持的尚方宝剑代表的是皇上的权威,因此可以惩戒贪官,但这并不意味着他永久成为了皇上。因此这只是一种有条件的、临时的特殊权限授权方法。
查看passwd 命令属性时发现所有者的权限由rwx 变成了rws,其中x 改变成s 就意味着该文件被赋予了SUID 权限。另外有读者会好奇,那么如果原本的权限是rw-呢?如果原先权限位上没有x 执行权限,那么被赋予特殊权限后将变成大写的 S。
[root@lynchj ~]# ls -l /etc/shadow
----------. 1 root root 1004 Jan 3 06:23 /etc/shadow
[root@lynchj ~]# ls -l /bin/passwd
-rwsr-xr-x. 1 root root 27832 Jan 29 2017 /bin/passwdSGID
SGID 主要实现如下两种功能:
1.让执行者临时拥有属组的权限(对拥有执行权限的二进制程序进行设置);
2.在某个目录中创建的文件自动继承该目录的用户组(只可以对目录进行设置)。
SGID 的第一种功能是参考SUID 而设计的,不同点在于执行程序的用户获取的不再是文件所有者的临时权限,而是获取到文件所属组的权限。举例来说,在早期的Linux 系统中,/dev/kmem 是一个字符设备文件,用于存储内核程序要访问的数据,权限为:
cr--r----- 1 root system 2, 1 Feb 11 2017 kmem 大家看出问题了吗?除了root 管理员或属于system 组成员外,所有用户都没有读取该文件的权限。由于在平时我们需要查看系统的进程状态,为了能够获取到进程的状态信息,可在用于查看系统进程状态的ps 命令文件上增加SGID 特殊权限位。查看ps 命令文件的属性信息:
-r-xr-sr-x 1 bin system 59346 Feb 11 2017 ps 这样一来,由于ps 命令被增加了SGID 特殊权限位,所以当用户执行该命令时,也就临时获取到了system 用户组的权限,从而可以顺利地读取设备文件了。
前文提到,每个文件都有其归属的所有者和所属组,当创建或传送一个文件后,这个文件就会自动归属于执行这个操作的用户(即该用户是文件的所有者)。如果现在需要在一个部门内设置共享目录,让部门内的所有人员都能够读取目录中的内容,那么就可以创建部门共享目录后,在该目录上设置SGID 特殊权限位。这样,部门内的任何人员在里面创建的任何文件都会归属于该目录的所属组,而不再是自己的基本用户组。此时,我们用到的就是SGID 的第二个功能,即在某个目录中创建的文件自动继承该目录的用户组(只可以对目录进行设置)。
[root@lynchj ~]# cd /tmp
[root@lynchj tmp]# mkdir testdir
[root@lynchj tmp]# ls -ald testdir/
drwxr-xr-x. 2 root root 6 Feb 11 11:50 testdir/
[root@lynchj tmp]# chmod -Rf 777 testdir/
[root@lynchj tmp]# chmod -Rf g+s testdir/
[root@lynchj tmp]# ls -ald testdir/
drwxrwsrwx. 2 root root 6 Feb 11 11:50 testdir/ 在使用上述命令设置好目录的777 权限(确保普通用户可以向其中写入文件),并为该目录设置了SGID 特殊权限位后,就可以切换至一个普通用户,然后尝试在该目录中创建文件,并查看新创建的文件是否会继承新创建的文件所在的目录的所属组名称:
[root@lynchj tmp]# su - guoqignsong
Last login: Wed Feb 11 11:49:16 CST 2017 on pts/0
[guoqignsong@lynchj ~]$ cd /tmp/testdir/
[guoqignsong@lynchj testdir]$ echo "guoqignsong.com" > test
[guoqignsong@lynchj testdir]$ ls -al test
-rw-rw-r--. 1 guoqignsong root 15 Feb 11 11:50 testSBIT
现在,大学里的很多老师都要求学生将作业上传到服务器的特定共享目录中,但总是有几个破坏分子喜欢删除其他同学的作业,这时就要设置SBIT(Sticky Bit)特殊权限位了(也可以称之为特殊权限位之粘滞位)。SBIT 特殊权限位可确保用户只能删除自己的文件,而不能删除其他用户的文件。换句话说,当对某个目录设置了SBIT 粘滞位权限后,那么该目录中的文件就只能被其所有者执行删除操作了。
RHEL 7 系统中的/tmp 作为一个共享文件的目录,默认已经设置了SBIT 特殊权限位,因此除非是该目录的所有者,否则无法删除这里面的文件。
与前面所讲的SUID 和SGID 权限显示方法不同,当目录被设置SBIT 特殊权限位后,文件的其他人权限部分的x 执行权限就会被替换成t 或者T,原本有x 执行权限则会写成t,原本没有x 执行权限则会被写成T。
[root@lynchj tmp]# su - guoqignsong
Last login: Wed Feb 11 12:41:20 CST 2017 on pts/0
[guoqignsong@lynchj tmp]$ ls -ald /tmp
drwxrwxrwt. 17 root root 4096 Feb 11 13:03 /tmp
[guoqignsong@lynchj ~]$ cd /tmp
[guoqignsong@lynchj tmp]$ ls -ald
drwxrwxrwt. 17 root root 4096 Feb 11 13:03 .
[guoqignsong@lynchj tmp]$ echo "Welcome to guoqignsong.com" > test
[guoqignsong@lynchj tmp]$ chmod 777 test
[guoqignsong@lynchj tmp]$ ls -al test
-rwxrwxrwx. 1 guoqignsong guoqignsong 10 Feb 11 12:59 test 其实,文件能否被删除并不取决于自身的权限,而是看其所在目录是否有写入权限。为了避免误会,所以上面的命令还是赋予了这个test文件最大的777 权限(rwxrwxrwx)。我们切换到另外一个普通用户,然后尝试删除这个其他人创建的文件就会发现,即便读、写、执行权限全开,但是由于SBIT 特殊权限位的缘故,依然无法删除该文件:
[root@lynchj tmp]# su - blackshield
Last login: Wed Feb 11 12:41:29 CST 2017 on pts/1
[blackshield@lynchj ~]$ cd /tmp
[blackshield@lynchj tmp]$ rm -f test
rm: cannot remove ‘test’: Operation not permitted 当然,要是也想对其他目录来设置SBIT 特殊权限位,用chmod 命令就可以了。对应的参数o+t 代表设置SBIT 粘滞位权限:
[blackshield@lynchj tmp]$ exit
Logout
[root@lynchj tmp]# cd ~
[root@lynchj ~]# mkdir linux
[root@lynchj ~]# chmod -R o+t linux/
[root@lynchj ~]# ls -ld linux/
drwxr-xr-t. 2 root root 6 Feb 11 19:34 linux/文件的隐藏属性
Linux 系统中的文件除了具备一般权限和特殊权限之外,还有一种隐藏权限,即被隐藏起来的权限,默认情况下不能直接被用户发觉。有用户曾经在生产环境和RHCE 考试题目中碰到过明明权限充足但却无法删除某个文件的情况,或者仅能在日志文件中追加内容而不能修改或删除内容,这在一定程度上阻止了黑客篡改系统日志的图谋,因此这种奇怪的文件也保障了Linux 系统的安全性。
chattr 命令
chattr 命令用于设置文件的隐藏权限,格式为chattr [参数] 文件。如果想要把某个隐藏功能添加到文件上,则需要在命令后面追加+参数,如果想要把某个隐藏功能移出文件,则需要追加-参数。chattr 命令中可供选择的隐藏权限参数非常丰富,具体如下表所示:
| 参数 | 作用 |
|---|---|
| i | 无法对文件进行修改;若对目录设置了该参数,则仅能修改其中的子文件内容而不能新建或删除文件 |
| a | 仅允许补充(追加)内容,无法覆盖/删除内容(Append Only) |
| S | 文件内容在变更后立即同步到硬盘(sync) |
| s | 彻底从硬盘中删除,不可恢复(用0 填充原文件所在硬盘区域) |
| A | 不再修改这个文件或目录的最后访问时间(atime) |
| b | 不再修改文件或目录的存取时间 |
| D | 检查压缩文件中的错误 |
| d | 使用dump 命令备份时忽略本文件/目录 |
| c | 默认将文件或目录进行压缩 |
| u | 当删除该文件后依然保留其在硬盘中的数据,方便日后恢复 |
| t | 让文件系统支持尾部合并(tail-merging) |
| X | 可以直接访问压缩文件中的内容 |
为了让读者能够更好地见识隐藏权限的效果,我们先来创建一个普通文件,然后立即尝试删除(这个操作肯定会成功):
[root@lynchj tmp]# echo "立即删除" > del.txt
[root@lynchj tmp]# rm del.txt
rm: remove regular file ‘del.txt’? y 实践是检验真理的唯一标准。如果您没有亲眼见证过隐藏权限强大功能的美妙,就一定不会相信原来Linux 系统会如此安全。接下来我们再次新建一个普通文件,并为其设置不允许删除与覆盖(+a 参数)权限,然后再尝试将这个文件删除:
[root@lynchj tmp]# echo "立即删除" > del.txt
[root@lynchj tmp]# chattr +a del.txt
[root@lynchj tmp]# rm del.txt
rm: remove regular file ‘del.txt’? y
rm: cannot remove ‘del.txt’: Operation not permitted可见,上述操作失败了。
lsattr 命令
lsattr 命令用于显示文件的隐藏权限,格式为lsattr [参数] 文件。在Linux 系统中,文件的隐藏权限必须使用lsattr 命令来查看,平时使用的ls 之类的命令则看不出端倪:
[root@lynchj tmp]# ll del.txt
-rw-r--r--. 1 root root 13 May 17 18:29 del.txt 一旦使用lsattr 命令后,文件上被赋予的隐藏权限马上就会原形毕露。此时可以按照显示的隐藏权限的类型(字母),使用chattr 命令将其去掉:
[root@lynchj tmp]# lsattr del.txt
-----a---------- del.txt
[root@lynchj tmp]# chattr -a del.txt
[root@lynchj tmp]# lsattr del.txt
---------------- del.txt
[root@lynchj tmp]# rm del.txt
rm: remove regular file ‘del.txt’? y文件访问控制列表
不知道大家是否发现,前文讲解的一般权限、特殊权限、隐藏权限其实有一个共性—权限是针对某一类用户设置的。如果希望对某个指定的用户进行单独的权限控制,就需要用到文件的访问控制列表(ACL)了。通俗来讲,基于普通文件或目录设置ACL 其实就是针对指定的用户或用户组设置文件或目录的操作权限。另外,如果针对某个目录设置了ACL,则目录中的文件会继承其ACL;若针对文件设置了ACL,则文件不再继承其所在目录的ACL。
为了更直观地看到ACL 对文件权限控制的强大效果,我们先切换到普通用户,然后尝试进入root 管理员的家目录中。在没有针对普通用户对root 管理员的家目录设置ACL之前,其执行结果如下所示:
[root@lynchj ~]# su - guoqignsong
Last login: Sat Mar 21 16:31:19 CST 2017 on pts/0
[guoqignsong@lynchj ~]$ cd /root
-bash: cd: /root: Permission denied
[guoqignsong@lynchj root]$ exitsetfacl 命令
setfacl 命令用于管理文件的ACL 规则,格式为setfacl [参数] 文件名称。文件的ACL提供的是在所有者、所属组、其他人的读/写/执行权限之外的特殊权限控制,使用setfacl 命令可以针对单一用户或用户组、单一文件或目录来进行读/写/执行权限的控制。其中,针对目录文件需要使用-R 递归参数;针对普通文件则使用-m 参数;如果想要删除某个文件的ACL,则可以使用-b 参数。下面来设置用户在/root 目录上的权限:
[root@lynchj ~]# setfacl -Rm u:guoqignsong:rwx /root
[root@lynchj ~]# su - guoqignsong
Last login: Sat Mar 21 15:45:03 CST 2017 on pts/1
[guoqignsong@lynchj ~]$ cd /root
[guoqignsong@lynchj root]$ ls
anaconda-ks.cfg Downloads Pictures Public
[guoqignsong@lynchj root]$ cat anaconda-ks.cfg
[guoqignsong@lynchj root]$ exit 是不是觉得效果很酷呢?但是现在有这样一个小问题—怎么去查看文件上有那些ACL呢?常用的ls 命令是看不到ACL 表信息的,但是却可以看到文件的权限最后一个点(.)变成了加号(+),这就意味着该文件已经设置了ACL 了。现在大家是不是感觉学得越多,越不敢说自己精通Linux 系统了吧?就这么一个不起眼的点(.),竟然还表示这么一种重要的权限。
[root@lynchj ~]# ls -ld /root
dr-xrwx---+ 14 root root 4096 May 4 2017 /rootgetfacl 命令
getfacl 命令用于显示文件上设置的ACL 信息,格式为getfacl 文件名称。Linux 系统中的命令就是这么又可爱又好记。想要设置ACL,用的是setfacl 命令;要想查看ACL,则用的是getfacl 命令。下面使用getfacl 命令显示在root 管理员家目录上设置的所有ACL 信息。
[root@lynchj ~]# getfacl /root
getfacl: Removing leading '/' from absolute path names
# file: root
# owner: root
# group: root
user::r-x
user:guoqignsong:rwx
group::r-x
mask::rwx
other::---参考资料:《Linux就该这么学》
3122
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
