linux文件权限概述

一个文件有三种类型权限 分别为: r w x 分别为读写执行权限
有三种角色, 分别是所有者, 所属组, 其他人, 每个角色有各自的读写执行权限,

每种类型, 如读, 有两种可能性, 可读或者不可以读, 则最多有 2*2*2 八种可能性
用0-7 八个数可以表示八种可能性
如 7 = 2^2 + 2^1 + 2^0 则为 rwx
6 = 2^2 + 2^1 + 0 则为rw-

默认创建文件最大权限为666(rw-rw-rw-)
默认创建目录最大权限为777(rwxrwxrwx)

系统通过设置/etc/profile下的umask确定新创建文件或者目录的最高权限

umask = 0022
即 022 = ----w--w-
如新创建文件, 权限为 rw-rw-rw-  -  ----w--w-  = rw-r--r--

linux中文件和目录的rwx代表的意义不一样

文件

r读: cat tail  more  head 查看文件内容
w写: 编辑 vi  echo >> 
x执行:  ./文件

目录

r读: ls ll 查看目录下内容
w写: 对目录下的内容进行操作 , 如cp, rm, mv
x执行: cd . 能否进入到目录中

acl权限

创建目录: mkdir aaa

给lw设定文件acl权限rx

setfacl -m u:lw:rx aaa/

drwxrwx---+ 2 tony student 4096 12月 24 23:12 aaa

获取文件acl权限

getfacl aaa

# file: aaa
# owner: tony
# group: student
user::rwx
user:lw:r-x
group::rwx
mask::rwx
other::---

mask值是控制最大权限的 实际有效权限, 需要和mask权限相与 &
setfacl -m m:rx aaa

//递归实现acl权限
setfacl -m u:lw:rx -R apa
setfacl -m g:student:rx -R apa

// 设置目录的默认acl权限
setfacl -m d:u:lw:rw -R apa

sudu权限

sudo权限是对命令权限进行限制, 让普通用户以超级管理员的身份去执行某些命令

编辑sudo文件

visudo //实际修改/etc/sudoers文件

//用户
tony ALL=(ALL)  /sbin/ifconfig

//组
%student ALL=(ALL)  /sbin/ifconfig

//切换到tony 
su - tony

//查看sudo命令
sudo -l

//sudo 命令  表示以超级管理员的身份运行该条命令
sudo /sbin/ifconfig

特别注意

visudo
tom     ALL=/usr/bin/useradd
tom     ALL=/usr/bin/passwd
tom     ALL=/bin/vi
// 如果不显示tom的密码权限, tom可以通过执行
// sudo passwd  或者   sudo passwd root 来修改用户密码, 一定要小心

//应该这么写, 防止用户将超级管理员的密码更改, 服务器送给别人
tom     ALL=/usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd "", !/usr/bin/passwd root

// 

如果sudo vi 将会是以超级管理员的身份运行vi命令, 灾难性的后果

SetUID

给执行文件授予setUID权限, 在执行文件时, 默认会以文件所有者的权限执行

• 只有可以执行的二进制程序才能设定SUID权限
• 命令执行者要对该程序拥有x(执行)权限
• 命令执行者在执行该程序时获得该程序文件属主的身份(在执行程序的过程中, 灵魂附体为文件的属主)
• SetUID权限只在该程序执行过程中有效, 也就是说身份改变只有程序执行过程中有效

chmod 4755 /bin/vi
执行该条命令后, /bin/vi命令拥有SetUID权限
则其他用户在执行/bin/vi时, 会灵魂附体, 变身root, 非常危险 如 : /bin/vi shadaw

ll /usr/bin/passwd
-rwsr-xr-x. 1 root root 30768 2月  22 2012 /usr/bin/passwd

//增加SetUID权限
chmod u+s a.php

-rwSr--r--.  1 root root    17 12月 18 22:59 a.php

// 减掉
chmod u-s a.php

SetGID

给可执行文件赋予SetGID权限, 文件在执行时, 默认会以文件所属组的身份执行, 例如

locate 查找命令, 是有setGID权限
/usr/bin/locate权限为 rwx--s--x.

而/var/lib/mlocate/mlocate.db权限为-rw-r-----.
普通用户没有写权限,
当普通用户执行时locate命令时, 会以locate所属组slocate去执行,
而/var/lib/mlocate/mlocate.db所属组也是slocate, 对该文件有查看权限, 即可以执行locate命令

授予SetGID权限

chmod 2755 a.php

Sticky BIT

SBIT只对目录有效, 一般设置在777的目录上, 即普通用户对该目录拥有写入权限, 即可以删除该目录下其他人创建的文件, 赋予了BIT粘着位权限, 出root可以删除所有文件, 其他人只能删除自己在该目录创建的文件, 如tmp目录, 所有人都可以创建, 但自己删除自己创建的文件

drwxrwxrwt.   4 root root  4096 12月 26 21:49 tmp

实例

[root@localhost ~]# cd /home/uar/
[root@localhost uar]# mkdir test
[root@localhost uar]# ls
test

[root@localhost uar]# ll
drwxr-xr-x 2 root root 4096 12月 26 23:04 test

[root@localhost uar]# chmod 777 test
[root@localhost uar]# ll
drwxrwxrwx 2 root root 4096 12月 26 23:04 test

[root@localhost uar]# chmod 1777 test
[root@localhost uar]# ll
drwxrwxrwt 2 root root 4096 12月 26 23:04 test

[root@localhost uar]# cd test
[root@localhost test]# touch a.php
[root@localhost test]# ll
总用量 0
-rw-r--r-- 1 root root 0 12月 26 23:05 a.php

切换至uar, 去删除a.php, test为777

[tom@localhost ~]$ su - uar
密码：

[uar@localhost ~]$ ll
drwxrwxrwt 2 root root 4096 12月 26 23:05 test

[uar@localhost ~]$ cd test/
[uar@localhost test]$ ls
a.php
[uar@localhost test]$ rm -rf a.php
rm: 无法删除"a.php": 不允许的操作

chattr属性

选项 i:

• 如果对文件设置i属性, 那么不允许对文件进行删除, 改名, 也不能添加和修改数据
• 如果对目录设置i属性, 那么只能修改目录下文件的数据, 但不允许建立和删除文件

选项 a:

• 如果对文件设置a属性, 那么只能在文件中增加数据, 但是不能删除和修改数据; 使用echo aaa >> 文件
• 如果对目录设置a属性, 那么只允许在目录中建立和修改文件,不能删除

给文件设置chattr属性

    chattr +i a.php

移除chattr属性

    chattr -i a.php

查看chattr属性

    //查看文件
    lsattr -a a.php
    // 查看目录
    lsattr -d dir

[root@localhost test]# lsattr -a cls
----i--------e- cls
[root@localhost test]# lsattr -d dir
----i--------e- dir
[root@localhost test]# rm -rf dir
rm: 无法删除"dir": 不允许的操作