文件权限

1 文件权限存在的意义

系统最底层安全设定的方法之一
保证文件可以被可用的用户作相应的操作

2 文件权限的查看

ls -l file
ls -ld dir
ll file
ll -d dir

 

3 文件权限的读取

-|rw-rw-r-- 1 kiosk kiosk 0 Jul 21 09:18 file
[1]  [2]   [3][4]    [5] [6]     [7]      [8]

[1]
文件的类型
-    ##空文件，或者文本
d    #目录
l     ##软连接
s    ##socket套接字
#b    ##block块设备
c    ##字符设备l

[2]
文件的权限
rw-|rw-|r--
1  2    3
1.[u]文件拥有者对文件能做什么操作
2.[u]文件所有组对文件能进行什么操作
3.[o]其他人对文件能进行什么操作

[3]
对文件：文件硬链接个数（文件内容被记录的次数）
对目录：目录中子目录的个数

[4]
  文件的所有人

[5]
文件所有组
#
[6]
对文件：文件大小
对目录：目录中子文件元数据大小
[7]
文件被修改的时间

[8]
文件名

4 如何改变文件的所有人 组

chown|chgrp

chown       username     file|dir
chown       user.group   file|dir
chown  -R   user.group   dir

chgrp       group        file|dir
chgrp  -R   group        dir

 

5 如何改变文件的权限

1 对权限的理解
r
     对文件：是否可以查看文件中的内容   ---->cat file
     对目录：是否可以查看目录中有什么子文件或者子目录   ----ls dir
w
     对文件:是否可以改变文件里面记录的字符
     对目录：是否可以对对目录中子目录或子文件的元数据进行修改
x
     对文件：是否可以通过文件名称调用文件内记录的程序
     对目录:是否可以进入目录

2 更改方式
chmod <u|g|o><+|-|=><r|w|x>  file|dir

rwx
210
r=a
w=2
x=1

r-x|r--|--x
5   4   1

7=rwx
6=rw-
5=r-x
4=r--
3=-wx
2=-w-

1=--x
0=---

chmod 541 /mnt/file1

6.umsk

 

vim   /etc/profile                     ##系统配置文件

if [$UID -gt 199] && ["'id -gn"="id -un'"];  then

        umask 002      ##普通用户的umask

else

         umask  077    ##超级用户的umask

fi

 

vim   /etc/bashrc                     ##shell配置文件

if [$UID -gt 199] && ["'id -gn"="id -un'"];  then

        umask 002      ##普通用户的umask

else

         umask  077    ##超级用户的umask

fi

source   /etc/profile

source  /etc/bashrc

 

 

 

7 特殊权限

1.sticky  ##粘制位
作用：
     只针对目录生效，当一个目录上有sticky权限时
     在这个目录中的文件只能被文件的所有者删除
设定方式：
     chmod o+t dir
     chmod 1xxx dir

    
2.sgid  ##强制位
作用
   对文件：  只针对与二进制可执行文件
             当文件上有sgid时任何人执行此文件产成的进程都都属于文件的组
   对目录：  当目录上有sgid权限任何人在此目录中建立的文件都属于目录的所有组

chmod g+s

chmod 2xxx

 

3.suid  ##冒险位
   只针对与2进制可执行文件
   当文件上有suid时任何人执行这个文件中集的程序产生的进程属于文件的所有人

设定方式
     chmod u+s file
     chmod 4xxx file

 

8 setfacl

1
 让特定的用户对特定的文件拥有特定的权限
2
 -rw-rwxr--+ root root Jul 21 15 :45 file
           ^
          acl开启
 getfacl file          ##查看 acl 开启的文件的权限
# file:file            ##文件名称
# #owner:root          ##文件所有者
# #group:root          ##文件所有组
# user::rw-            ##文件拥有人的权限
# user::kiosk:rwx      ##指定用户的权限
# group::r--           ##文件拥有组的权限
# mask::rwx            ##能赋予用户的最大权力伐值
# other::r--           ##其他人的权限
#
3.acl列表的管理
 setfacl -m u:username:rwx file   ## 设定username对file拥有rwx权限
 setfacl -m g:group:rwx file     ##设定group组成员对 file拥有 rwx权限
 setfacl -x u:username file    ## 从acl列表中删除username
 setfacl -b file   ##关闭file上的acl列表

 

 

 

4.mask  值
在权限列表中mask标示能生效的权力值
当用户chmod减小开启acl的文件权限时mask值会发生改变

chmod g-w westos

 

如果要恢复mask值
setfacl -m m :rw westos

5.acl的默认权限设定
acl默认权限只针对目录设定
“acl权限只针对设定完成之后新建立的文件或目录生效，而已经存在的文件是不会继承默认权限“
#