文件权限

一.文件权限存在的意义
系统最底层安全设定的方法之一
保证文件可以被可用的用户做相应的操作

二.文件权限的查看
ls    -l     file   
ls    -ld   dir
ll      file
ll       -d   dir

三.文件属性的读取
ls    -l    filename
-|rw-r--r--| 1 | root | root| 2005 | Jul 19 07:06 | passwd
1   2        3    4      5     6           7          8
1.“-”
文件类型
-                ###空文件，或者文本
d               ###目录
l                 ###软链接
s                ###socket套结字 程序对外提供交互接口的文件
b                ###块设备
c                ###字符设备
p                ###管道

2."rw-|r--|r--":文件读写权限
   u   g   o
u：文件拥有着对文件能做的所有操作

g：文件所有组对文件能做的操作

0：其他人对文件能做什么操作

3."1"：

对文件：文件硬链接个数(文件内容被系统记录的次数)

对目录：目录中子目录的个数

4."root":

对文件：文件所有人

对目录：目录所有人

5."root":

对文件：文件所有组

对目录：目录所有组

6."2005":
对于文件：文件内容的大小
对于目录：目录中子文件元数据(matedate就是文件的属性)的大小
7."Jul 19 07:06":文件的内容被修改的时间

8."passwd":文件的名称

 

注：文件被系统记录了一次，所有人和所有组均为student，大小为0，最后一次修改时间为7-19-7：06

四.如何改变文件所有人和所有组
chown | chgrp
chown        username           file|dir          ##更改文件所有人
chown        user.group          file|dir          ##更改文件所有组
chown -R   user.group          dir               ##更改目录所有人和所有组
chgrp         group                   file|dir         ##更改文件所有组
chgrp   -R  group                    dir              ##更改目录及目录子文件所有组

五.如何改变文件的权限
1.对权限的理解
r 对文件：是否可以查看文件中的内容--cat file
  对目录：是否可以查看目录中有什么子文件或者子目录--ls dir
w 对文件：是否可以改变文件里记录的字符
  对目录：是否可以对目录中的子目录或者子文件的元数据进行更改
x 对文件：是否可以通过文件名称调用文件内记录的程序
  对目录：是否可以进入目录

2更改方式
chmod    <u|g|o><+|-><r|w|x>   file|dir
chmod    u+x  /mnt/file1           file1所有人加执行权限
chmod    g-r  /mnt/file2           file2所有组减读权限
chmod    ug-r /mnt/file3           file3所有人所有组减读权限
chmod    u-r,g-x  /mnt/file4       file4所有人减读权限，所有组减执行权限
chmod    -r       /mnt/file5       file5所有位减去读权限    w分开因为比较危险
chmod    o=r-x    /mnt/file6       file6所有人设定读和执行权限 

r w x
2 1 0=2^2+2^1+2^0=7
r-x|r--|--x
5    4    1
chmod   541 file
7=rwx,6=rw-,5=r-x,4=r--,3=-wx,2=-w-,1=--x,0=---

#练习
1.新建用户组，shengchan，caiwu，jishu

2.新建用户要求如下：
    1）tom 是shengchan组的附加用户
    2）harry 是caiwu组的附加用户
    3）leo 是jishu组的附加用户
    4）新建admin用户，此用户不属于以上提到的三个部门
3.新建目录要求如下：
   1）/pub目录为公共存储目录对所有用户可以读，写，执行
   2）/sc 目录为生产部存储目录只能对生产部人员可以写入
   3）/cw 目录为财务部存储目录只能对财务部人员可以写入中

六.umask
umask 系统建立文件是默认保留的权力
umask   077        ###临时设定系统预留权限077
永久更改umask
vim /etc/profile  ###系统配置文件
59 if [ $UID -gt 199 ] && [ "`id -gn`" = "`id -un`" ]; then
60   umask 002        ##普通用户
61 else
62     umask 077      ##超级用户
63 fi

vim /etc/bashrc    ###shell配置文件
70 if [ $UID -gt 199 ] && [ "`id -gn`" = "`id -un`" ]; then
71      umask 002
72  else
73      umask 077
74   fi
source /etc/profile  ###让更改立即生效
source /etc/bashrc

七.特殊权限
1.sticky     ##粘制位
作用: 只对目录生效，当一个目录有sticky权限时
     在这个目录中的文件只能被文件所有者删除
设定方式：
     chmod   0+t    dir
     chmod   1XXX    dir

2.sgid       ##强制位
作用：
    对文件：只针对于二进制可执行文件
           当文件上有sgid时任何人执行此文件产生的进程都属于文件的组
    对目录：
           当目录上有sigd权限时任何人在此目录中建立的文件都属于目录的所有组
设定方式：
     chmod   g+s    file|dir
     chmod   2XXX    file|dir

3.suid      ##冒险位
       之针对2进制可执行文件
       当文件上有suid时任何人执行这个文件中记的程序产生的进程都属于文件的所有人
设定方法
      chmod  u+s   file
      chmod  4xxx  file

八.acl权限列表
1.作用
      让特定用户对特定的文件拥有特定的权限
2.acl列表查看
      -rw-rwxr--+ 1 root root 12 Jul 24 03:30 file
         acl开启
          getfacl file   ##查看acl开启的权限
          # file: file    ##文件名称
    # owner: root   ##文件拥有人
    # group: root   ##文件拥有组
    user::rw-       ##文件拥有人的权限
    user:tom:rwx    ##文件指定用户的权限
    group::r--      ##文件拥有组的权力
    mask::rwx       ##能赋予用户的最大权力伐值
    other::r--      ##其他人的权力
3.acl列表的管理
setfacl  -m u:username :rwx file ##设定username对file拥有rwx权限
setfacl  -m g:group:rwx    file  ##设定组成员对file拥有rwx权限