文件权限的查看
文件权限存在的意义
系统最底层安全设定方法之一
保证文件可以被指定的用户做出相对应操作
查看权限的命令
ls -l file|dir ----文件:查看文件本身的权限;目录:查看目录中所有文件的权限,不包括目录本身
ll file|dir ----同上
ls -ld file|dir ----查看文件或目录本身的权限
ll -d file|dir ----同上
文件权限的读取
- |rw-rw-r--| 1 |kiosk| |kiosk| |0| Oct 6 01:48 | file
[1] [2] [3] [4] [5] [6] [7] [8]
[1]文件的类型:
- ----空文件,空文本
d ----目录
l ----软链接
s ----socket套接字
b ----block块设备
c ----字符设备
[2]文件的权限:
| rw- | rw- | r-- |
[u] [g] [o]
[u]文件拥有者对文件的权限
[g]文件所有组对文件的权限
[o]其他人对文件的权限
[3]对文件:文件内容被记录的次数 对目录:目录中子目录的个数
[4]文件的所有人
[5]文件的所有组
[6] 对文件:文件大小 对目录:目录中子文件元数据大小
[7]文件的内容被修改的时间
[8]文件的名称
改变文件的所有人和所有组
chown username file|dir ----改变文件或目录的所有人
chown -R user.group dir ----改变目录中包括目录中文件的所有人
chgrp group file|dir ----改变文件或目录本身的所有组
chgrp -R group dir ---- 改变目录中包括目录中文件的所有组
文件权限的修改
对权限的理解
r:
对文件:是否可以查看文件中的内容 ---> cat file
对目录:是否可以查看目录中有什么子文件或者子目录 --->ls dir
w:
对文件:是否可以改变文件里面记录的字符
对目录:是否可以对目录中子目录或子文件的元数据进行更改
x:
对文件:是否可以通过文件名称调用文件内记录的程序
对目录:是否可以进入目录
权限的更改方式
chmod <u|g|o> <+|-|=> <r|w|x> file|dir
chmod u+x /mnt/file1 ----文件拥有者拥有运行权限
chmod ug-w /mnt/file2 ----文件拥有者和所在组用户不再拥有文件的写权限
chmod u-r,o+x /mnt/file3
chmod uo=rw /mnt/file4
此外 r w x可用数字表示 r=4 w=2 x=1 r-x|r--|--x 可表示为541 ,故我们在更改时,也可:
chmod 541 /mnt/file5 数字最大可为777 此时权限为 rwxrwxrwx
umask的修改
umask :系统建立文件默认保留的权力,新建的文件或目录的权限默认为umask值
临时修改umask值:
umask 077 ----临时设定系统预留权限为077
永久修改umask值(root):
vim /etc/profile ##打开系统配置文件
60 umask 002 ##第60行 普通用户的umask
61 else
62 umask 077 ##第62行 超级用户的umask
63 fi
source /etc/profile 让更改立即生效
或
vim /etc/bashrc ##打开shell配置文件
71 umask 002 ##普通用户的umask
72 else
73 umask 077 ##超级用户的umask
74 fi
source /etc/bashrc 让更改立即生效
特殊权限
(1)sticky ----粘滞位
作用:只针对目录生效,当一个目录上有sticky权限时,在这个目录中的文件只能被文件所有者删除
设定方式:chmod o+t dir
chmod 1xxx dir
(2)sgid ----强制位
作用:对文件:只针对二进制可执行文件,当文件上有sgid时任何人执行此文件产生的进程都属于文件的组
对目录:当目录上有sgid权限时,任何人在此目录中建立的文件都属于目录的所有组
设定方式:chmod g+s file|dir
chmod 2xxx file|dir
(3)suid ----冒险位
作用:只针对二进制可执行文件,当文件上有suid时任何人执行这个文件的程序都属于文件的所有人
设定方式:chmod u+s file
chmod 4xxx file
可一次加多个特殊权限,如sticky与sgid同时加上时 设定方式为: chmod 3xxx dir
权限列表
(1)作用:让特定的用户拥有特定的权限
(2)acl列表的查看:
getfacl file ----查看acl开启的文件的权限
# file: file ----文件名称
# owner: root ----文件拥有者
# group: root ----文件所有组
user::rwx ----文件拥有人的权限
user:kiosk:rwx ----指定用户权限
group::rwx ----文件拥有组的权力
mask::rwx ----能赋予用户的最大权力阀值
other::rwx ----其他人权限
(3)acl列表的管理
setfacl -m u:username:rwx file ----设定username对file拥有rwx权限
setfacl -m g:group:rwx file ----设定group组成员对file拥有rwx权限
setfacl -x u:username file ----从acl列表中删除
username setfacl -b file ----关闭file上的acl列表
(4)mask值:在权限列表中mask标示能生效的权力值
当用chmod减小开启acl的文件权限时mask值会发生改变
chmod g-w file
如果要恢复mask值:
setfacl -m m:rw file
(5)acl的默认权限设定
acl默认权限只针对目录设定
"acl权限只针对设定完成之后新建立的文件或目录生效,而已经存在的文件是不会继承默认权限"
setfacl -m d:u:student:rwx /xxx ----添加默认权限
setfacl -k /xxx ----删除默认权限
用户对容器有权限,对容器中的文件无权限时,用户强行修改文件会删除原文件并在新用户中新建文件。
