######文件的权限######
1,文件权限存在的意义
系统最底层安全设定方法之一,保证文件可以被可用的用户做相应操作。
2.文件权限的查看
ls -l filename ##表示查看文件权限
ls -ld dirname ##显示目录权限
ll filename ##ll 列出来的结果详细,有时间,是否可读写等信息,相当于ls -l
ll -d dirname ##列出目录的详细信息
如:查看文件/etc/passwd的权限,和查看目录/etc的权限结果如下:
3.文件权限的读取
当使用ls时,我们会看到出现:
- |rw-r–r--| 1 | root | root | 2005 |Jul 10 2014| /etc/passwd
[1] [2] [3] [4] [5] [6] [7] [8]
[1]表示文件的类型。这里的-表示是空文件或者空文本。
[2]说明文件的权限。共三项,第一项指的是文件拥有者对文件拥有的权限;第二项指的是文件所有组对文件拥有的权限;第三项指的是其他人对文件拥有的权限。其中:r表示可读,w表示可写,x表示可执行操作。图中表示/etc/passwd里内容是对文件拥有者开放了读写权限,对组成员开放了只读权限,对其他人开放了只读权限。
[3]这个数字对文件来讲指的是‘文件硬链接个数,即文件内容被记录的个数’;对目录来说指的是目录中子目录的个数。图中表示的是/etc/passwd里有1个文件内容被记录。
[4]指的是文件的所有人,即属主,图里第一条命令的文件所有人是root
[5]文件的所有组,即属组。图中第一条命令指的是root是passwd的所有组。
[6]对文件:指的是文件大小。图中第一条命令的文件大小为2005.
对目录:表示原始目录属性大小,如果是空的那就是0。
[7]文件或目录的内容最后一次被修改的时间。2014年7月10日文件里的内容被修改(这里不是具体的时间的原因是太长时间未修改了,只给出了大致时间)。
[8]文件的名称。文件名是/etc目录下的passwd文件。
注意:文件属性不可改变,大小不可以改变,权限可以更改,时间戳可以更改,文件名可以更改
d ##目录
l ##软链接
s ##socket 套接字
b ##block 块设备
c ##字符设备
######如何改变文件的所有人和所有组######
chown|chgrp
[属主]
chown username file|dir ##表示改变文件或者目录的所属主为username用户。
chown user.group file|dir ##表示改变文件或者目录的所属主和所属组。
[属主] [ 属组]
注意:这里chown接的新的属主和新的属组之间应该以.或者:连接,属主和属组之一可以为空。 如果属主为空,应该为:属组,如果属组为空就不需要用.或者:了。
chown -R user.group dir ##表示递归,通过-R参数来改变某个目录下的所有文件到新的属主或属组。
补充:ls -lR 文件名## 表示递归查看文件内容,表示既可以看到外壳的内容,还可以看到壳里面的内容。如:
chgrp groupname file|dir ##表示改变文件或者目录的所属群组
chgrp -R groupname dir ##表示递归,表示改变指定目录及及其子目录下的所有文件的群组属性。
注:chgrp就是change group的缩写,要被改变的组名必须要在/etc/group文件内存在才行。
######如何改变文件的权限######
1.对此处权限的理解
r(读)
对于文件来说:表示是否可以查看文件中的内容,(可使用cat file进行检查)
对于目录来说:表示是否可以查看目录中有什么子文件或者子目录,(可以通过ls dir进行检查)
w(写)
对于文件来说:表示是否可以改变文件里面记录的字符。
对于目录来说:表示是否可以对目录中子目录或子文件的原数据进行更改。
x(执行)
对于文件来说:表示是否可以通过文件名称调用文件内记录的程序
对于目录来说:表示是否可以进入目录。
另外:就算其他人权限变成w可写模式,但此文件也不能进行删除操作,只有目录变成rwx才可以进行删除操作,x表示执行权限,表示是否能用这个容器,对于目录而言,表示目录是否具有进入此目录的权限,对于其他用户而言,表示可以调用文件内部记录的程序。
2.更改方式:(字符方式,数字方式,复制方式)
chmod <u|g|o><+|-|=><r|w|x> file|dir
chmod u+x /mnt/file1 ##设定为只有该文件拥有者(即用户)可以执行
chmod g-r /mnt/file2 ##取消组的读权限
chmod ug-r /mnt/file3 ##取消用户和组的读权限
chmod u-r,g+x /mnt/file4 ##取消用户的读权限,开启组的执行权限
chmod -r /mnt/file5 ##取消用户、组、其他人的读权限
chmod o=r-x /mnt/file6 ##开启其他人的读权限,关闭执行权限
操作如下图:(注:此处文件的路径必须是绝对路径)
3.umask
umask 系统建立文件时默认保留的权力
umask 077 ##临时设定系统预留权限为077
永久更改umask
vim /etc/profile ##系统配置文件
如:
if [ $UID -gt 199 ] && ["id -gn" = “id -un” ];then
umask 002 ##普通用户的umask
else
umask 077 ##超级用户的umask
fi
vim /etc/bashrc ##shell配置文件
if [ $UID -gt 199 ] && ["id -gn" = “id -un” ];then
umask 002
else
umask 077 ##超级用户的umask
fi
source /etc/profile ##让更改立即生效
source /etc/bashrc
如:临时设定系统预留权限为077
4.特殊权限
1)sticky ##粘制位
作用:只针对目录生效,当一个目录上有sticky权限时,在这个目录中的文件只能被文件的所有者删除。
设定方式:chmod o+t dir
chmod 1xxx dir
如:怎样可以使得本人建立的文件只能被本人删除呢?
可以看到使用chmod o+t /mnt/redhat 后,redhat的权限在其他人的权限最后多了个t,随后使用student用户删除redhat里的file1 时删除不了。
2)sgid ##强制位
作用:
对文件:只针对于二进制可执行文件,当文件上有sgid时任何人执行此文件产生的进程都属于文件的组。
对目录:当目录上有sgid权限时任何人再次目录中建立的文件都属于目录的所有组。
设定方式:
chmod g+s file|dir
chmod 2xxx file|dir
如:
可以看到使用chmod g+s /mnt/redhat 之后,redhat的权限又多了个s, 此时任何人建立在/mnt/liunx里的文件的组名都是root。
3)suid ##冒险位
只针对于2进制可执行文件,当文件上有suid时任何人执行这个文件中记得程序产正的进程都属于文件的所有人。
设定方式:
chmod u+s file
chmod 4xxx file
如下图:使用chmod u+s /mnt/westos3,可以看见westos的属主权限多了个S,即当文件上有suid时任何人执行这个文件中记的程序产生的进程都属于文件的所有人.
5.acl权限列表
1)作用
让特定的用户对特定的文件拥有特定权限
2)acl列表查看
-rw-rwxr–+ 1 root root 0 jul 21 15:45 file
acl开启
getfacl file ##查看acl开启的文件的权限
##file: file ##文件名称
##owner: root ##文件拥有者
##group: root ##文件拥有组
##user::rw- ##文件拥有人的权限
##user:kiosk:rwx ##指定用户的权限
##group::r-- ##文件拥有组的权力
##mask::rwx-- ##能赋予用户的最大权力伐值
##other::r-- ##其他人的权限
setfacl -m u:username:rwx file ##设定username对file拥有rwx权限
setfacl -m g:group:rwx file ##设定group组成员对file拥有rwx权限
setfacl -x u:username file ##从acl列表中删除username
setfacl -b file ##关闭file上的acl列表
