温故Linux 操作系统02：文件的权限与其更改

1.文件属性

1.1文件属性的查看

要想查看文件的属性（其中包含有文件的权限）很简单，只需在命令行模式中敲入以下命令：

ls -l filename

查看目录的属性也是类似，但是敲入的参数有些改变：

ls -ld dirname

那么查看文件属性的时候就会返回如下值：

-|rw-r--r--.|1| root| root|   53 |Jan  1 11:11 |filename
— —————————  —  ————  ————    ——  ————————————  ———————— 
1    2	     3    4      5      6      7             8

注：当想要查看目录下的文件以及目录下子目录里文件的属性可用如下命令：

ls -lR dirname

1.2文件属性各部分含义

在以上我们看到了文件属性，那么各部分都代表什么意思呢？

编号	属性含义
1	文件类型
2	文件读写权限
3	对文件：文件内容被系统记录的次数 对目录：目录中文件属性的字节数
4	文件所有人
5	文件所有组
6	文件内容的大小
7	文件最后一次被修改的时间
8	文件名字

在编号1处，文件类型不同，显示内容不同

文件类型	"-"的值
普通文件	-
目录	d
字符设备	c
套接字	s
管道	p
快设备	b
连接	l

在编号2中，代表文件的读写权限
这里一共有9个字符，每三个一组，一共三组，依次代表所有人、所有组和其他人的权限

rw-|r--|r--
 *   $   @

*所有人的权限
$所有组的权限
@其他人的权限

2.文件所有人所有组的管理

Linxu 是个多用户多任务的系统，常常会有多人同时使用同一主机来进行工作，为了考虑每个人的隐私权以及每个人喜好的工作环境，对用户进行分类：

1. 文件所有人（user）
2. 文件所有组（group）
3. 其他人（other）

权限优先级：

userperm > acluser > aclgroup > groupperm > otherperm

2.1更改所有人/所有组

chown	 username				file|dir	##更改文件/目录的所有人
chgrp    groupname				file|dir	##更改文件/目录的所有组
chown	 username.groupname		file|dir	##同时更改文件/目录的所有人所有组
chown -R username				dir			##更改目录本身及里面所有内容的所有人
chgrp -R groupname				dir			##更改目录本身及里面所有内容的所有组

2.2修改文件权限

在对文件权限修改之前，我们应该先了解在上文说到的文件读写权限里各字符的含义

字符	含义
r	读 对文件：可以查看文件中的字符 对目录：可以查看目录中文件的信息
w	写 对文件：可以更改文件内字符 对目录：可以在目录中添加删除文件
x	执行 对文件：可以运行文件内记录的程序动作 对目录：可以进入目录中

文件权限的修改有两种方法
第一种为通过字符修改：

chmod [-R] <u|g|o><+|-|=><r|w|x> file|dir	
例如：
chmod u-x 		file1		##file1拥有者去掉x权限
chmod g+w 		file1		##file1拥有组添加w权限
chmod u-x,g+w 	file1		##file1拥有者去掉x权，file1拥有组添加w权限
chmod ugo-r 	file2		##file2的用户组其他人去掉r权限
chmod ug+x,o-r  file3		##file3用户和组添加x权限，其他人去掉r权限

第二种为通过数字方式修改
在Linux中
r=4
w=2
x=1
例如：

rw-|r--|r--
 u   g   o
u=rw-=4+2+0=6
g=r--=4+0+0=4
o=r--=4+0+0=4
所以文件权限表示为644

注：		7=rwx
		6=rw-
		5=r-x
		4=r--
		3=-wx
		2=-w-
		1=--x
		0=---

所以第二种修改权限的方法为：

chmod	修改后权限值	file
例如：
chmod	777			file		##修改所有人、所有组和其他人对文件的权限均为rwx，即为读、写、执行

3.系统默认权限的设定

从系统存在角度来说，开放权力越大，系统存在意义越高
从系统安全角度来说，开放权力越少，系统安全性越高
所以系统设定新建文件或目录会去掉一些权限，当你创建一个新的文件或目录时，该文件或目录有默认权限

3.1默认权限的设定方式

系统在设定默认权限的时候会有一个默认的umask值，umask的分数指的是该默认值需要减掉的权限，在默认权限的属性上，目录与文件是不一样的，文件的最大权限为666，目录的最大文权限为777
例如，当umask=022的时候，文件默认权限为666-022=644，即rw-r–r--

3.2umask值的查看与修改

umask			##查看当前umask
umask 011		##暂时修改当前umask为011

当用户想永久修改umask的值的时候，umask的修改方式如下：

vim /etc/bashrc		##修改shell配置文件

 70     if [ $UID -gt 199 ] && [ "`id -gn`" = "`id -un`" ]; then
 71        umask 002	##普通用户umask
 72     else
 73        umask 077    ##超级用户umask                                                                      
 74     fi

vim /etc/profile	##修改系统配置文件

 59 if [ $UID -gt 199 ] && [ "`id -gn`" = "`id -un`" ]; then
 60     umask 002	##普通用户umask
 61 else
 62     umask 077       ##超级用户umask                                                                                         
 63 fi

注：在配置文件中寻找umask的值的时候可以通过“/umask”的方法快速定位模块位置

当配置文件修改完毕后一定要重新读取两个配置文件后，才能生效，操作如下：

source /etc/bashrc
source /etc/profile

4.文件的访问控制（acl列表）

让特定的用户对特定的文件拥有特定权限

传统的权限仅有三种身份（u,g,o）搭配三种权限（r,w,x），并没有办法单纯的针对某一个使用者或某一个群组来设置特定的权限需求，此时就得要使用acl（文件访问控制列表，Access Control List）这个机制

4.1如何查看文件是否有acl权限？

在执行ls -l命令之后会返回文件属性，当第11位为“.”则代表文件没有acl权限，“+”则代表有acl权限
如：

-rw-r--r--. 1 root root   53 Jan  1 11:11 filename		##无acl权限
-rw-r--r--+ 1 root root   53 Jan  1 11:11 filename		##有acl权限

4.2查看解释

getfacl file		##查看acl开启的文件的权限
返回如下：
# file: filename/	##文件名称
# owner: root		##文件所有人
# group: root		##文件所有组
user::rwx			##拥有者权限
user:student:rwx	##特殊用户权限
group::---			##组权限
mask::rwx			##权限掩码
other::---			##其他人权限

4.3设置acl权限

setfacl -m <u|g>:<username|groupname>:权限	文件/目录
例如：
setfacl -m u：username：rwx file/dirname			##设定username对file拥有rwx权限
setfacl -m g：group：rwx file/dirname			##设定group组成员对file拥有rwx权限
其他的一些操作：
setfacl -x u：username file/dirname				##从acl列表中删除username
setfacl -b file/dirname							##关闭 file上的acl列表

4.4acl mask值

在4.2节中我们可以查看到文件的权限掩码即mask值，mask是用来标实能够赋予用户最大权限

chmod g-w filename				#在权限列表中mask表示能生效的权力值
								当chmod减小开启acl的文件权限时mask值会发生改变

当用chmod改变文件普通权限时可能会被破坏,可以用以下命令修复
setfacl -m m:rw filename		#恢复mask的值

4.5 acl默认权限

当我们需求某个目录对于xiaohong可写，并且目录中新建的子目录对xiaohong也可写
就要设定默认默认权限

setfacl -R -m u：xiaohong：rwx /xiaoming		##加上R表示用户对指定目录和目录中已存在的文件可执行rwx
setfacl -m d:u:xiaohong:rwx /xiaoming		##指定xiaohong对xiaoming这个目录的权限rwx，
											对新建的文件的权限也是rwx，d表示默认
setfacl -k /mnt/xiaoming					##删除default权限

5.特殊权限

5.1.粘制位 sticky

o+t权限：
只针对于目录,当一个目录上有t权限，那么目录中的文件只能被文件的拥有者删除

设定方式：

chmod o+t direcotry
t=1
或者chmod	1777 direcotry

以下测试为先查看当前目录下文件，可看到file1-3和fileM的所有者为xiaoming，file4-6和fileH的所有者为xiaohong，但是默认状态下，小明可以删掉所有者为xiaohong的文件fileH，显然这样是不合理的。切换为root用户，设定o+t权限，可以看到other权限最后一位x变为了t，之后再切换为用户xiaoming，删除所有者为xiaohong的文件file1显示无权限

5.2.强制位 sgid

对文件：只针对二进制可执行文件，任何人运行二进制文件程序时程序产生的进程的所有组都是文件的所有组和程序发起人组的身份无关
对目录：当目录有sgid权限后，目录中新建的所有文件的所有组都自动归属到目录的所有组之中，和文件建立者所在的组无关

设定方式：

chmod g+s file|dir
sgid=2
或者chmod 2xxx file|dir

下图表示为设置前由xiaohong创建的文件所有者为xiaohong，所有组为xiaohong所在组，设置g+s权限之后xiaohong再创建新的文件，则所有组为当前目录所在组

5.3.冒险位 suid

u+s权限：
只针对二进制可执行文件，
文件内记录的程序产生的进程的所有人为文件所有人，和进程发起人身份无关

设定方式：

chmod u+s file
suid=4
或者chmod 4xxx file

## ps： 显示进程中的用户，组和进程名称 grep过滤出含有watch的进程
ps ax -o user,group,comm|grep watch	

第一组为没有运行watch命令时候的进程
第二组为默认状态下xiaohong用户运行watch命令时候的进程
第三组为设置过u+s权限后，xiaohong用户运行watch命令时候的进程