linux_学习之文件权限管理

chmod、chown、chgrp、chage

chmod  修改文件的rwx权限

chown   修改文件的属组属主

chgrp    修改文件的属主

文件管理

1. umask  系统文件默认权限

目录最高文件  777

文件最高文件  666

在root下系统默认

创建目录：755

创建文件：644

2. 文件属组及属主变更

# 递归修改文件的属主

chown-Rusername filename

# 修改文件的属组

chgrp username filename

# 修改文件的属主及属组

chown -R  username:groupname   filename

# 修改文件的读写执行权限

chmod -R 755  filename

3. 特殊权限SUID/SGID/SBIT

#对目录来说，能进入是需要X权限

#文件能mv，cp，rm是取决于上级目录是否有w权限

#SUID   说穿了是对命令的权限下发

  rw-  +suid     rwS

  rwx  +suid     rws

#加suid，不管谁来执行这个命令，都以二进制文件命令拥有者身份执行

chmodu+s /bin/cat

su -user1

cat/etc/shadow   就可以访问了

-----------------------

SUID------>4

1.对档案有效，对目录无效

2.仅对二进制程序有效，对scrip无效

3.执行者对该程序有x权限

4.执行者将具有该程序owner拥有者权限

SGID------->2

1.对档案有效，对目录有效

2.对二进制程序有效

3.执行者有x，执行过程中将获得该程序群组的权限支持

sgid就是继承上级目录的属组及权限；

如建立一个目录，将要访问该目录的所有用户加入建立该目录的组中，且给该目录加sgid权限，那么任何用户在该目录下建立文件，该文件的属组继承上级目录的属组及权限

例如：使用者user1~user3三个人在同一个项目的同一个目录里开发，可相互rwx各自写的东西，但三个人又有自己的私人家目录及群组。

a.将三个用户添加副组shareGR

        usermod  -GshareGR user1

        。。。。。。     

b.建立公用目录及赋予SGID

         mkdirshareDR

        chgrp shareGR shareDR

         chmod 2770shareDR

SBIT------->1

1.仅对目录有效，对档案无效

2.当用户对目录有w，x权限时

3.当用户在目录下建立的目录或档案，仅自己和root可删

即当目录有SBIT权限时，用户对该目录有wx，在目录里只能对自己的目录、档案处理，无法处理其他人的。

如果上级目录其他用户有rwx权限，则在目录下a用户创建的文件，b用户可以删除；

----------------------

# 示例

用途：大家都对公共的资源有权限，各自又独立

s和t是取代x的权限来表示

# 查看目录的权限及属主属组

#ll -d   /test

drwxrwxrwx root toot ……

# 切换目录，创建文件

# su - user1

# touch /test/aaaa.txt

# 查看文件的权限644

#ll /test/aaaa.tx

-rw-r--r--  user1 user1 ……

# 切换用户user2

#su - user2

# 可以删掉，因为rm权限是看上级目录o的权限的

#rm -rf aaaa.txt  

# 给目录加

#chmod o+t /test

#su - user2

#rm -rf aaaa.txt 无权限删除    

SUID=u+s      SGID=g+s    SBIT=o+t

4. ACl（access control list 访问控制列表）

可针对单一用户，档案，目录进行rwx设置权限管控，acl默认支持，但系统版本不同可能有意外

# 1.查看

dumpe2fs-h/dev/sda1    -------->查询

# 2.设定acl支持

mount-oremount，acl /  --------->临时

cat/etc/fstab |sed-i'17i LABEL=/1 / ext4 default，acl 1 1'

# 语法

acl的设定

getfacl：取得directory/file的acl

setfacl：设定directory/file 的acl

setfacl 【-bkRd】【{-m|-x} acl参数】目标文件名

-m      设定acl参数

-x        删除acl参数

-b        移除所有acl设定参数

-k        移除预设acl参数

-R        递归设定acl

-d        设定预设acl参数，仅对目录有效，在该目录新建的数据会引用此默认值

针对使用者：

setfacl-mu:使用者账号列表：rwx 档案或目录

eg：

setfacl-mu:test1:rw test.txt

getfacl filename   查看acl权限管控，选项通过setfacl

针对特定群组：

setfacl-mu:群组列表：rwx 档案或目录

上面的acl设定，只针对父目录或档案，子目录无法继承

要次目录继承acl设定：

setfacl-md:u或g:rwx tex.txt

5. chattr

修改文件属性，达到保护文件目录的作用，比chmod更加强大的修改底层的文件属性。但不能保护/、/dev、/tmp、/var目录

查看该类属性通过命令：

# lsattr

----------------./nl_flow_llb

----------------./zy_flow_llb

----------------./my_study_book

----------------./share_flow_llb

----------------./build-base-image

语法：

chattr [-RVf] [-+=AacDdeijsSu] [-v version]files...

+：在原有参数设定基础上，追加参数。

-：在原有参数设定基础上，移除参数。

=：更新为指定参数设定。

A：文件或目录的 atime (access time)不可被修改(modified), 可以有效预防例如手提电脑磁盘I/O错误的发生。

S：硬盘I/O同步选项，功能类似sync。

a：即append，设定该参数后，只能向文件中添加数据，而不能删除，多用于服务器日志文 件安全，只有root才能设定这个属性。

c：即compresse，设定文件是否经压缩后再存储。读取时需要经过自动解压操作。

d：即no dump，设定文件不能成为dump程序的备份目标。

i：设定文件不能被删除、改名、设定链接关系，同时不能写入或新增内容。i参数对于文件 系统的安全设置有很大帮助。

j：即journal，设定此参数使得当通过mount参数：data=ordered 或者data=writeback 挂 载的文件系统，文件在写入时会先被记录(在journal中)。如果filesystem被设定参数为data=journal，则该参数自动失效。

s：保密性地删除文件或目录，即硬盘空间被全部收回。

u：与s相反，当设定为u时，数据内容其实还存在磁盘中，可以用于undeletion.

各参数选项中常用到的是a和i。a选项强制只可添加不可删除，多用于日志系统的安全设定。而i是更为严格的安全设定，只有superuser (root) 或具有CAP_LINUX_IMMUTABLE处理能力（标识）的进程能够施加该选项。

# 示例

1、用chattr命令防止系统中某个关键文件被修改

# chattr +i /etc/fstab

然后试一下rmmvrename等命令操作于该文件，都是得到Operation not permitted 的结果

2、让某个文件只能往里面追加内容，不能删除，一些日志文件适用于这种操作

# chattr +a /data1/user_act.log