|
一、文件属性 1.文件属性:
文件属性操作 chown : change owner ,设置文件所有者 chgrp : change group ,设置文件的属组
文件属主修改: chown 格式:chown [OPTION]… [OWNER][:[GROUP]] FILE… 用法: OWNER OWNER:GROUPNAME (同时修改属主、属组) :GROUPNAME (默认属主,修改属组) ( 命令中的冒号可用.替换;) chown –reference=RFILE FILE… 参照某文件权限设置权限 文件属组修改: chgrp 格式:chgrp [OPTION]… GROUP FILE… chgrp [OPTION] -R 递归 递归设置目录中的文件、子目录权限)
2.文件权限:
1)权限定义对象: 文件的权限主要针对三类对象进行定义: owner: 属主,文件拥有者, u group: 属组, 文件拥有组,g other: 其他, 除以上两类人以外的全部用户,o 每个文件针对每类访问者都定义了三种权限: r: Readable ,读取 w: Writable ,写 x: eXcutable,执行 系统对于权限,是依次将用户权限与文件、文件夹的所有者、组、其他权限,依次匹配 注:只针对部分文件系统,fat格式的文件系统不支持权限修改(元数据分区中无此内容) 2)权限实际意义 文件权限的实际意义: r: 可使用文件查看类工具获取其内容 w: 可修改其内容,内容也可以被破坏,但是无法删除文件 x: 可以把此文件提请内核启动为一个进程,针对二进制程序、脚本而言 目录权限的实际意义: r: 无法进入目录(cd)可以使用ls查看此目录中文件列表,但是无法查看文件属性— w: 可在此目录中创建文件,也可删除此目录中的文件(但需要先有X权限) +wx : 可以进入目录,创建、修改、删除文件、文件内容,但是无法获取文件列表 x: 可以使用ls -l查看此目录中文件列表,可以cd进入此 3)权限操作 权限赋值的八进制数字法: — 000 0 –x 001 1 -w- 010 2 -wx 011 3 r– 100 4 r-x 101 5 rw- 110 6 rwx 111 7 例如: 640: rw-r—– rwxr-xr-x: 755 权限修改: 命令格式: chmod [OPTION]… OCTAL-MODE FILE… chmod [OPTION]… MODE[,MODE]… FILE… -R: 递归修改权限 (此操作有风险) + X (大写) 当递归+X时,如果目录内有子目录,则加执行权限, 如果遇到文件,若文件本身 无执行权限,则不加,若有则加x权限 eg : chmod a=rwX \目录 MODE: 修改一类用户的所有权限: u= g= o= ug= a= (all,全部用户) u=, g= 修改一类用户某位或某些位权限 u+/- g+/- o +/- a+/- 八进制赋值 eg: chmod 666 file1 chmod [OPTION]… –reference=RFILE FILE… 参考RFILE文件的权限,将FILE的修改为同RFILE; 4)新文件、目录默认权限 umask值 umask作用:用于设置创建文件、目录时的默认权限 默认权限: 新建文件默认权限: 666-umask (取值为666是处于安全考虑,使新建文件默认下均不含有执行权限) 如果所得结果某位存在执行(奇数)权限,则将其权限+1,得到最终权限 eg: umask=125 –> 666-125 =541 –>+1处理后为: 642 (5+1,1+1)
新建目录默认权限: 777 – umask eg : umask=100 –> 777-100=677 (rw-rwx-rwx) umask 操作: umask 查看umask 值 (无需加参数) (注:如论如何设定,新文件默认均无执行权限) umask N : 设定umask = N 注: umask 每个位的最大值不超过7 umask -S 以模式方式显示umask eg: u=rwx,g=rw,o=x umask -p 输出umask值以供调用 eg: umask 0022
3特殊权限:SUID(s), SGID(s), Sticky(t) linux安全上下文 (前提:进程有属主和属组;文件有属主和属组) (1) 任何一个可执行程序文件能不能启动为进程:取决于发起者对程序文件是否拥有执行权限 (2) 启动为进程之后,其进程的属主为发起者;进程的属组为发起者所属的组 (3) 进程访问文件时的权限,取决于进程的发起者 (a) 进程的发起者,同文件的属主:则应用文件属主权限 (b) 进程的发起者,属于文件属组;则应用文件属组权限 SUID 作用:可执行文件上SUID权限(作用于二进制程序)(u+s后)任何用户可启动此进程,且 视为以root用户启动,并且具备root权限 (对于各种命令,+s之后,任何用户使用它都可以获取root使用时的权限) 作用对象:SUID只对二进制可执行程序有效,SUID设置在目录上无意义 权限设定: chmod u+s FILE… chmod u-s FILE… SGID 作用: 目录:当一个目录实行了sgid,在目录中任何新创建的文件,都继承本目录的属组 为自己的属组 文件:作用在文件上, 一旦一个文件被赋予SGID的权限, 无论当前的用户有无执 行权限,用户运行该程序,会自动继承该程序所属组的权限。 作用对象:目录、文件 权限设定: chmod g+s FILE… chmod g-s FILE.. Sticky 位 (粘滞位) 作用:具有写权限的目录通常用户可以删除该目录中的任何文件,无论该文件的权限或拥有权 在目录设置Sticky 位,只有文件的所有者或root可以删除该文件 作用对象:仅作用于目录,sticky 设置在文件上无意义 权限设定: chmod o+t DIR… chmod o-t DIR… 例如: ls -ld /tmp drwxrwxrwt 12 root root 4096 Nov 2 15:44 /tmp 注:当文件夹、文件 SUID\SGID\STKCKET 显示为大写时,为错误状态 小写才是正常状态 chmod 777 /dir 未必可以除掉 s权限 应该改为: chmod 0777 /dir 特殊权限的数字法: SUID SGID STICKY 000 0 001 1 010 2 011 3 100 4 101 5 110 6 111 7 eg: chmod 4777 /tmp/a.txt 权限位映射: SUID: user,占据属主的执行权限位 s: 属主拥有x权限 S:属主没有x权限 SGID: group,占据属组的执行权限位 s: group拥有x权限 S: group没有x权限 Sticky: other,占据other的执行权限位 t: other拥有x权限 T: other没有x权限 注意:修改时,应注意是否需要先赋予x权限,后再追加s权限 设定文件的特定属性: chattr +i 不能删除,改名,更改 chattr +a 只能增加 lsattr 显示特定属性 二、访问控制列表ACL 1.ACL ACL: Access Control List,实现灵活的权限管理 功能:除了文件的所有者,所属组和其它人,可以对更多的用户设置权限 ACL生效顺序:所有者,自定义用户,自定义组,其他人 2. ACL安装: CentOS7.0默认创建的xfs和ext4文件系统有ACL功能。 CentOS7.X之前版本,默认手工创建的ext4文件系统无ACL功能。 需手动增加: tune2fs –o acl /dev/sdb1 mount –o acl /dev/sdb1 /mnt 3. ACL 使用详解 命令:setfacl 设置ACL规则 getfacl file|dir 获取文件、目录ACL列表 setfacl 设定文件访问控制列表 用法: setfacl [-bkndRLP] { -m|-M|-x|-X … } file … -m, –modify=acl 更改文件的访问控制列表 u:username:rwx file/dir 用户 g:groupname:rwx file/dir 组 o:0 file/dir 其他 :0 指无任何权限 -M, –modify-file=file 从文件中读取访问控制列表条目来修改对应文件 -x, –remove=acl 根据文件中访问控制列表移除条目 -X, –remove-file=file 从文件读取访问控制列表条目并删除 -b, –remove-all 删除所有扩展访问控制列表条目 -k, –remove-default 移除默认访问控制列表 –set=acl 设定替换当前的文件访问控制列表 –set-file=file 从文件中读取访问控制列表条目设定 –mask 重新计算有效权限掩码 -n, –no-mask 不重新计算有效权限掩码 -d, –default 应用到默认访问控制列表的操作 (生效以后,目录中的任何新建文件也会赋予acl默认权限) -R, –recursive 递归操作子目录 -L, –logical 依照系统逻辑,跟随符号链接 -P, –physical 依照自然逻辑,不跟随符号链接 –restore=file 恢复访问控制列表,和“getfacl -R”作用相反 –test 测试模式,并不真正修改访问控制列表属性 -v, –version 显示版本并退出 -h, –help 显示本帮助信息 使用示例: mount -o acl /directory 挂载ACL,使指定目录的ACL临时生效,重启后失效 getfacl file |directory 查询ACL列表 setfacl -m u:wang:rwx file|directory 设定用户的指定权限 setfacl -Rm g:sales:rwX directory 递归设定组对目录以及其目录内文件的权限 setfacl -M file.acl file|directory 使用file.acl文件中的acl条目对file/dir进行acl修 改文件格式,参照getfacl得到的信息 setfacl -m g:salesgroup:rw file| directory 对指定组设定对某文件、目录的权限 setfacl -m d:u:wang:rx directory 对dir中的新建文件也赋予wang:rx权限 删除用户wang对file/dir的ACL条目 文件内容格式:u:username g:groupname o: setfacl -X file.acl directory 删除dir上 file.acl 文件中对应的条目 4. ACL中的mask值 ACL文件上的group权限是mask 值(自定义用户,自定义组,拥有组的最大权限) ,除了所有者、 others ,其他人(属组、ACL添加的其他用户)的权限均不会高于此权限,受此权限的影响而非传统的组权限 5.备份和恢复ACL 主要的文件操作命令cp和mv都支持ACL,只是cp命令需要加上-p 参数。但是tar等常见的备份工具是不会保留目录和文件的ACL信息 #getfacl -R /tmp/dir1 > acl.txt #setfacl -R -b /tmp/dir1 #setfacl -R –set-file=acl.txt /tmp/dir1 #getfacl -R /tmp/dir1
| 
QQ群⑧:
窥视卡
雷达卡
发表于 2016-9-22 09:02:53
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡