linux权限管理

文件权限管理

文件所有者和属组属性操作 设置文件的所有者chown

chown 命令可以修改文件的属主，也可以修改文件属组

格式

chown [OPTION]... [OWNER][:[GROUP]] FILE...

chown [OPTION]... --reference=RFILE FILE...

用法说明：

OWNER #只修改所有者

OWNER:GROUP #同时修改所有者和属组

:GROUP #只修改属组，冒号也可用 . 替换

--reference=RFILE #参考指定的的属性，来修改 

-R #递归，此选项慎用，非常危险！

范例:

[root@centos8 data]#cp /etc/fstab f1.txt

[root@centos8 data]#pwd

/data

[root@centos8 data]#ll

total 4

-rw-r--r-- 1 root root 709 Dec 18 10:13 f1.txt

[root@centos8 data]#chown wang f1.txt

[root@centos8 data]#ll

total 4

-rw-r--r-- 1 wang root 709 Dec 18 10:13 f1.txt

[root@centos8 data]#chown :admins f1.txt

[root@centos8 data]#ll f1.txt

-rw-r--r-- 1 wang admins 709 Dec 18 10:13 f1.txt

[root@centos8 data]#chown root.bin f1.txt

[root@centos8 data]#ll 

total 4

-rw-r--r-- 1 root bin 709 Dec 18 10:13 f1.txt

[root@centos8 data]#chown wang:admins f1.txt

[root@centos8 data]#ll

total 4

-rw-r--r-- 1 wang admins 709 Dec 18 10:13 f1.txt

[root@centos8 data]#cp /etc/issue f2.txt

[root@centos8 data]#ll

total 8

-rw-r--r-- 1 wang admins 709 Dec 18 10:13 f1.txt

-rw-r--r-- 1 root root 23 Dec 18 10:15 f2.txt

[root@centos8 data]#chown --reference=f1.txt f2.txt

[root@centos8 data]#ll

total 8

-rw-r--r-- 1 wang admins 709 Dec 18 10:13 f1.txt

-rw-r--r-- 1 wang admins 23 Dec 18 10:15 f2.txt

范例：

[root@centos8 ~]#chown -R wang.admins /data/

设置文件的属组信息chgrp

chgrp 命令可以只修改文件的属组

格式

 chgrp [OPTION]... GROUP FILE...

 chgrp [OPTION]... --reference=RFILE FILE...

-R 递归

范例:

[root@centos8 data]#ll f1.txt

-rw-r--r-- 1 wang root 709 Dec 18 10:13 f1.txt

[root@centos8 data]#chgrp admins f1.txt 

[root@centos8 data]#ll f1.txt

-rw-r--r-- 1 wang admins 709 Dec 18 10:13 f1.txt

文件权限说明

文件的权限主要针对三类对象进行定义

owner 属主, u

group 属组, g

other 其他, o

注意：用户的最终权限，是从左向右进行顺序匹配，即，所有者，所属组，其他人，一旦匹配权限立即生效，不再向右查看其权限

每个文件针对每类访问者都定义了三种常用权限

每个文件针对每类访问者都定义了三种权限

r Readable

w Writable

x eXcutable

对文件的权限：

r 可使用文件查看类工具，比如：cat，可以获取其内容

w 可修改其内容

x 可以把此文件提请内核启动为一个进程，即可以执行（运行）此文件（此文件的内容必须是可执行）

对目录的权限：

r 可以使用ls查看此目录中文件列表

w 可在此目录中创建文件，也可删除此目录中的文件，而和此被删除的文件的权限无关

x 可以cd进入此目录，可以使用ls -l查看此目录中文件元数据（须配合r权限），属于目录的可访问的最小权限

X 只给目录x权限，不给无执行权限的文件x权限

数学法的权限

八进制数字

--- 000 0

--x 001 1

-w- 010 2

-wx 011 3

r-- 100 4

r-x 101 5

rw- 110 6

rwx 111 7

例如：

rw-r----- 640 

rwxr-xr-x 755 

修改文件权限chmod

格式

chmod [OPTION]... MODE[,MODE]... FILE...

chmod [OPTION]... OCTAL-MODE FILE...

#参考RFILE文件的权限，将FILE的修改为同RFILE

chmod [OPTION]... --reference=RFILE FILE...

说明：

MODE：who opt permission

who:u,g,o,a 

opt:+,-,=

permission:r,w,x

修改指定一类用户的所有权限

u= g= o= ug= a= u=,g=

修改指定一类用户某个或某个权限

u+ u- g+ g- o+ o- a+ a- + -

-R: 递归修改权限

范例: 设置 X 权限

[root@centos8 data]#ll dir

total 8

-rw-r--r-- 1 root root 709 Dec 18 11:09 f1.txt

-rwxr--r-- 1 root root 709 Dec 18 11:09 f2.txt

drw-r--r-- 2 root root 6 Dec 18 11:15 subdir

[root@centos8 data]#ll -d dir

drwxr-xr-- 3 root root 48 Dec 18 11:15 dir

[root@centos8 data]#chmod -R a+X dir

[root@centos8 data]#ll -d dir

drwxr-xr-x 3 root root 48 Dec 18 11:15 dir

[root@centos8 data]#ll dir

total 8

-rw-r--r-- 1 root root 709 Dec 18 11:09 f1.txt

-rwxr-xr-x 1 root root 709 Dec 18 11:09 f2.txt

drwxr-xr-x 2 root root 6 Dec 18 11:15 subdir

范例：

chmod u+wx,g-r,o=rx file

chmod -R g+rwX /testdir

chmod 600 file

范例：面试题

执行 cp /etc/issue /data/dir 所需要的最小权限？

/bin/cp 需要x权限

/etc/ 需要x权限

/etc/issue 需要r 权限

/data 需要x权限

/data/dir 需要w,x 权限

新建文件和目录的默认权限

umask 的值可以用来保留在创建文件权限

实现方式：

新建文件的默认权限: 666-umask，如果所得结果某位存在执行（奇数）权限，则将其权限+1,偶数不变 新建目录的默认权限: 777-umask

非特权用户umask默认是 002

root的umask 默认是 022

查看umask

umask

#模式方式显示

umask –S 

#输出可被调用

umask –p 

修改umask

umask #

范例：

umask 002

umask u=rw,g=r,o=

持久保存umask

全局设置： /etc/bashrc 用户设置：~/.bashrc

范例：

[root@centos8 ~]#umask

[root@centos8 ~]#umask -S

u=rwx,g=rx,o=rx

[root@centos8 ~]#umask -p

umask 0022

范例：

[root@centos8 ~]#umask

[root@centos8 ~]#( umask 666; touch /data/f1.txt )

[root@centos8 ~]#umask

[root@centos8 ~]#ll /data/f1.txt

---------- 1 root root 0 Mar 27 14:55 /data/f1.txt

Linux文件系统上的特殊权限

前面介绍了三种常见的权限：r, w, x 还有三种特殊权限：SUID, SGID, Sticky

特殊权限SUID

前提：进程有属主和属组；文件有属主和属组

任何一个可执行程序文件能不能启动为进程,取决发起者对程序文件是否拥有执行权限 启动为进程之后，其进程的属主为发起者,进程的属组为发起者所属的组 进程访问文件时的权限，取决于进程的发起者

​ (a) 进程的发起者，同文件的属主：则应用文件属主权限
​ (b) 进程的发起者，属于文件属组；则应用文件属组权限
​ (c) 应用文件“其它”权限

二进制的可执行文件上SUID权限功能：

任何一个可执行程序文件能不能启动为进程：取决发起者对程序文件是否拥有执行权限 启动为进程之后，其进程的属主为原程序文件的属主 SUID只对二进制可执行程序有效 SUID设置在目录上无意义

SUID权限设定：

chmod u+s FILE...

chmod 6xxx FILE

chmod u-s FILE...

范例：

[root@centos8 ~]#ls -l /usr/bin/passwd

-rwsr-xr-x. 1 root root 34928 May 11 2019 /usr/bin/passwd

特殊权限SGID

二进制的可执行文件上SGID权限功能：

任何一个可执行程序文件能不能启动为进程：取决发起者对程序文件是否拥有执行权限 启动为进程之后，其进程的属组为原程序文件的属组

SGID权限设定：

chmod g+s FILE... 

chmod 2xxx FILE

chmod g-s FILE...

目录上的SGID权限功能：

默认情况下，用户创建文件时，其属组为此用户所属的主组，一旦某目录被设定了SGID，则对此目录有写权限的用户在此目录中创建的文件所属的组为此目录的属组，通常用于创建一个协作目录

SGID权限设定：

chmod g+s DIR...

chmod 2xxx DIR

chmod g-s DIR...

特殊权限 Sticky 位

具有写权限的目录通常用户可以删除该目录中的任何文件，无论该文件的权限或拥有权
在目录设置Sticky 位，只有文件的所有者或root可以删除该文件
sticky 设置在文件上无意义

Sticky权限设定：

chmod o+t DIR...

chmod 1xxx DIR

chmod o-t DIR...

范例：

[root@centos8 ~]#ll -d /tmp

drwxrwxrwt. 15 root root 4096 Dec 12 20:16 /tmp

特殊权限数字法

SUID SGID STICKY

000 0

001 1

010 2

011 3

100 4

101 5

110 6

111 7

范例：

chmod 4777 /tmp/a.txt

权限位映射
SUID: user,占据属主的执行权限位
s：属主拥有x权限
S：属主没有x权限
SGID: group,占据属组的执行权限位
s： group拥有x权限
S：group没有x权限
Sticky: other,占据other的执行权限位
t：other拥有x权限
T：other没有x权限

设定文件特殊属性

设置文件的特殊属性，可以访问 root 用户误操作删除或修改文件

不能删除，改名，更改

chattr +i 

只能追加内容，不能删除，改名

chattr +a

显示特定属性

lsattr 

范例:

[root@centos8 data]#chattr +i dir

[root@centos8 data]#lsattr dir

------------------ dir/fstab

------------------ dir/f1.txt

[root@centos8 data]#lsattr *

------------------ dir/fstab

------------------ dir/f1.txt

------------------ f11.txt

------------------ f22.txt

[root@centos8 data]#ll

total 8

drwxr-xr-x 2 root root 33 Dec 18 14:32 dir

-rw-r--r-- 1 root root 719 Dec 18 14:30 f11.txt

-rw-r--r-- 1 root root 6 Dec 18 14:30 f22.txt

[root@centos8 data]#rm -rf dir

rm: cannot remove dir/fstab : Operation not permitted

rm: cannot remove dir/f1.txt : Operation not permitted

[root@centos8 data]#lsattr 

------------------ ./f11.txt

------------------ ./f22.txt

----i------------- ./dir

[root@centos8 data]#chattr -i dir

[root@centos8 data]#lsattr 

------------------ ./f11.txt

------------------ ./f22.txt

------------------ ./dir

访问控制列表 ACL权限功能

ACL：Access Control List，实现灵活的权限管理
除了文件的所有者，所属组和其它人，可以对更多的用户设置权限
CentOS7 默认创建的xfs和ext4文件系统具有ACL功能
CentOS7 之前版本，默认手工创建的ext4文件系统无ACL功能,需手动增加

tune2fs –o acl /dev/sdb1

mount –o acl /dev/sdb1 /mnt/test

ACL生效顺序：

所有者，自定义用户，所属组|自定义组，其他人

ACL相关命令

setfacl 可以设置ACL权限

getfacl 可查看设置的ACL权限

范例:

[root@centos8 data]#ll f1.txt

-rw-r--r-- 1 root root 709 Dec 18 14:37 f1.txt

[root@centos8 data]#setfacl -m u:wang:- f1.txt

[root@centos8 data]#ll 

total 4

-rw-r--r--+ 1 root root 709 Dec 18 14:37 f1.txt

[root@centos8 data]#getfacl f1.txt

# file: f1.txt

# owner: root

# group: root

user::rw-

user:wang:---

group::r--

mask::r--

other::r--

[root@centos8 data]#su wang

[wang@centos8 data]cat f1.txt

cat: f1.txt: Permission denied

[wang@centos8 data]echo xx f1.txt

bash: f1.txt: Permission denied

范例:

[root@centos8 data]#getfacl f1.txt

# file: f1.txt

# owner: root

# group: root

user::rw-

group::r--

other::r--

[root@centos8 data]#setfacl -m u:wang:0 f1.txt

[root@centos8 data]#setfacl -m g:admins:w f1.txt

[root@centos8 data]#ll f1.txt

-rw-rw-r--+ 1 root root 718 Dec 18 14:44 f1.txt

[root@centos8 data]#getfacl f1.txt

# file: f1.txt

# owner: root

# group: root

user::rw-

user:wang:---

group::r--

group:admins:-w-

mask::rw-

other::r--

[root@centos8 data]#id wang

uid=1000(wang) gid=1000(wang) groups=1000(wang)

[root@centos8 data]#id mage

uid=1001(mage) gid=1001(mage) groups=1001(mage)

[root@centos8 data]#su mage

[mage@centos8 data]cat f1.txt

# /etc/fstab

# Created by anaconda on Wed Dec 11 11:11:16 2019

# Accessible filesystems, by reference, are maintained under /dev/disk/ .

# See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info.

# After editing this file, run systemctl daemon-reload to update systemd

# units generated from this file.

UUID=1b950ef9-7142-46bd-975c-c4ac1e0d47e8 / xfs defaults 0 0

UUID=667a4c81-8b4b-4a39-a111-b11cb6d09309 /boot ext4 defaults 1 2

UUID=38d14714-c018-41d5-922c-49e415decbca /data xfs defaults 0 0

UUID=a0efb2bb-8227-4317-a79d-0a70d515046c swap swap defaults 0 0

magedata

[mage@centos8 data]echo magedata2 f1.txt

bash: f1.txt: Permission denied

[mage@centos8 data]exit

[root@centos8 data]#gpasswd -a mage admins

Adding user mage to group admins

[root@centos8 data]#id mage

uid=1001(mage) gid=1001(mage) groups=1001(mage),1002(admins)

[root@centos8 data]#su mage

[mage@centos8 data]echo magedata3 f1.txt 

[mage@centos8 data]cat f1.txt

cat: f1.txt: Permission denied

[mage@centos8 data]exit

[root@centos8 data]#su wang

[wang@centos8 data]cat f1.txt

cat: f1.txt: Permission denied

[wang@centos8 data]echo wangdata f1.txt

bash: f1.txt: Permission denied

[wang@centos8 data]exit

[root@centos8 data]#groupmems -a wang -g admins

[root@centos8 data]#id wang

uid=1000(wang) gid=1000(wang) groups=1000(wang),1002(admins)

[root@centos8 data]#su wang

[wang@centos8 data]getfacl f1.txt 

# file: f1.txt

# owner: root

# group: root

user::rw-

user:wang:---

group::r--

group:admins:-w-

mask::rw-

other::r--

[wang@centos8 data]cat f1.txt

cat: f1.txt: Permission denied

[wang@centos8 data]echo wangdata2 f1.txt

bash: f1.txt: Permission denied

范例：

mount -o acl /directory

getfacl file |directory

setfacl -m u:wang:rwx file|directory

setfacl -m g:admins:rw file| directory

setfacl -x u:wang file |directory

#清除所有ACL权限

setfacl -b file1 

#复制file1的acl权限给file2

getfacl file1 | setfacl --set-file=- file2 

mask 权限

mask只影响除所有者和other的之外的人和组的最大权限 mask需要与用户的权限进行逻辑与运算后，才能变成有限的权限(Effective Permission) 用户或组的设置必须存在于mask权限设定范围内才会生效

范例：

setfacl -m mask::rx file

范例:

[root@centos8 data]#ll f1.txt

-rw-rw-r--+ 1 root root 728 Dec 18 14:51 f1.txt

[root@centos8 data]#chmod g=r f1.txt

[root@centos8 data]#ll f1.txt

-rw-r--r--+ 1 root root 728 Dec 18 14:51 f1.txt

[root@centos8 data]#getfacl f1.txt

# file: f1.txt

# owner: root

# group: root

user::rw-

user:wang:---

group::r--

group:admins:-w- #effective:---

mask::r--

other::r--

[root@centos8 data]#setfacl -m mask::rw f1.txt

[root@centos8 data]#getfacl f1.txt

# file: f1.txt

# owner: root

# group: root

user::rw-

user:wang:---

group::r--

group:admins:-w-

mask::rw-

other::r--

[root@centos8 data]#setfacl -m u:wang:rwx f1.txt

[root@centos8 data]#getfacl f1.txt

# file: f1.txt

# owner: root

# group: root

user::rw-

user:wang:rwx

group::r--

group:admins:-w-

mask::rwx

other::r--

[root@centos8 data]#setfacl -m mask::rw f1.txt

[root@centos8 data]#getfacl f1.txt

# file: f1.txt

# owner: root

# group: root

user::rw-

user:wang:rwx #effective:rw-

group::r--

group:admins:-w-

mask::rw-

other::r--

set选项会把原有的ACL项都删除，用新的替代，需要注意的是一定要包含UGO的设置，不能象-m一样只是添加ACL就可以

范例：

setfacl --set u::rw,u:wang:rw,g::r,o::- file1

备份和还原ACL

主要的文件操作命令cp和mv都支持ACL，只是cp命令需要加上-p 参数。但是tar等常见的备份工具是不会保留目录和文件的ACL信息

范例：

#备份ACL

getfacl -R /tmp/dir acl.txt

#消除ACL权限

setfacl -R -b /tmp/dir

#还原ACL权限

setfacl -R --set-file=acl.txt /tmp/dir

#还原ACL权限

setfacl --restore acl.txt

#查看ACL权限

getfacl -R /tmp/dir

范例:

[root@centos8 data]#getfacl *

# file: f1.txt

# owner: root

# group: root

user::rw-

user:wang:rwx #effective:rw-

group::r--

group:admins:-w-

mask::rw-

other::r--

# file: f2.txt

# owner: root

# group: root

user::rw-

group::r--

other::r--

# file: f3.txt

# owner: root

# group: root

user::rw-

user:wang:rwx #effective:rw-

group::r--

group:admins:-w-

mask::rw-

other::r--

[root@centos8 data]#cd 

[root@centos8 ~]#tar cvf data.tar /data/

tar: Removing leading `/ from member names

/data/

/data/f1.txt

/data/f2.txt

/data/f3.txt

[root@centos8 ~]#tar xvf data.tar -C /opt

data/

data/f1.txt

data/f2.txt

data/f3.txt

[root@centos8 ~]#ls /opt

[root@centos8 ~]#cd /opt/data

[root@centos8 data]#ll

total 12

-rw-rw-r-- 1 root root 728 Dec 18 14:51 f1.txt

-rw-r--r-- 1 root root 728 Dec 18 15:01 f2.txt

-rw-rw-r-- 1 root root 728 Dec 18 14:51 f3.txt

[root@centos8 data]#getfacl -R /data /root/acl.txt

getfacl: Removing leading / from absolute path names

[root@centos8 data]#cat /root/acl.txt

# file: data

# owner: root

# group: admins

user::rwx

group::rwx

other::rwx

# file: data/f1.txt

# owner: root

# group: root

user::rw-

user:wang:rwx #effective:rw-

group::r--

group:admins:-w-

mask::rw-

other::r--

# file: data/f2.txt

# owner: root

# group: root

user::rw-

group::r--

other::r--

# file: data/f3.txt

# owner: root

# group: root

user::rw-

user:wang:rwx #effective:rw-

group::r--

group:admins:-w-

mask::rw-

other::r--

[root@centos8 data]#ll /opt/data

total 12

-rw-rw-r-- 1 root root 728 Dec 18 14:51 f1.txt

-rw-r--r-- 1 root root 728 Dec 18 15:01 f2.txt

-rw-rw-r-- 1 root root 728 Dec 18 14:51 f3.txt

[root@centos8 data]#cd 

[root@centos8 ~]#setfacl -R --set-file=/root/acl.txt /opt

[root@centos8 ~]#ll /opt/data/

total 12

-rw-rw-r--+ 1 root root 728 Dec 18 14:51 f1.txt

-rw-rw-r--+ 1 root root 728 Dec 18 15:01 f2.txt

-rw-rw-r--+ 1 root root 728 Dec 18 14:51 f3.txt

[root@centos8 ~]#setfacl -b -R /opt/data

[root@centos8 ~]#ll /opt/data

total 12

-rw-r--r-- 1 root root 728 Dec 18 14:51 f1.txt

-rw-r--r-- 1 root root 728 Dec 18 15:01 f2.txt

-rw-r--r-- 1 root root 728 Dec 18 14:51 f3.txt

[root@centos8 ~]#

本文链接：http://www.yunweipai.com/33871.html

原创文章，作者：ItWorker，如若转载，请注明出处：https://blog.ytso.com/52417.html

centoslinux