linux系统权限大全
linux系统权限大全一、 文件的归属:
文件所有者(owner)、用户组(group)、其它人(others)
二、查看 linux文件权限以及归属
ls 命令ls -al查看文件详细权限和属性
权限rwx
三、设置文件目录的权限
1、 修改权限的命令
有chmod chownchgrp
四、默认权限
1 、查看默认权限umask umask-s
2 、更改默认权限umask xxx直接接数字
五、文件或目录的隐藏属性
1、 设置文件的隐藏属性:
chattr[-R][+-=]file
-R递归更改目录的隐藏属性
a 增加这个参数后,可以追加的方式增加数据,不能修改数据,
i 不能修改删除增加数据,相当于写保护
2、显示文件的隐藏属性:
lsattr [-Rda] file
-R 将子目录的属性也显示出来
-d 接的是目录那就只显示目录
-a 将隐藏文件的属性也显示出来
六、文件的特殊权限
1、 SetUID--- 前提必须是二进制可执行文件,执行者对这个文件具有二进制可执行权限,执行者将暂时
具有该文件所有者的权限,相当于执行者对此文件有root用户的权限,使得任意使用者在执行该文件时,都绑 定了文件拥有者的权限。 全能的root用户当然可以任意setUid和setGid,普通用户只能给属于自己的文件配置 setUid或setGid
2、 SetGID---前提必须是二进制可执行文件,执行者对这个文件具有二进制可执行权限,执行者将暂时
具有该文件用户组的权限,使得任意使用者在执行该文件时,都绑定了文件所有组的权限
3、 Sticky bit----粘滞位权限,主要针对目录生效,当目录sticky位被设置以后,只有root或者文件属主
才能删除或 移动它
setuid,setgid,sticky的八进制位分别是4, 2, 1,助记法表示为u+s,g+s,o+t,(删除标记位是u-s,g-s,o-t)
SetUID的设置:
chmodu+s test.sh 或者 chmod 4755test.sh #增加setuid权限
chmodu-s test.sh 或者 chmod 755test.sh #删除setuid权限,目录需用u-s
拥有setuid权限的二进制可执行文件背景色为红色
SetGID的设置:
chmodg+stest.sh 或者chmod 2755test.sh
chmodg-s test.sh 或者chmod 755test.sh
拥有setgid权限的二进制可执行文件背景色为黄色
同时设置setuid和setgid,就是把setuid和setgid两个八进位的值相加 (4000+2000=6000),即 6755
chmod 6755 test.sh 或者 chmod u+s,g+stest.sh #同时增加setuid和setgid权限
chmod 755 test.sh 或者 chmod u-s,g-s test.sh #同时删除setuid和setgid权限,目录需用后者
文件的属主和属组位的执行权限都为s
如果文件所归属的属主没有执行权限,则这个权限显示为大S, setgid同理
setuid实例:
普通用户之所以可以修改自己的密码是因为passwd命令设置了setuid权限:
#su命令也一样。
让普通用户可以删除root目录下的文件(非常危险,只做测试)
chmod u+s/bin/rm #给rm这个命令加上setuid权限即可。
Sticky bit粘滞位权限设置:
chmodo+tstdir/ 或者chmod 1755 stdir/ #增加Sticky bit权限
chmodo-t stdir/ 或者 chmod 755 stdir/ #删除Sticky bit权限
具有Sticky bit权限的目录颜色为蓝色,其它者位的执行权限x则为t
实例:在Linux下,/tmp是一个存放临时文件的目录,要求是对所有用户可写,
但每个用户都只能删除自己拥有的文件。这种情况下,就可以把目录加一个粘滞位。
rwt===可以进入该目录,可以列出该目录中的文件,可以在该目录中增加文件,但不能删除
其他用户的文件,自己的文件可以删除。
七、ACL
((Access Control List 访问控制列表)
在linux系统中,我们将访问文件的用户分为三类,user,group,other。如果系统中某个用户想对某个文件有写入的权限,但是该用户是属于other,如果是这样,就只能够开放other的权限。但是一旦开放other的权限,那么所有人就对该文件有写入的权限了。文件的ACL权限就很好的解决了这个问题,它可以设置一个特定文件的特定权限给一个用户或者组
ACL的分类:
存取型 : 可以用于文件和目录
预设型 : 只用于目录,其子目录都继承主目录的ACL权限,
ACL的设置命令:
setfacl 选项 规则 file
选项:
-m增加或修改ACL中的规则
-d 设置默认的ACL设置信息(只对目录有效)
-x 移除一个扩展的ACL设置信息
-b 删除所有的扩展的ACL设置信息
规则:
u:用户名或用户ID:权限 给一个用户设置权限
g:用户组或组ID:权限 给一个用户组设置权限
other::权限 指定其他所有者的权限
mask::权限 设定有效的权限屏蔽
getfacl 选项 file
选项:
-e 查看文件的mask有效权限
存储型 ACL权限设置:
设置规范:
setfacl -m u:用户名或用户ID:权限 给一个用户设置权限
setfacl -m g:用户组或组ID:权限 给一个用户组设置权限
设置实例:
setfacl -mu:feng:rwx ting/ #设置允许用户feng对ting这个目录有rwx权限
setfacl -mg:feng:rwx ting/ #设置允许用户组feng对ting这个目录有rwx权限
setfacl -xu:feng ting/ #删除用户feng对ting这个目录的rwx权限
注意:权限书写必须是rwx不能是数字,不然报错无效的操作.
设置了ACL的目录或文件,在属性的最后一位会出现一个“+”号,如下图:
预设型ACL权限设置:
设置规范:
setfacl-d -m :列表: 目录 (注意:-d参数必须放在最前面。)
setfacl-d--set :列表: 目录 (注意:-d参数必须放在最前面。)
setfac l -m d::列表: 目录
设置实例:
setfacl-d -m u:feng:rwxacldir/
setfacl-d --setu:feng:rwxacldir/
setfacl-m d:u:feng:rwxacldir/
setfacl-m d:g:feng:rwxacldir/ #设置用户组feng对acldir目录有读写权限
setfacl -b acldir/ #删除所有关于acldir目录下的扩展权限。
getfacl -e acldir/ #查看权限
注意:设置了预设型ACL权限的目录,设定权限之前的文件不会继承 acl权限,只有设定之后
再创建的文件才会继承acl权限。
针对有效权限mask的设定
这是一个权限掩码。用来控制你所设置的扩展ACL权限。你所设置的权限必须存于mask规定的范围内才会生效,也就是所谓的“有效权限(effective permission),设定的最终权限由mask控制,你所设置的权限必须在mask内,否则相对mask多出来的权限也是无效的,可以用 getfacl -e 命令查看有效权限:
注意:若用户帐号不填的时候就默认为文件的 所有者。用户组不填时就默认为文件的所属用户组
注意:如果setfacl命令不指定操作用户,那么就是对默认属主用户权限的操作(例如acl_test/目录,owner:root,group:root),这时候的setfacl命令功能上和传统的chmod相同。例如setfacl u::rwx,g::rwx,o::rwx acl_test/ 等价于chmod 777 acl_test/ 。就是把缺省设置信息全部设置为rwx的权限了。
页:
[1]