2018-02-04 文件权限

1、 文件权限

  • 更改文件的权限
[root@localhost mnt]#touch t1
[root@localhost mnt]#ll
total 12
drwxr-xr-x. 2 root root  4096 Jan  9 06:17 hgfs
-rwxr--r--. 1 root root  1251 Feb  1 11:35 ip.sh
-rw-r--r--. 1 root root  2761 Feb  1 11:27 ks.cfg
-rw-r--r--. 1 root root     0 Feb  4 16:09 t1
[root@localhost mnt]#chmod u=rwx,g=rw,o= t1     ---更改t1文件的权限为所有者rwx,所属组为rw,其他人什么权限都没有
[root@localhost mnt]#ll
total 12
drwxr-xr-x. 2 root root  4096 Jan  9 06:17 hgfs
-rwxr--r--. 1 root root  1251 Feb  1 11:35 ip.sh
-rw-r--r--. 1 root root  2761 Feb  1 11:27 ks.cfg
-rwxrw----. 1 root root     0 Feb  4 16:09 t1
[root@localhost mnt]#chmod 755 t1     ---数字法更改文件的权限
[root@localhost mnt]#ll
total 12
drwxr-xr-x. 2 root root  4096 Jan  9 06:17 hgfs
-rwxr--r--. 1 root root  1251 Feb  1 11:35 ip.sh
-rw-r--r--. 1 root root  2761 Feb  1 11:27 ks.cfg
-rwxr-xr-x. 1 root root     0 Feb  4 16:09 t1
[root@localhost mnt]#chmod o-x t1     ---通过加减号更改文件的权限
[root@localhost mnt]#ll
total 12
drwxr-xr-x. 2 root root  4096 Jan  9 06:17 hgfs
-rwxr--r--. 1 root root  1251 Feb  1 11:35 ip.sh
-rw-r--r--. 1 root root  2761 Feb  1 11:27 ks.cfg
-rwxr-xr--. 1 root root     0 Feb  4 16:09 t1
  • 参考某个文件的属性设置文件的权限
[root@localhost mnt]#ll
total 12
drwxr-xr-x. 2 root root  4096 Jan  9 06:17 hgfs
-rwxr--r--. 1 root root  1251 Feb  1 11:35 ip.sh
-rw-r--r--. 1 root root  2761 Feb  1 11:27 ks.cfg
-rwxr-xr--. 1 root root     0 Feb  4 16:09 t1
[root@localhost mnt]#chmod --reference=/etc/passwd t1
[root@localhost mnt]#ll
total 12
drwxr-xr-x. 2 root root  4096 Jan  9 06:17 hgfs
-rwxr--r--. 1 root root  1251 Feb  1 11:35 ip.sh
-rw-r--r--. 1 root root  2761 Feb  1 11:27 ks.cfg
-rw-r--r--. 1 root root     0 Feb  4 16:09 t1    ---参考/etc/passwd 文件的属性设置t1文件的属性
  • X对目录增加执行权限,对原来没有执行权限的文件不增加执行权限
[root@centos6 app]#ll
total 4
drw-r--r--. 4 root root 4096 Jul 24 19:25 dir
[root@centos6 app]#cd dir/
[root@centos6 dir]#ll
total 8
drw-r--r--. 2 root root 4096 Jul 24 19:25 dir1 ---无执行权限
drw-r--r--. 2 root root 4096 Jul 24 19:25 dir2 ---无执行权限
-rwxr--r--. 1 root root    0 Jul 24 19:25 f1  --- 所有者有执行权限
-rw-r--r--. 1 root root    0 Jul 24 19:25 f2 --- 无执行权限
[root@centos6 dir]#cd ..
[root@centos6 app]#chmod -R a+X dir --对dir这个目录增加X执行权限
[root@centos6 app]#ll
total 4
drwxr-xr-x. 4 root root 4096 Jul 24 19:25 dir
[root@centos6 app]#cd dir
[root@centos6 dir]#ll
total 8
drwxr-xr-x. 2 root root 4096 Jul 24 19:25 dir1
drwxr-xr-x. 2 root root 4096 Jul 24 19:25 dir2
-rwxr-xr-x. 1 root root    0 Jul 24 19:25 f1
-rw-r--r--. 1 root root    0 Jul 24 19:25 f2

总结:对目录增加X权限,则目录内的所有子目录会增加执行权限,目录内的文件不会增加执行权限,除非文件原来就有执行权限。

2、文件的默认权限

对于文件=666-umask 根据结果,偶数不变,奇数加1
对于目录=777-umask

  • 设置默认权限
[root@centos6 app]#umask 0042 ---设置umask值为偶数
[root@centos6 app]#touch fb
[root@centos6 app]#ll
total 4
drwxr-xr-x. 4 root root 4096 Jul 24 19:25 dir
-rw-r--r--. 1 root root    0 Jul 24 19:39 fa
-rw--w-r--. 1 root root    0 Jul 24 19:40 fb   ---权限为666-042=624
[root@centos6 app]#umask 0135---umask设置为奇数
[root@centos6 app]#touch fc
[root@centos6 app]#ll
total 4
drwxr-xr-x. 4 root root 4096 Jul 24 19:25 dir
-rw-r--r--. 1 root root    0 Jul 24 19:39 fa
-rw--w-r--. 1 root root    0 Jul 24 19:40 fb
-rw-r---w-. 1 root root    0 Jul 24 19:41 fc ---权限为666-135=531 加1为642
[root@centos6 app]#mkdir dir4
[root@centos6 app]#ll
total 8
drwxr-xr-x. 4 root root 4096 Jul 24 19:25 dir
drw-r---w-. 2 root root 4096 Jul 24 19:42 dir4 ---权限为777-135=642
-rw-r--r--. 1 root root    0 Jul 24 19:39 fa
-rw--w-r--. 1 root root    0 Jul 24 19:40 fb
-rw-r---w-. 1 root root    0 Jul 24 19:41 fc
  • umask直接设定默认权限
[root@centos6 app]#umask u=rw,g=r,o= 
[root@centos6 app]#touch f3
[root@centos6 app]#ll
total 8
drwxr-xr-x. 4 root root 4096 Jul 24 19:25 dir
drw-r---w-. 2 root root 4096 Jul 24 19:42 dir4
-rw-r-----. 1 root root    0 Jul 24 19:56 f3
-rw-r--r--. 1 root root    0 Jul 24 19:39 fa
-rw--w-r--. 1 root root    0 Jul 24 19:40 fb
-rw-r---w-. 1 root root    0 Jul 24 19:41 fc
  • umask输出可使用
[root@centos6 app]#umask -p
umask 0022
[root@centos6 app]#umask -p >> .bashrc或者/etc/bashrc

3、特殊权限

  • suid权限
    只能作用于可执行的二进制程序上,继承该程序所有者的权限
[root@localhost ~]#cd /tmp
[root@localhost tmp]#ll
total 16
-rw-r--r--. 1 root root    7 Feb  2 00:21 abc
-rw-r--r--. 1 root root   22 Feb  2 12:53 t1
-rw-r-----. 1 idc  test   12 Feb  4 21:11 t3
drwx------. 2 root root 4096 Feb  4 21:10 vmware-root
[root@localhost tmp]#su - zheng
[zheng@localhost ~]$id zheng
uid=501(zheng) gid=501(zheng) groups=501(zheng)
[zheng@localhost ~]$cat /tmp/t3    ---对于t3来说,zheng用户属于其他人,对t3文件没有任何权限
cat: /tmp/t3: Permission denied
[zheng@localhost ~]$su -
Password: 
[root@localhost ~]#chmod u+s /bin/cat
[root@localhost ~]#ll /bin/cat     ---对cat这个程序增加一个suid权限
-rwsr-xr-x. 1 root root 48568 May 11  2016 /bin/cat
[root@localhost ~]#su - zheng
[zheng@localhost ~]$cat /tmp/t3    ---继承cat这个程序所有者即root的身份,root对t3文件具有读写权限
hello world
  • sgid权限
    ①作用于可执行的二进制程序上,继承该程序所属组的身份
    ②作用于目录上,目录内新建文件的所属组自动继承目录的所属组
[root@localhost tmp]#ll
total 16
-rw-r--r--. 1 root root    7 Feb  2 00:21 abc
-rw-r--r--. 1 root root   22 Feb  2 12:53 t1
-rw-r-----. 1 idc  test   12 Feb  4 21:11 t3    ---t3文件属于test组
drwx------. 2 root root 4096 Feb  4 21:45 vmware-root
[root@localhost ~]#chmod g+s /bin/cat     ---加上sgid权限后继承该程序所属组的身份
[root@localhost ~]#ll /bin/cat 
-rwxr-sr-x. 1 root test 48568 May 11  2016 /bin/cat    ---cat程序属于test组
[root@localhost ~]#su - zheng
[zheng@localhost ~]$cat /tmp/t3
hello world

[root@localhost tmp]#ll
total 20
-rw-r--r--. 1 root root     7 Feb  2 00:21 abc
drwxr-xr-x. 2 root zheng 4096 Feb  4 22:09 dir1
-rw-r--r--. 1 root root    22 Feb  2 12:53 t1
-rw-r-----. 1 idc  test    12 Feb  4 21:11 t3
drwx------. 2 root root  4096 Feb  4 22:05 vmware-root
[root@localhost tmp]#chmod g+s dir1/    ---增加sgid权限
[root@localhost tmp]#ll
total 20
-rw-r--r--. 1 root root     7 Feb  2 00:21 abc
drwxr-sr-x. 2 root zheng 4096 Feb  4 22:09 dir1
-rw-r--r--. 1 root root    22 Feb  2 12:53 t1
-rw-r-----. 1 idc  test    12 Feb  4 21:11 t3
drwx------. 2 root root  4096 Feb  4 22:10 vmware-root
[root@localhost tmp]#cd dir1/
[root@localhost dir1]#touch {1,2}
[root@localhost dir1]#ll
total 0
-rw-r--r--. 1 root zheng 0 Feb  4 22:12 1    ---目录内新建文件的所属组自动继承目录的所属组
-rw-r--r--. 1 root zheng 0 Feb  4 22:12 2
  • sticky权限
    作用于目录上,目录内的文件只有目录的所有者和root可以删除其中的文件
[root@localhost tmp]#chmod o+t dir1/    ---设置sticky权限
[root@localhost tmp]#ll
total 20
-rw-r--r--. 1 root  root     7 Feb  2 00:21 abc
drwxr-sr-t. 2 zheng zheng 4096 Feb  4 22:12 dir1
-rw-r--r--. 1 root  root    22 Feb  2 12:53 t1
-rw-r-----. 1 idc   test    12 Feb  4 21:11 t3
drwx------. 2 root  root  4096 Feb  5 00:00 vmware-root
[root@localhost tmp]#cd dir1/
[root@localhost dir1]#ll
total 0
-rw-r--r--. 1 zheng zheng 0 Feb  4 22:12 1
-rw-r--r--. 1 zheng root  0 Feb  4 22:12 2
[root@localhost dir1]#su - zheng
[zheng@localhost ~]$cd /tmp/dir1/
[zheng@localhost dir1]$rm -f 1    ---zheng属于目录的所有者,可以删1文件
[zheng@localhost dir1]$ll
total 0
-rw-r--r--. 1 zheng root 0 Feb  4 22:12 2
[zheng@localhost dir1]$su - idc
Password: 
[idc@localhost ~]$cd /tmp/dir1/
[idc@localhost dir1]$rm -f 2    ---idc不属于目录的所有者,不能删除f3文件
rm: cannot remove `2': Permission denied

4、设置特定属性

  • chattr命令
[root@localhost tmp]#ll
total 20
-rw-r--r--. 1 root  root     7 Feb  2 00:21 abc
drwxr-sr-t. 2 zheng zheng 4096 Feb  5 00:09 dir1
-rw-r--r--. 1 root  root    22 Feb  2 12:53 t1
-rw-r-----. 1 idc   test    12 Feb  4 21:11 t3
drwx------. 2 root  root  4096 Feb  5 20:10 vmware-root
[root@localhost tmp]#chattr +i t1
[root@localhost tmp]#lsattr t1
----i--------e- t1
[root@localhost tmp]#rm -f t1
rm: cannot remove `t1': Operation not permitted
[root@localhost tmp]#mv t1 /mnt
mv: cannot move `t1' to `/mnt/t1': Operation not permitted
[root@localhost tmp]#echo "hello world" > t1
-bash: t1: Permission denied

总结:加上chattr+i后,即使root身份也不能对文件进行删除,修改,重命名,可以避免误操作。

[root@localhost tmp]#chattr +a t1
[root@localhost tmp]#lsattr t1
-----a-------e- t1
[root@localhost tmp]#rm -f t1
rm: cannot remove `t1': Operation not permitted
[root@localhost tmp]#mv t1 /mnt
mv: cannot move `t1' to `/mnt/t1': Operation not permitted
[root@localhost tmp]#echo "hello world" >> t1
[root@localhost tmp]#echo "hello world" > t1
-bash: t1: Operation not permitted
[root@localhost tmp]#cat t1
localhost.localdomain
hello world

总结:加上chattr+a后只能追加内容,删除,重命名和修改内容都不可以。

[root@localhost tmp]#lsattr t1
----ia-------e- t1
[root@localhost tmp]#chattr -a t1
[root@localhost tmp]#lsattr t1
----i--------e- t1
[root@localhost tmp]#chattr -i t1
[root@localhost tmp]#lsattr t1
-------------e- t1

总结:可以用chattr-a或-i来取消前面的+i或+a操作。

5、ACL访问控制列表

  • 对用户设置ACL权限
[root@localhost tmp]#ll
total 20
-rw-r--r--. 1 root  root     7 Feb  2 00:21 abc    ---zheng用户只是其他人,没有写权限
drwxr-sr-t. 2 zheng zheng 4096 Feb  5 00:09 dir1
-rw-r--r--. 1 root  root    34 Feb  5 20:23 t1
-rw-r-----. 1 idc   test    12 Feb  4 21:11 t3
drwx------. 2 root  root  4096 Feb  5 21:45 vmware-root
You have new mail in /var/spool/mail/root
[root@localhost tmp]#setfacl -m u:zheng:rw abc     ---设置ACL 权限
[root@localhost tmp]#su - zheng
[zheng@localhost ~]$cd /tmp
[zheng@localhost tmp]$echo aaa > abc     ---可以写入了
[zheng@localhost tmp]$cat abc 
aaa
[zheng@localhost tmp]$su - 
Password: 
[root@localhost ~]#cd /tmp
[root@localhost tmp]#getfacl abc     ---查看ACL权限
# file: abc
# owner: root
# group: root
user::rw-
user:zheng:rw-    ---zheng用户有rw权限
group::r--
mask::rw-
other::r--
[root@localhost tmp]#setfacl -x u:zheng abc     ---删除ACL权限
[root@localhost tmp]#getfacl abc 
# file: abc
# owner: root
# group: root
user::rw-
group::r--
mask::r--    ---只删除zheng用户的ACL权限,mask没有删除,删除不彻底
other::r--
[root@localhost tmp]#setfacl -b abc     ---清空ACL 权限,mask也删除
[root@localhost tmp]#getfacl abc 
# file: abc
# owner: root
# group: root
user::rw-
group::r--
other::r--
  • 对组设置ACL权限
[root@localhost tmp]#ll
total 20
-rw-r--r--. 1 root  root     4 Feb  5 21:48 abc
drwxr-sr-t. 2 zheng zheng 4096 Feb  5 00:09 dir1
-rw-r--r--. 1 root  root    34 Feb  5 20:23 t1
-rw-r-----. 1 idc   test    12 Feb  4 21:11 t3
drwx------. 2 root  root  4096 Feb  5 21:55 vmware-root
[root@localhost tmp]#id idc    ---idc属于test组
uid=500(idc) gid=500(idc) groups=500(idc),502(test),503(test1),504(test2),505(test3)
[root@localhost tmp]#setfacl -m g:test:rw abc     ---对test组设置ACL权限为rw
[root@localhost tmp]#getfacl abc 
# file: abc
# owner: root
# group: root
user::rw-
group::r--
group:test:rw-    ---设置成功
mask::rw-
other::r--
[root@localhost tmp]#su idc
[idc@localhost tmp]$echo abcd >> abc     ---可以写内容
[idc@localhost tmp]$cat abc 
aaa
abcd
  • 设置mask权限-限高线
[root@localhost tmp]#ll
total 24
-rw-rw-r--+ 1 root  root     9 Feb  5 21:57 abc    ---所属组的权限为rw
drwxr-sr-t. 2 zheng zheng 4096 Feb  5 00:09 dir1
-rw-r--r--. 1 root  root    34 Feb  5 20:23 t1
-rw-r-----. 1 idc   test    12 Feb  4 21:11 t3
drwx------. 2 root  root  4096 Feb  5 22:53 vmware-root
[root@localhost tmp]#setfacl -m mask::r abc     ---设置mask权限
[root@localhost tmp]#getfacl abc 
# file: abc
# owner: root
# group: root
user::rw-
group::r--
group:test:rw-          #effective:r--
mask::r--
other::r--

[root@localhost tmp]#ll
total 24
-rw-r--r--+ 1 root  root     9 Feb  5 21:57 abc    ---设置mask后所属组的权限为mask的权限
drwxr-sr-t. 2 zheng zheng 4096 Feb  5 00:09 dir1
-rw-r--r--. 1 root  root    34 Feb  5 20:23 t1
-rw-r-----. 1 idc   test    12 Feb  4 21:11 t3
drwx------. 2 root  root  4096 Feb  5 22:53 vmware-root

总结:mask影响的范围是除了所有者和其他人之外的人。
mask是个限高线,在这个范围内的人不允许超过这个线,设置mask后所属组的权限就是mask的权限。
设置完mask后不要在更改ACL 权限,否则mask值会改变。

©著作权归作者所有,转载或内容合作请联系作者
  • 人面猴
    序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 205,033评论 6 478
  • 死咒
    序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 87,725评论 2 381
  • 救了他两次的神仙让他今天三更去死
    文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,473评论 0 338
  • 道士缉凶录:失踪的卖姜人
    文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,846评论 1 277
  • 港岛之恋(遗憾婚礼)
    正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,848评论 5 368
  • 恶毒庶女顶嫁案:这布局不是一般人想出来的
    文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,691评论 1 282
  • 城市分裂传说
    那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,053评论 3 399
  • 双鸳鸯连环套:你想象不到人心有多黑
    文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,700评论 0 258
  • 万荣杀人案实录
    序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 42,856评论 1 300
  • 护林员之死
    正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,676评论 2 323
  • 白月光启示录
    正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,787评论 1 333
  • 活死人
    序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,430评论 4 321
  • 日本核电站爆炸内幕
    正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,034评论 3 307
  • 男人毒药:我在死后第九天来索命
    文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,990评论 0 19
  • 一桩弑父案,背后竟有这般阴谋
    文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,218评论 1 260
  • 情欲美人皮
    我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,174评论 2 352
  • 代替公主和亲
    正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,526评论 2 343

推荐阅读更多精彩内容