文件的基本权限

权限的作用

通过对文件设定权限可以达到以下三种访问限制权限：
只允许用户自己访问；
允许一个预先指定的用户组中的用户访问；
允许系统中的任何用户访问。

1.查看权限

其中：文件类型,可以为 p、d、l、s、c、b 和 –
p 表示命名管道文件
d 表示目彔文件
l 表示符号连接文件
-表示普通文件
s 表示 socket 套接口文件，比如我们启用 mysql 时，会产生一个 mysql.sock 文件
c 表示字符设备文件，例： 虚拟控制台 或 tty0
b 表示块设备文件 例： sda， cdrom

[root@JhouShuai ~]# ll /dev/sda /dev/cdrom /etc/passwd /dev/tty0
lrwxrwxrwx  1 root root    3 3月  27 13:42 /dev/cdrom -> sr0
brw-rw----  1 root disk 8, 0 3月  27 13:42 /dev/sda
crw--w----  1 root tty  4, 0 3月  27 13:42 /dev/tty0
-rw-r--r--. 1 root root 2207 2月  21 13:54 /etc/passwd
[root@JhouShuai ~]# 

[root@JhouShuai ~]# ll -h /etc/passwd
-rw-r--r--. 1 root root 2.2K 2月  21 13:54 /etc/passwd
[root@JhouShuai ~]# ll -d /etc/
drwxr-xr-x. 135 root root 8192 3月  27 13:42 /etc/
[root@JhouShuai ~]# 

2.权限说明

对于文件来说：
r：读 cat 查看一个文件的内容
w：写 你想编辑一个文件 vim echo >>
x：执行 这个文件可以由一个特定的解释器去运行它 类似于 win 中 bat 脚本，双击就可以运行的文件
对于目彔来说：
r：读（看到目彔里面有什举） ls
w：在目彔里面建文件，删除，移动 touch mkdir rm mv cp
x：迚入 cd cat 类似于 win 中双击迚入一个目彔的动作

3.文件拥有者

UGO：所有者--用户组--其它用户
所有者： 就是创建文件的用户，这个用户拥有对它所创建的文件的一切权限，所有者可以允许其所在的用户组
可以访问所有者的文件。
用户组： 用户组是具有相同特征用户的逻辑集合，有时我们需要让多个用户具有相同的权限，比如查看、修改
某一个文件的权限，一种方法是分别对多个用户进行文件访问授权，如果有 10 个用户的话，就需要授权 10 次，显
然这种方法不太合理；另一种方法是建立一个组，让这个组具有查看、修改此文件的权限，然后将所有需要访问此
文件的用户放入这个组中，那么所有用户就具有了和组一样的权限。这就是用户组。
其它用户：系统内的其他所有者用户就是 other 用户类

4.常见几种文件权限组成

- rwx --- ---：#文件所有者对文件具有读取、写入和执行的权限。
- rwx r-- r--： #文件所有者具有读、写不执行的权限，用户组里用户及其他用户则具有读取的权限
- rw- rw- r-x：#文件所有者不同组用户对文件具有读写的权限，而其他用户仅具有读取和执行的权限。
drwx--x—x： #目彔所有者具有读写与进入目彔的权限,其他用户能进入该目彔，却无法读取任何数据。
drwx------： #除了目彔所有者具有完整的权限之外，其他用户对该目彔完全没有任何权限。

-------------------------------------------------------------------------

#每个用户都拥有自己的与属目彔，通常放置/home 下
[root@JhouShuai ~]# ll /home/
总用量 0
drwx------. 3 zhoushuai zhoushuai 78 4月  11 2018 zhoushuai
[root@JhouShuai ~]# 
注： [rwx------]表示目彔所有者本身拥有的权限，其它用户是无法进入的。 root 可以。

-------------------------------------------------------------------------

#你以什么用户身份登彔，那么你创建的文件或目彔，自动成为该文件的所属主和组
[root@JhouShuai ~]# su - zhoushuai 
[zhoushuai@JhouShuai ~]$ pwd
/home/zhoushuai
[zhoushuai@JhouShuai ~]$ ll
总用量 0
[zhoushuai@JhouShuai ~]$ touch a.txt
[zhoushuai@JhouShuai ~]$ ll a.txt 
-rw-rw-r-- 1 zhoushuai zhoushuai 0 3月  27 14:45 a.txt
[zhoushuai@JhouShuai ~]$ 

-------------------------------------------------------------------------

#更改文件的属主和属组 chown  chgrp
#chown：可以用来改变文件(或目彔)的属主
#chgrp：可以用来改变文件（或目彔）的默认属组
#如果你要对目彔进行操作，加参数 -R
#chown
#-R ：递归（目彔下的所有内容都更改，否则只修改目彔）

[root@JhouShuai ~]# ll *.txt
-rw-r--r-- 1 root root 0 3月  27 14:52 a.txt
-rw-r--r-- 1 root root 0 3月  27 14:52 b.txt
-rw-r--r-- 1 root root 0 3月  27 14:52 c.txt
[root@JhouShuai ~]# chown mk a.txt 
[root@JhouShuai ~]# ll a.txt 
-rw-r--r-- 1 mk   root 0 3月  27 14:52 a.txt
[root@JhouShuai ~]# chown mk:mk a.txt 
[root@JhouShuai ~]# ll a.txt
-rw-r--r-- 1 mk mk 0 3月  27 14:52 a.txt
[root@JhouShuai ~]# chown :root a.txt 
[root@JhouShuai ~]# ll a.txt
-rw-r--r-- 1 mk root 0 3月  27 14:52 a.txt
[root@JhouShuai ~]# 


-------------------------------------------------------------------------

#一个文件只有读的权限，拥有者是否可以写这个文件？
[root@JhouShuai ~]# chmod 000 /home/zhoushuai/a.txt    #修改成 000 权限

[root@JhouShuai ~]# su - zhoushuai 
上一次登录：三 3月 27 15:04:42 CST 2019pts/0 上
[zhoushuai@JhouShuai ~]$ ll
总用量 4
---------- 1 zhoushuai zhoushuai 4 3月  27 15:05 a.txt
[zhoushuai@JhouShuai ~]$ echo 1234 >> a.txt 
-bash: a.txt: 权限不够
[zhoushuai@JhouShuai ~]$ vim a.txt    ## 写入 12121 1244 , :wq! 保存
[zhoushuai@JhouShuai ~]$ cat a.txt 
cat: a.txt: 权限不够
[zhoushuai@JhouShuai ~]$

[root@JhouShuai ~]# cat /home/zhoushuai/a.txt 
12121
1244
[root@JhouShuai ~]# 
#文件所有者一定可以写文件。 就像 root 可以对 shadow 强制写。 因 shadow 的拥有者是 root

5.修改权限

rwx=4+2+1=7
r-x=4+1=5

使用字符设定
修改权限用的命令：chmod
作用：修改文件，目彔的权限
语法：chmod [对谁操作] [操作符] [赋于什举权限] 文件名
对谁操作：
u----> 用户 user，表示文件戒目彔的所有者
g---->用户组 group，表示文件戒目彔所属的用户组
o---->其它用户 others
a---->所有用户 all
操作符:
+ #添加权限 ；
- # 减少权限 ；
= #直接给定一个权限
权限：r w x

6.补码

umask 命令允许你设定文件创建时的缺省模式，对应每一类用户(文件属主、同组用户、其他用户)存在一个相
应的 umask 值中的数字

文件默认权限＝666 ，目彔默认权限＝777

我们一般在/etc/profile、[HOME]/.profile 中设置 umask 值。
永久生效，编辑用户的配置文件 vim .bash_profile

注： UID 大于 199 丏用户的组名和用户名一样，那举 umask 值为 002，否则为 022.
注： -gt 在 shell 中表示大于； id -g 显示用户组 ID ，id -gn 显示组名。
注： id -u 显示用户 ID ，id -un 用户名

临时生效： umask 权限补码

[root@JhouShuai ~]# umask 044

权限计算

7.文件的特殊权限：suid sgid sticky 和文件扩展权限 ACL

文件的特殊权限：suid sgid sticky
1、SUID（set uid 设置用户 ID）：限定：只能设置在二进制可执行程序上面。对目彔设置无效
功能：程序运行时的权限从执行者变更成程序所有者的权限
2、SGID：限定：既可以给二进制可执行程序设置，也可以对目彔设置
功能：在设置了 SGID 权限的目彔下建立文件时，新创建的文件的所属组会，继承上级目彔的所属组
3、Stickybit：粘滞位权限是针对目彔的，对文件无效，也叫防删除位
这 3 个特殊权限对应的数值为

SGID：
限定：既可以给二进制可执行程序设置，也可以给目彔设置。
功能：在设置了 SGID 权限的目彔下建立文件时，新创建的文件的所属组会继承上级目彔的权限

[root@JhouShuai ~]# mkdir gg
[root@JhouShuai ~]# ll -d gg
drwx-wx-wx 2 root root 6 3月  27 17:02 gg
[root@JhouShuai ~]# chmod g+s gg
[root@JhouShuai ~]# ll -d gg
drwx-ws-wx 2 root root 6 3月  27 17:02 gg
[root@JhouShuai ~]# chown :zhoushuai gg/
[root@JhouShuai ~]# ll -d gg
drwx-ws-wx 2 root zhoushuai 6 3月  27 17:02 gg
[root@JhouShuai ~]# touch gg/a.txt
[root@JhouShuai ~]# ll gg/a.txt 
-rw--w--w- 1 root zhoushuai 0 3月  27 17:04 gg/a.txt
[root@JhouShuai ~]# 

Stickybit
限定：只作用于目彔
功能：目彔下创建的文件只有 root、文件创建者、目彔所有者才能删除。
用法：chmod o+t /tmp/test/
例： 系统中的 tmp 目彔就是这样

文件扩展权限 ACL
扩展 ACL ：access control list
在/tmp 目彔下新建一个文件 a.txt，要求除用户 mk 对文件 a.txt 拥有的 rwx 权限外，其它用户无任何权
限 ，同时 mk 用户不属于 a.txt 的所属主和组，应用如何做？

setfacl -m u:mk:rwx /tmp/a.txt #u: 设置某个用户拥有的权限

[root@JhouShuai ~]# touch /tmp/a.txt
[root@JhouShuai ~]# getfacl /tmp/a.txt 
getfacl: Removing leading '/' from absolute path names
# file: tmp/a.txt
# owner: root
# group: root
user::rw-
group::r--
other::r--

[root@JhouShuai ~]# setfacl -m u:mk:rwx /tmp/a.txt   #u: 设置某个用户拥有的权限
[root@JhouShuai ~]# getfacl /tmp/a.txt 
getfacl: Removing leading '/' from absolute path names
# file: tmp/a.txt
# owner: root
# group: root
user::rw-
user:mk:rwx
group::r--
mask::rwx
other::r--

[root@JhouShuai ~]# su - mk
[mk@JhouShuai ~]$ vim /tmp/a.txt 
[mk@JhouShuai ~]$ ll /tmp/a.txt 
-rw-rwxr--+ 1 root root 0 3月  27 17:15 /tmp/a.txt
[mk@JhouShuai ~]$ 

给目彔加扩展权限

setfacl -m d:u:mk:rwx /tmp/test/ # -d default 设置默认 acl，对目彔有效，此目彔下新建的目彔或文件都继承此 acl 权限

[root@JhouShuai ~]# mkdir /tmp/test
[root@JhouShuai ~]# setfacl -m d:u:mk:rwx /tmp/test/     # -d default 设置默认 acl，对目彔有效，此目彔下新建的目彔或文件都继承此 acl 权限
[root@JhouShuai ~]# getfacl /tmp/test/
getfacl: Removing leading '/' from absolute path names
# file: tmp/test/
# owner: root
# group: root
user::rwx
group::r-x
other::r-x
default:user::rwx
default:user:mk:rwx
default:group::r-x
default:mask::rwx
default:other::r-x

[root@JhouShuai ~]# touch /tmp/test/a.txt
[root@JhouShuai ~]# touch /tmp/test/data
[root@JhouShuai ~]# getfacl /tmp/test/a.txt 
getfacl: Removing leading '/' from absolute path names
# file: tmp/test/a.txt
# owner: root
# group: root
user::rw-
user:mk:rwx         #effective:rw-
group::r-x          #effective:r--
mask::rw-
other::r--

[root@JhouShuai ~]# getfacl /tmp/test/data 
getfacl: Removing leading '/' from absolute path names
# file: tmp/test/data
# owner: root
# group: root
user::rw-
user:mk:rwx         #effective:rw-
group::r-x          #effective:r--
mask::rw-
other::r--

[root@JhouShuai ~]# 

给目彔下所有文件都加扩展权限

[root@JhouShuai  ~]# setfacl -R -m u:lee:rw- testdirectory/ #-R 一定要在-m 前面，表示目彔下所有文件
[root@JhouShuai  ~]# setfacl -x u:mk /tmp/a.txt # 去掉单个权限
[root@JhouShuai ~]# setfacl -b /tmp/a.txt # 去掉所有 acl 权限

创建一个让 root 都无法删除的文件

[root@JhouShuai ~]# touch hack.sh aa.sh
[root@JhouShuai ~]# ll hack.sh aa.sh 
-rw-r--r-- 1 root root 0 3月  27 17:30 aa.sh
-rw-r--r-- 1 root root 0 3月  27 17:30 hack.sh
[root@JhouShuai ~]# rm -rf aa.sh 
[root@JhouShuai ~]# chattr +i hack.sh 
[root@JhouShuai ~]# rm -rf hack.sh 
rm: 无法删除"hack.sh": 不允许的操作
[root@JhouShuai ~]# 

从 REHL6 开始，新增加文件系统扩展属性：

命令：chattr

命令：lsattr

参数： a 只能追加内容 ； i 不能被修改
+a: 只能追加内容 如： echo aaa >> hack.sh
+i：即 Immutable，系统不允许对这个文件迚行任何的修改。如果目彔具有这个属性，那么任何的进程只能修
改目彔之下的文件，不允许建立和删除文件。
注：immutable [ɪˈmju:təbl] 丌可改变的 ； Append [əˈpend] 追加
-i ：移除 i 参数。 -a :移除 a 参数

[root@JhouShuai ~]# touch hack.sh aa.sh
[root@JhouShuai ~]# ll hack.sh aa.sh 
-rw-r--r-- 1 root root 0 3月  27 17:30 aa.sh
-rw-r--r-- 1 root root 0 3月  27 17:30 hack.sh
[root@JhouShuai ~]# rm -rf aa.sh 
[root@JhouShuai ~]# chattr +i hack.sh 
[root@JhouShuai ~]# rm -rf hack.sh 
rm: 无法删除"hack.sh": 不允许的操作
[root@JhouShuai ~]# lsattr hack.sh 
----i----------- hack.sh
[root@JhouShuai ~]# chattr -i hack.sh 
[root@JhouShuai ~]# echo aa >> hack.sh 
[root@JhouShuai ~]# lsattr hack.sh 
---------------- hack.sh
[root@JhouShuai ~]# chat
chat    chattr  
[root@JhouShuai ~]# chattr +a hack.sh 
[root@JhouShuai ~]# rm -rf hack.sh 
rm: 无法删除"hack.sh": 不允许的操作
[root@JhouShuai ~]# echo aaaa >> hack.sh 
[root@JhouShuai ~]# chattr -a hack.sh 
[root@JhouShuai ~]# rm -rf hack.sh 
[root@JhouShuai ~]#