一、简述
顾名思义,文件权限即是用户具有的对文件执行操作的范围和程度。在详解linux的文件权限之前,先来了解一下linux中一个常用的命令ls
二、ls命令及权限详解
ls主要用来显示目录列表及文件属性等信息
用法:ls [选项]... [文件]...
常用选项:
-a:显示目录中所有文件(包括以.开头的隐藏文件)
-l:长格式,显示文件的详细属性信息,ls -l相当于ll
-d:仅显示目录名,而不显示目录下的文件列表
-h/--human-readable
-k:以KB(千字节)为单位显示文件大小
-i:显示文件的节点号(inode)
-r:reverse,逆序显示
-R:recursive, 递归显示,显示子目录中的内容
-S:sort by file size
-t: sort by modification time
-F: 给不同类型的文件末尾加不同的标识符
-p : 给目录末尾加标识(“/”)
--time-style=TYPE:指定时间的显示格式
举例说明:
[root@localhost ~]# ls -l /etctotal 1880drwxr-xr-x. 3 root root 4096 Aug 6 04:54 abrtdrwxr-xr-x. 4 root root 4096 Aug 6 05:05 acpi-rw-r--r--. 1 root root 49 Aug 19 17:52 adjtime-rw-r--r--. 1 root root 1512 Jan 12 2010 aliases
1、第一列代表该文件的类型与权限
a)第一个字符代表文件的类型
d:目录文件
-:普通文件
l:符号链接文件
c:字符设备(如键盘、鼠标)文件 ,如/dev/tty
b:块设备(如硬盘、光驱)文件 ,如/dev/sda1,块设备可随机访问,但字符设备不可以
s:套接字文件,如/var/run/acpid.socket
p:管道
b)接下来的字符中,以三个为一组,有三组,分别代表文件属主的权限、文件属组权限以及既不是属主又不属于群组的其它用户的权限。每组均为rwx三个参数的组合,r代表可读(read),w代表可写(write),x代表可执行(execute)
以drwxr-xr-x为例,表示该文件为目录文件,文件属主可读、可写、可执行,同群组的使用者可读、不可写、可执行,其它用户则也是可读、不可写、可执行
c)第一列末尾如果有【.】,表示selinux的安全标签;如果有【+】,则表示该文件应用了ACL,即访问控制列表。
2、第二列代表有多少文件名连接到此节点(inode)
3、第三、四、五列分别代表文件属主和属组、文件大小(默认为字节)
4、第六列代表文件建立时间或最近修改时间(mtime)
5、第七列即为文件名。注意,文件名以【.】号开头的为隐藏文件,需要指定-a选项显示
三、权限之于文件和目录的意义
1、权限之于文件的意义
r:可读取文件内容
w:可编辑、修改或新增文件内容
x:该文件具有被系统执行的权限
2、权限之于目录的意义
r:表示具有读取目录清单的权限
w:新建或删除已经存在的文件或目录
将已经存在的文件和目录更名
移动该目录内文件、目录位置
x:可进入该目录
注意:使用者若要能够读取、修改或执行某文件,前提是必须能够进入该文件所属目录,也即对文件所属目录具有执行权限,否则不能完成操作,即使使用者拥有该文件的各种权限。示例如下:
[tesla@localhost ~]$ ls -ld ./testdrwxrwxr-x 2 tesla tesla 4096 Aug 10 15:07 ./test[tesla@localhost ~]$ ll ./test/inittab-rw-r--r-- 1 tesla tesla 884 Aug 10 15:07 ./test/inittab[tesla@localhost ~]$ cat ./test/inittab# inittab is only used by upstart for the default runlevel.## ADDING OTHER CONFIGURATION HERE WILL HAVE NO EFFECT ON YOUR SYSTEM....[tesla@localhost ~]$ chmod 665 ./test[tesla@localhost ~]$ ls -ld ./testdrw-rw-r-x 2 tesla tesla 4096 Aug 10 15:07 ./test[tesla@localhost ~]$ cat ./test/inittabcat: ./test/inittab: Permission denied
四、用户访问文件时的权限匹配模型
1、检查运行此进程的属主是否与其正在访问的文件的属主相同
2、检查运行此进程的属主是否属于此文件的属组
3、以其它用户的身份访问
五、权限的修改
chmod命令用来修改文件或目录的权限
注意:只有文件的属主和root用户才能修改其权限
用法:chmod [OPTION]… MODE[,MODE]… FILE…
常用选项:
--reference=指定文件或目录:以指定的文件或目录的权限为参照设定文件的权限
-R:递归处理,连同目录内部所有文件和子目录一并修改
1、操作三类用户的权限,使用八进制来表示,如rwxr-xr-x可用755表示
例:chmod 640 file,chmod 5 file (相当于chmod 005 file)
2、操作指定类别的权限
u:属主 g:属组 o:其它 a:all
例如:chmod u=rw fatab,chmod ug=rw fatab
3、操作指定类别使用者的指定权限位
如chmod g+w,o-r fatab
[root@localhost ~]# ls -l /home/tesla/inittab-rw-r--r-- 1 tesla tesla 884 Aug 20 21:13 /home/tesla/inittab[root@localhost ~]# chmod 666 /home/tesla/inittab[root@localhost ~]# ls -l /home/tesla/inittab-rw-rw-rw- 1 tesla tesla 884 Aug 20 21:13 /home/tesla/inittab[root@localhost ~]# chmod u=rwx /home/tesla/inittab[root@localhost ~]# ls -l /home/tesla/inittab-rwxrw-rw- 1 tesla tesla 884 Aug 20 21:13 /home/tesla/inittab[root@localhost ~]# chmod g-w /home/tesla/inittab[root@localhost ~]# ls -l /home/tesla/inittab-rwxr--rw- 1 tesla tesla 884 Aug 20 21:13 /home/tesla/inittab[root@localhost ~]# chmod --reference=/etc/passwd /home/tesla/inittab[root@localhost ~]# ls -l /home/tesla/inittab-rw-r--r-- 1 tesla tesla 884 Aug 20 21:13 /home/tesla/inittab
六、特殊文件权限
1、SUID
当s这个标志出现在文件属主的x权限位上时,如“-rwsr-xr-x.”,此时就被称为Set UID,简称为SUID。几点说明:
1)SUID权限仅对二进制程序有效
2)执行者对于该程序需要具有x的可执行权限
3)本权限仅在执行该程序的过程中有效(run-time)
4)执行者将具有该程序属主的权限
以passwd为例,我们知道,要修改密码,需要将密码以加密的方式写入/etc/shadow文件中,该文件的权限为----------,普通用户没有任何权限,但是所有的权限设置对于管理员root都是无效的。/usr/bin/passwd的权限为-rwsr-xr-x,当用户运行此命令为一个进程时,此进程的有效身份不再是发起者,而是文件的属主,也即root用户,而root用户对/etc/shadow是可写的,这就是为何普通用户也能修改密码的原因
设置方法:chmod u+s FILE...
添加SUID后使用ls -l查看时,s字符可能显示为大写或小写两种形式之一,属主原本具有执行权限时,显示为小写,否则为大写
[root@localhost ~]# ls -l /usr/bin/passwd-rwsr-xr-x. 1 root root 30768 Feb 22 2012 /usr/bin/passwd[root@localhost ~]# chmod u-x /usr/bin/passwd[root@localhost ~]# ls -l /usr/bin/passwd-rwSr-xr-x. 1 root root 30768 Feb 22 2012 /usr/bin/passwd
2、SGID
类似于SUID,只是SGID是获得该文件属组的权限。
主要用于目录,如果使用者对该目录具有写权限,将目录的属组设置SGID之后,使用者在此目录中创建的文件属组不再是使用者的基本组,而是目录的属组
对二进制程序也有效,执行者需要具备x的可执行权限,执行者将获得该程序属组的权限
设置方法:chmod g+s FILE...
[root@localhost ~]# ls -ld /home/tesla/geniusdrwxrwxr-x 2 tesla tesla 4096 Aug 21 02:44 /home/tesla/genius[root@localhost ~]# chmod g+s /home/tesla/genius[root@localhost ~]# touch /home/tesla/genius/sb[root@localhost ~]# ls -l /home/tesla/geniustotal 0-rw-r--r-- 1 root tesla 0 Aug 21 02:51 sb
3、Sticky(SBIT)
是针对other设置的,仅对目录有效,作用是:当用户在此目录中创建文件或目录时,只有自己和root用户能够删除
设置方法:chmod o+t FILE...
七、facl(文件访问控制列表)
facl能够让普通用户透过文件的扩展属性,为其添加额外的用户访问授权机制,而无需改变其属主、属组,也不用更改other的权限。
1、getfacl命令用来获取文件访问控制列表
用法:getfacl [option]... FILE...
2、setfacl命令用来设定文件访问控制列表
用法:setfacl [option]... 目标:MODE FILE...
常用选项:
-m:更改文件的访问控制列表
-x:取消文件访问控制列表条目
-R:递归处理
例:setfacl -m u:docker:rw- a.os 使用户docker对a.os具有读写权限
[root@localhost ~]# getfacl /home/tesla/inittabgetfacl: Removing leading '/' from absolute path names# file: home/tesla/inittab# owner: tesla# group: teslauser::rw-group::r--mask::r--other::r--[root@localhost ~]# setfacl -m u:wittgenstein:rw- /home/tesla/inittab[root@localhost ~]# getfacl /home/tesla/inittabgetfacl: Removing leading '/' from absolute path names# file: home/tesla/inittab# owner: tesla# group: teslauser::rw-user:wittgenstein:rw-group::r--mask::rw-other::r--
3、启用facl之后权限的应用模型:
属主—用户级别的facl—属组—组级别的facl—其它
八、umask
umask命令用来设置新文件权限的掩码,从而控制新建文件的默认权限。
新建文件的默认权限为666-umask,新建文件默认没有可执行权限;新建目录的默认权限为777-umask。
umask值实际有4位数字,后三位为属主、属组、其它用户的权限,第一位是特殊权限位,其对应的数字为:SUID-4,SGID-2,SBIT-1。第一位用得不多,现只取后三位说明。
root用户umask的默认值为022(普通用户为002),可通过umask命令查看并修改
用法:umask [option]... [新的权限值(以八进制表示)]
默认权限的计算示例:
1)若umask值为022,则文件权限起始值为666-022=644(rw- r-- r--),目录权限起始值为777-022=755(rwx r-x r-x)
2)若umask值为045,666-045=621(rw--w---x),由于通常要求新建文件默认不具有可执行权限,由此在对应的x位上加1,新建文件默认权限为622
[root@localhost ~]# umask0022[root@localhost ~]# umask 045[root@localhost ~]# umask0045[root@localhost ~]# mkdir /home/jack[root@localhost ~]# ls -ld /home/jackdrwx-wx-w- 2 root root 4096 Aug 21 03:54 /home/jack[root@localhost ~]# touch /home/jack/rose[root@localhost ~]# ls -l /home/jack/rose-rw--w--w- 1 root root 0 Aug 21 03:56 /home/jack/rose
通过umask命令修改的umaks值只是临时有效,若想长期有效,应修改或写入bash配置文件,如/etc/profile,~/.bash_profile等
附:特殊权限使用示例:
1、让普通用户能使用/tmp/cat去查看/etc/shadow文件;
[root@localhost ~]# cp `which cat` /tmp[root@localhost ~]# ll /tmp/cat-rwxr-xr-x 1 root root 48568 Oct 6 11:51 /tmp/cat[root@localhost ~]# chmod u+s /tmp/cat[root@localhost ~]# ll /tmp/cat-rwsr-xr-x 1 root root 48568 Oct 6 11:51 /tmp/cat[root@localhost ~]# su - tesla[tesla@localhost ~]$ /tmp/cat /etc/shadow...davinci:!!:16714:0:99999:7:::kubrick:!!:16714:0:99999:7:::
2、创建目录/test/data,让某组内普通用户对其有写权限,且创建的所有文件的属组为目录所属的组;此外,每个用户仅能删除自己的文件;
[root@localhost ~]# mkdir -p -m 757 /test/data[root@localhost ~]# chmod g+s,o+t /test/data[root@localhost ~]# ls -ld /test/datadrwxr-srwt 2 root root 4096 Oct 6 12:08 /test/data[root@localhost ~]# su - tesla[tesla@localhost ~]$ touch /test/data/a[tesla@localhost ~]$ ll !$ll /test/data/a-rw-rw-r-- 1 tesla root 0 Oct 6 12:11 /test/data/a[tesla@localhost ~]$ su - davinciPassword: [davinci@localhost ~]$ touch /test/data/b[davinci@localhost ~]$ ll !$ll /test/data/b-rw-rw-r-- 1 davinci root 0 Oct 6 12:13 /test/data/b[davinci@localhost ~]$ rm -f /test/data/arm: cannot remove `/test/data/a': Operation not permitted