理解Linux文件权限3

原创

bjiaonline 2013-10-20 22:32:13 博主文章分类：linux基础知识 ©著作权

文章标签 Linux 权限 文章分类 运维

©著作权归作者所有：来自51CTO博客作者bjiaonline的原创作品，如需转载，请与作者联系，否则将追究法律责任

Linux还为每个文件和目录存储了3个额外的信息位。

□设置用户ID（SUID):当文件被用户使用时，程序会以自身文件属主的权限运行。

s:属主原有执行权限

S:属主无执行权限

chmod u+|-s /path/to/somfile

chmod 4644 /path/to/somefile

例：

[hadoop@localhost test]$ ls -l `which passwd`
-rwsr-xr-x 1 root root 22984 2007-01-07 /usr/bin/passwd

□设置组ID（SGID):对文件来说，程序会议文件属组的权限运行；对目录来说，目录中创建的新文件会以目录的默认数组作为默认属组。

chmod g+|-s /path/to/somfile

chmod 4644 /path/to/somefile

例子：

1、创建两个用户hive和hadoop

将这两个用户加入到mygrp组中赋予一个目录有mygrp组写的权限

[root@localhost ~]# useradd hadoop
[root@localhost ~]# useradd hive
[root@localhost ~]# usermod -a -G mygrp hadoop
[root@localhost ~]# usermod -a -G mygrp hive
[root@localhost ~]# chmod g+w /tmp/test/
[root@localhost ~]# chown :mygrp /tmp/test/

2、分别以hive和hadoop的身份在/tep/test创建一个文件

-rw-rw-r-- 1 hadoop hadoop 0 10-20 21:49 a.hadoop
-rw-rw-r-- 1 hive   hive   0 10-20 21:50 a.hive

注：这个时候如果以hive的身份去修改a.hadoop,会出无法修改，权限不够

因为这个文件的属主和属组都是hadoop，hive无权更改

两个用户都能修改各自创建的文件，只需修改属组为mygrp即可。但不可能每次创建一个文件都手工去chmod。这个时候就需运用到sgid的作用。

3、将/tmp/test修改成sgid

[root@localhost ~]# chmod g+s /tmp/test/
[root@localhost ~]# ls -ld /tmp/test/
drwxrwsr-x 2 root mygrp 4096 10-20 21:50 /tmp/test/

4、以hive和hadoop各自的身份分别创建两个文件

-rw-rw-r-- 1 hadoop mygrp  0 10-20 22:06 b.haddop
-rw-rw-r-- 1 hive   mygrp  0 10-20 22:06 b.hive

这个时候，hadoop和hive用户的属组都为Mygrp。也就是此目录为两者的共享目录。

SGID位对文件共享非常重要。是能了SGID位，让在一个共享目录下创建的新文件都属于该目录的属组，也就是每个用户的组

□粘着位（sticky):附加other的权限上

chmod o+|-t /path/to/somefile

例子：

1、将/tmp/test进行配置stick
[root@localhost ~]# chmod o+t /tmp/test/
[root@localhost ~]# ls -ld /tmp/test/
drwxrwsr-t 2 root mygrp 4096 10-20 22:13 /tmp/test/
2、用hadoop的身份创建一个文件，如下：
-rw-rw-r-- 1 hadoop mygrp  0 10-20 22:16 c.haddop
3、用hive的身份编辑和删除c.haddop
结果：可以对c.hadoop进行编辑修改，但是无法删除
[hive@localhost test]$ rm c.haddop
rm: 无法删除 “c.haddop”: 不允许的操作

chmod SUID、SGID和粘着位的八进制值

二进制八进制描述

000 0 所有位都清零

001 1 粘着位置位

010 2 SGID位置位

011 3 SGID位和粘着位都置位

100 4 SUID位置位

101 5 SUID位和粘着位都置位

110 6 SUID位和SGID位都置位

111 7 所有位都置位

ACL：文件访问控制列表

acl:用于实现在原有的访问控制机制之外补充一种文件访问控制机制

用户访问文件：

1、用户是否为文件属主？

2、用户是否有特定的访问控制条目？

3、用户是否属于文件属组？

4、用户所属的组是否有特定的访问控制条目？

5、其它。

getfacl /path/to/somewhere:查看文件或目录的访问控制列表：

[hadoop@localhost test]$ getfacl b.hive
# file: b.hive
# owner: hive
# group: mygrp
user::rw-
group::rw-
other::r--

setfacl -m u:USERNAME:MODE /path/to/somewhere:为USERNAME指定的用户设定对文件/path/to/somewhere具有MODE访问权限：

setfacl -m g:GROUPNAME:MODE /path/to/somewhere:为GROUPNAME指定的组设定对文件/path/to/somewhere具有MODE访问权限：

setfacl -x u:USERNAME /path/to/somewhere

setfacl -x g:GROUPNAME /path/to/somewhere

额外挂载的文件系统默认不支持acl

/dev/mapper/onlinevg-mylv
3.0G  136M  2.7G   5% /mnt
[root@TP-CW-TS-DB-01 mnt]# setfacl -m u:nagios:rw  fstab
setfacl: fstab: Operation not supported

解决方法1：

[root@TP-CW-TS-DB-01 mnt]# umount /mnt
[root@TP-CW-TS-DB-01 mnt]# mount -o acl /dev/mapper/onlinevg-mylv /mnt
[root@TP-CW-TS-DB-01 mnt]# mount -o acl /dev/mapper/onlinevg-mylv /mnt
[root@TP-CW-TS-DB-01 mnt]# setfacl -m u:nagios:rw  fstab
[root@TP-CW-TS-DB-01 mnt]# getfacl fstab
# file: fstab
# owner: root
# group: root
user::rw-
user:nagios:rw-
group::r--
mask::rw-
other::r--

永久有效：编辑/etc/fstab,在挂载选项后附加acl选项

方法2：设定分区的默认挂载选项中有acl,则挂载无须再指定acl:

tune2fs -o acl DEVICE

取消此默认挂载选项：

tune2fs -o ^acl DEVICE

补充：

创建不可修改文件

在常见的Linux扩展文件系统中（如ext2、ext3、ext4等），可以将文件设置为不可修改（immutable).某些文件属性可帮助我们将文件设置不可修改。一旦文件被设置为不可修改，任何用户包括超级用户都不能删除该文件，除非其不可修改属性被移除。通过查看/etc/mtab文件，很容易找出所有挂载分区的文件系统类型。

例如：

[root@TP-CW-TS-DB-01 mnt]# chattr +i /mnt/fstab #添加不可修改权限
[root@TP-CW-TS-DB-01 mnt]# rm /mnt/fstab
rm: remove regular file `/mnt/fstab'? y
rm: cannot remove `/mnt/fstab': Operation not permitted
[root@TP-CW-TS-DB-01 mnt]# chattr -i /mnt/fstab #去除不可修改权限
[root@TP-CW-TS-DB-01 mnt]# rm /mnt/fstab
rm: remove regular file `/mnt/fstab'? y  #删除成功