linux_学习之文件权限管理

原创

mob604756e88498 2021-04-04 23:31:21 ©著作权

文章标签 Python 文章分类 Python 后端开发

©著作权归作者所有：来自51CTO博客作者mob604756e88498的原创作品，请联系作者获取转载授权，否则将追究法律责任

chmod、chown、chgrp、chage

chmod 修改文件的rwx权限

chown 修改文件的属组属主

chgrp 修改文件的属主

文件管理 1. umask 系统文件默认权限


目录最高文件   777
文件最高文件   666

在root下系统默认
创建目录：755
创建文件：644

2. 文件属组及属主变更

# 递归修改文件的属主
chown -R username filename

# 修改文件的属组
chgrp username filename

# 修改文件的属主及属组
chown   -R   username:groupname   filename

# 修改文件的读写执行权限
chmod  -R  755   filename

3. 特殊权限SUID/SGID/SBIT #对目录来说，能进入是需要X权限

#文件能mv，cp，rm是取决于上级目录是否有w权限

#SUID 说穿了是对命令的权限下发 rw- +suid rwS

rwx  +suid     rws

#加suid，不管谁来执行这个命令，都以二进制文件命令拥有者身份执行

chmod u+s /bin/cat

su - user1

cat /etc/shadow 就可以访问了

SUID------> 4

1.对档案有效，对目录无效

2.仅对二进制程序有效，对scrip无效

3.执行者对该程序有x权限

4.执行者将具有该程序owner拥有者权限

SGID-------> 2

1.对档案有效，对目录有效

2.对二进制程序有效

3.执行者有x，执行过程中将获得该程序群组的权限支持

sgid就是继承上级目录的属组及权限；

如建立一个目录，将要访问该目录的所有用户加入建立该目录的组中，且给该目录加sgid权限，那么任何用户在该目录下建立文件，该文件的属组继承上级目录的属组及权限

例如：使用者user1~user3三个人在同一个项目的同一个目录里开发，可相互rwx各自写的东西，但三个人又有自己的私人家目录及群组。

a.将三个用户添加副组shareGR

      usermod  -G shareGR user1

      。。。。。。

b.建立公用目录及赋予SGID

       mkdir shareDR

      chgrp shareGR shareDR

       chmod  2770 shareDR

SBIT-------> 1

1.仅对目录有效，对档案无效

2.当用户对目录有w，x权限时

3.当用户在目录下建立的目录或档案，仅自己和root可删

即当目录有SBIT权限时，用户对该目录有wx，在目录里只能对自己的目录、档案处理，无法处理其他人的。

如果上级目录其他用户有rwx权限，则在目录下a用户创建的文件，b用户可以删除；

----------------------

# 示例
用途：大家都对公共的资源有权限，各自又独立
s和t是取代x的权限来表示

# 查看目录的权限及属主属组
#ll -d   /test
drwxrwxrwx root toot ……

# 切换目录，创建文件
# su - user1
# touch /test/aaaa.txt

# 查看文件的权限644
#ll /test/aaaa.tx
-rw-r--r--   user1 user1 ……

# 切换用户user2
#su - user2
# 可以删掉，因为rm权限是看上级目录o的权限的
#rm -rf aaaa.txt    

# 给目录加
#chmod o+t /test

#su - user2
#rm -rf aaaa.txt 无权限删除      

SUID=u+s      SGID=g+s     SBIT=o+t

4. ACl（access control list 访问控制列表） 可针对单一用户，档案，目录进行rwx设置权限管控，acl默认支持，但系统版本不同可能有意外

# 1.查看
dumpe2fs -h /dev/sda1    -------->查询

# 2.设定acl支持
mount -o remount，acl /   --------->临时

cat /etc/fstab |sed -i '17i LABEL=/1 / ext4 default，acl 1 1'


# 语法
acl的设定

getfacl：取得directory/file的acl

setfacl：设定directory/file 的acl


setfacl 【-bkRd】【{-m|-x} acl参数】目标文件名

-m       设定acl参数

-x         删除acl参数

-b         移除所有acl设定参数

-k         移除预设acl参数

-R         递归设定acl

-d         设定预设acl参数，仅对目录有效，在该目录新建的数据会引用此默认值

针对使用者：

setfacl -m u:使用者账号列表：rwx 档案或目录

eg：

setfacl -m u:test1:rw test.txt

getfacl filename   查看acl权限管控，选项通过setfacl

针对特定群组：

setfacl -m u:群组列表：rwx 档案或目录

上面的acl设定，只针对父目录或档案，子目录无法继承

要次目录继承acl设定：

setfacl -m d:u或g:rwx tex.txt

5. chattr 修改文件属性，达到保护文件目录的作用，比chmod更加强大的修改底层的文件属性。但不能保护/、/dev、/tmp、/var目录

查看该类属性通过命令：
# lsattr
---------------- ./nl_flow_llb
---------------- ./zy_flow_llb
---------------- ./my_study_book
---------------- ./share_flow_llb
---------------- ./build-base-image

语法：

chattr [-RVf] [-+=AacDdeijsSu] [-v version]files...

+ ：在原有参数设定基础上，追加参数。

- ：在原有参数设定基础上，移除参数。

= ：更新为指定参数设定。

A：文件或目录的 atime (access time)不可被修改(modified), 可以有效预防例如手提电脑磁盘I/O错误的发生。

S：硬盘I/O同步选项，功能类似sync。

a：即append，设定该参数后，只能向文件中添加数据，而不能删除，多用于服务器日志文 件安全，只有root才能设定这个属性。

c：即compresse，设定文件是否经压缩后再存储。读取时需要经过自动解压操作。

d：即no dump，设定文件不能成为dump程序的备份目标。

i：设定文件不能被删除、改名、设定链接关系，同时不能写入或新增内容。i参数对于文件 系统的安全设置有很大帮助。

j：即journal，设定此参数使得当通过mount参数：data=ordered 或者 data=writeback 挂 载的文件系统，文件在写入时会先被记录(在journal中)。如果filesystem被设定参数为 data=journal，则该参数自动失效。

s：保密性地删除文件或目录，即硬盘空间被全部收回。

u：与s相反，当设定为u时，数据内容其实还存在磁盘中，可以用于undeletion.

各参数选项中常用到的是a和i。a选项强制只可添加不可删除，多用于日志系统的安全设定。而i是更为严格的安全设定，只有superuser (root) 或具有CAP_LINUX_IMMUTABLE处理能力（标识）的进程能够施加该选项。

# 示例
1、用chattr命令防止系统中某个关键文件被修改

# chattr +i /etc/fstab

然后试一下rm mv rename等命令操作于该文件，都是得到Operation not permitted 的结果

2、让某个文件只能往里面追加内容，不能删除，一些日志文件适用于这种操作

# chattr +a /data1/user_act.log