码迷,mamicode.com
首页 > 系统相关 > 详细

linux文件权限管理与ACL访问控制列表

时间:2016-09-21 23:44:31      阅读:488      评论:0      收藏:0      [点我收藏+]

标签:linux acl sefacl chown chmod owner group

 一、文件属性

            1.文件属性:

                        技术分享

               

                文件属性操作

                            chown : change owner  ,设置文件所有者

                            chgrp : change group  ,设置文件的属组

             

                 文件属主修改: chown  

                    格式:chown [OPTION]… [OWNER][:[GROUP]] FILE…

                        用法:

                                OWNER

                                OWNER:GROUPNAME    (同时修改属主、属组)

                                :GROUPNAME                (默认属主,修改属组)

                               ( 命令中的冒号可用.替换;)

                               chown  –reference=RFILE FILE…   参照某文件权限设置权限

                   文件属组修改: chgrp

                        格式:chgrp [OPTION]… GROUP FILE…

                                chgrp [OPTION]

                                -R  递归 递归设置目录中的文件、子目录权限)

                  

            2.文件权限:

                  技术分享技术分享

                   1)权限定义对象:

                            文件的权限主要针对三类对象进行定义:

                                    owner: 属主,文件拥有者, u

                                    group: 属组, 文件拥有组,g

                                    other: 其他, 除以上两类人以外的全部用户,o

                            每个文件针对每类访问者都定义了三种权限:

                                    r: Readable ,读取

                                    w: Writable ,写

                                    x: eXcutable,执行

                            系统对于权限,是依次将用户权限与文件、文件夹的所有者、组、其他权限,依次匹配

                            注:只针对部分文件系统,fat格式的文件系统不支持权限修改(元数据分区中无此内容)

                   2)权限实际意义

                     文件权限的实际意义:

                                r: 可使用文件查看类工具获取其内容

                                w: 可修改其内容,内容也可以被破坏,但是无法删除文件

                                x: 可以把此文件提请内核启动为一个进程,针对二进制程序、脚本而言

                     目录权限的实际意义:

                                r: 无法进入目录(cd)可以使用ls查看此目录中文件列表,但是无法查看文件属性—

                                w: 可在此目录中创建文件,也可删除此目录中的文件(但需要先有X权限)

                                +wx : 可以进入目录,创建、修改、删除文件、文件内容,但是无法获取文件列表

                                x: 可以使用ls -l查看此目录中文件列表,可以cd进入此

               3)权限操作    

                        权限赋值的八进制数字法:

                                                 — 000 0

                                                 –x 001 1

                                                -w- 010 2

                                                -wx 011 3

                                                 r– 100 4

                                                 r-x 101 5

                                                 rw- 110 6

                                                 rwx 111 7

                                 例如:

                                                640: rw-r—–

                                                rwxr-xr-x: 755

                        权限修改:

                                        命令格式:  chmod [OPTION]… OCTAL-MODE FILE…

                                        chmod [OPTION]… MODE[,MODE]… FILE…

                                                          -R: 递归修改权限  (此操作有风险)

                                                        + X (大写) 当递归+X时,如果目录内有子目录,则加执行权限, 如果遇到文件,若文件本身

                                                                 无执行权限,则不加,若有则加x权限        

                                        eg : chmod a=rwX \目录

                        MODE:

                            修改一类用户的所有权限:

                                             u=     g=     o=     ug=   a= (all,全部用户)  u=,     g=

                            修改一类用户某位或某些位权限

                                                u+/-    g+/-   o +/-    a+/-

                        八进制赋值

                                        eg:  chmod  666 file1

                                        chmod [OPTION]… –reference=RFILE FILE…

                                        参考RFILE文件的权限,将FILE的修改为同RFILE;

               4)新文件、目录默认权限  umask值

                               umask作用:用于设置创建文件、目录时的默认权限

                               默认权限:

                                          新建文件默认权限:  666-umask

                                                            (取值为666是处于安全考虑,使新建文件默认下均不含有执行权限)

                                                                如果所得结果某位存在执行(奇数)权限,则将其权限+1,得到最终权限

                                                                eg: umask=125   –>  666-125 =541  –>+1处理后为: 642  (5+1,1+1)

                                    

                                         新建目录默认权限: 777 – umask

                                                            eg :  umask=100 –> 777-100=677 (rw-rwx-rwx)

                              umask 操作:

                                            umask    查看umask 值  (无需加参数)

                                                                (注:如论如何设定,新文件默认均无执行权限)

                                            umask N  : 设定umask = N

                                                注: umask 每个位的最大值不超过7

                                             umask -S   以模式方式显示umask

                                       eg:   u=rwx,g=rw,o=x

                                              umask -p  输出umask值以供调用

                                                eg:   umask 0022

                 

        3特殊权限:SUID(s), SGID(s), Sticky(t)

                         linux安全上下文

                                             (前提:进程有属主和属组;文件有属主和属组)

                            (1) 任何一个可执行程序文件能不能启动为进程:取决于发起者对程序文件是否拥有执行权限

                            (2) 启动为进程之后,其进程的属主为发起者;进程的属组为发起者所属的组

                            (3) 进程访问文件时的权限,取决于进程的发起者

                                            (a) 进程的发起者,同文件的属主:则应用文件属主权限

                                            (b) 进程的发起者,属于文件属组;则应用文件属组权限

               SUID

                作用:可执行文件上SUID权限(作用于二进制程序)(u+s后)任何用户可启动此进程,

                     视为以root用户启动,并且具备root权限

                (对于各种命令,+s之后,任何用户使用它都可以获取root使用时的权限)

                作用对象:SUID只对二进制可执行程序有效,SUID设置在目录上无意义

                权限设定:

                chmod u+s FILE…

                chmod u-s FILE…

               SGID

                作用:

                目录:当一个目录实行了sgid,在目录中任何新创建的文件,都继承本目录的属组

                为自己的属组

                文件:作用在文件上, 一旦一个文件被赋予SGID的权限, 无论当前的用户有无执

                行权限,用户运行该程序,会自动继承该程序所属组的权限。

                         作用对象:目录、文件

                权限设定:

                chmod g+s FILE…

                chmod g-s FILE..

                Sticky 位 (粘滞位)

                作用:具有写权限的目录通常用户可以删除该目录中的任何文件,无论该文件的权限或拥有权

                在目录设置Sticky 位,只有文件的所有者或root可以删除该文件

                作用对象:仅作用于目录,sticky 设置在文件上无意义

                权限设定:

                chmod o+t DIR…

                chmod o-t DIR…

                例如:

                 ls -ld /tmp

                drwxrwxrwt 12 root root 4096 Nov 2 15:44 /tmp

                注:当文件夹、文件 SUID\SGID\STKCKET 显示为大写时,为错误状态

                小写才是正常状态

                    chmod 777 /dir 未必可以除掉 s权限

                    应该改为: chmod 0777 /dir

                特殊权限的数字法:

                SUID SGID STICKY

                000 0

                001 1

                010 2

                011 3

                100 4

                101 5

                110 6

                111 7

                eg: chmod 4777 /tmp/a.txt

               权限位映射:

                SUID: user,占据属主的执行权限位

                s: 属主拥有x权限

                S:属主没有x权限

                SGID: group,占据属组的执行权限位

                s: group拥有x权限

                S: group没有x权限

                Sticky: other,占据other的执行权限位

                t: other拥有x权限

                T: other没有x权限

                注意:修改时,应注意是否需要先赋予x权限,后再追加s权限

                设定文件的特定属性:

                chattr +i 不能删除,改名,更改

                chattr +a 只能增加

                lsattr 显示特定属性

            二、访问控制列表ACL

              1.ACL

                ACL: Access Control List,实现灵活的权限管理

                功能:除了文件的所有者,所属组和其它人,可以对更多的用户设置权限

                ACL生效顺序:所有者,自定义用户,自定义组,其他人

              2. ACL安装:

                CentOS7.0默认创建的xfs和ext4文件系统有ACL功能。

                CentOS7.X之前版本,默认手工创建的ext4文件系统无ACL功能。

                需手动增加:

                tune2fs –o acl /dev/sdb1

                mount –o acl /dev/sdb1 /mnt

       3. ACL 使用详解

                命令:setfacl 设置ACL规则           

                      getfacl  file|dir  获取文件、目录ACL列表

             setfacl    设定文件访问控制列表

                  用法: setfacl [-bkndRLP] { -m|-M|-x|-X … } file …

                      -m, –modify=acl 更改文件的访问控制列表

                             u:username:rwx file/dir  用户

                             g:groupname:rwx file/dir  组

                             o:0 file/dir   其他

                             :0 指无任何权限

                                  -M, –modify-file=file 从文件中读取访问控制列表条目来修改对应文件

                                  -x, –remove=acl 根据文件中访问控制列表移除条目

                                  -X, –remove-file=file 从文件读取访问控制列表条目并删除

                                  -b, –remove-all 删除所有扩展访问控制列表条目

                                  -k, –remove-default 移除默认访问控制列表

                                  –set=acl 设定替换当前的文件访问控制列表

                                  –set-file=file 从文件中读取访问控制列表条目设定

                                  –mask 重新计算有效权限掩码

                                  -n, –no-mask 不重新计算有效权限掩码

                               -d, –default 应用到默认访问控制列表的操作 (生效以后,目录中的任何新建文件也会赋予acl默认权限)

                                   -R, –recursive 递归操作子目录

                                -L, –logical 依照系统逻辑,跟随符号链接

                                  -P, –physical 依照自然逻辑,不跟随符号链接

                                  –restore=file 恢复访问控制列表,和“getfacl -R”作用相反

                                  –test 测试模式,并不真正修改访问控制列表属性

                                      -v, –version           显示版本并退出

                                      -h, –help              显示本帮助信息

                    使用示例:

                        mount -o acl /directory      挂载ACL,使指定目录的ACL临时生效,重启后失效

                                 getfacl file |directory        查询ACL列表

                                 setfacl -m u:wang:rwx file|directory   设定用户的指定权限

                                 setfacl -Rm g:sales:rwX directory      递归设定组对目录以及其目录内文件的权限

                                 setfacl -M file.acl file|directory 使用file.acl文件中的acl条目对file/dir进行acl修

                                          改文件格式,参照getfacl得到的信息

                                 setfacl -m g:salesgroup:rw file| directory   对指定组设定对某文件、目录的权限

                                 setfacl -m d:u:wang:rx directory   对dir中的新建文件也赋予wang:rx权限

                                           删除用户wang对file/dir的ACL条目

                                    文件内容格式:u:username

                                               g:groupname

                                                    o:

                                          setfacl -X file.acl directory     删除dir上 file.acl 文件中对应的条目

               4. ACL中的mask值

                          ACL文件上的group权限是mask 值(自定义用户,自定义组,拥有组的最大权限) ,除了所有者、

                          others ,其他人(属组、ACL添加的其他用户)的权限均不会高于此权限,受此权限的影响而非传统的组权限

            • getfacl 可看到特殊权限: flags

            • 默认ACL权限给了x,文件也不会继承x权限。

            • base ACL 不能删除

            • setfacl -k dir 删除默认ACL权限

            • setfacl -b file1清除所有ACL权限

            • getfacl file1 | setfacl –set-file=-  file2 复制file1的acl权限给file2

              5.备份和恢复ACL

                            主要的文件操作命令cp和mv都支持ACL,只是cp命令需要加上-p 参数。但是tar等常见的备份工具是不会保留目录和文件的ACL信息

                                    #getfacl -R /tmp/dir1 > acl.txt

                                    #setfacl -R -b /tmp/dir1

                                    #setfacl -R –set-file=acl.txt /tmp/dir1

                                    #getfacl -R /tmp/dir1

            

linux文件权限管理与ACL访问控制列表

标签:linux acl sefacl chown chmod owner group

原文地址:http://195175108.blog.51cto.com/10167819/1854954

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!