linux 權限相關部分

用戶的權限分爲普通權限，特殊權限，以及文件的特殊屬性和FACL（賦予權限）：

一.普通權限：

  進程安全上下文：

1.判斷進程的全部者是否爲想要操做的文件的屬主，若是是，就按照屬主的權限進行受權，若是不是，就轉到第二條；

2.判斷進程的全部者是否爲想要操做的文件的屬組中的成員，若是是，就按照屬組的權限進行受權，若是不是，轉到第三條；

3.按照其餘用戶的權限進行受權；

     權限的構成；

  MODE（permission）：使用權

      R: readable, 可讀

      W: writable, 可寫

      x： eXecutable, 可執行

      目錄：

         r：可以使用ls命令得到其中全部的文件名的列表：ls -l命令來獲取目錄中文件的詳細的屬性信息，也不能使用cd命令進入其中，也不能在路徑中引用該目錄；

         w：能夠修改此目錄中的文件名或文件名列表，即：能夠在此目錄中建立·修改或刪除文件名；

         x：可使用ls -l命令來獲取其中文件的詳細屬性信息；也能夠在路徑中引用該目錄；也可使用cd命令來進入其中；x權限是目錄的最基本權限，任何目錄都必須對

 

      文件：

         r：能夠查看或獲取該文件中所存放的數據；

         w：能夠修改文件中所存放的數據；

         x：能夠將此文件發起運行爲進程；

用Ls -l顯示：

rw-r--r--：三個權限位：屬主；屬組；其餘用戶的；以三個爲區隔，

     屬主權限：rw-

     屬組權限：r--

     其餘用戶權限：r--

 

權限標識三元組：

--- 000  0

--x 001  1

-w- 010  2

-wx 011  3

r-- 100  4

r-x 101  5

Rw- 110  6

Rwx 111  7

 

rw-r--r--:

110100100

644

 

注意：只有某個文件的屬主才能修改文件的使用權限（root除外）：

修改文件的使用權限：

   Chmod: -->

   chmod - 改變文件的訪問權限

   chmod [options] mode file...

MODE:符號權限標識法；

U，g，o，a：表示全部權；

+：在原有權限基礎上添加新的權限；

—：在原有的權限基礎上去除某些權限；

=：不考慮原有權限，直接將權限設置爲目標權限；

 

R，w，x表示具體權限內容：

 

例：

 Chmod u+w file

 Chomd g+rw file

 Chmod u+x，g-wx，o-x， file

 Chmod u=rw，g=r，o=r file

 Chomd ug-x file

 Chmod +x file 默認的爲a添加執行權限，a爲全部人；

 Chmod +w file 默認的只爲屬主添加讀寫權限；

 

注意：文件的執行權限：Linux文件系統來講是很是重要的安全的標識：由於文件一旦具有了執行權限，意味着該文件能夠被髮起執行爲進程；因此默認狀況下文件都不具有執行權限；若是使用八進制數字表識法，則每一次必須給足全部的權限位；若是給的權限位不完整，文件系統會自動補足，將給定的權限放置在右側，左側用0來補；

   chmod 640 file

 

Chmod --reference=/PATH/TO/SOMEFILE DES_FILE

 

Chmod --referene=a b

 

   -R：--Recursive:將目標目錄中的文件及子目錄和子目錄下的文件統一的設定爲指定的權限標識；

 OWNERSHIP:全部權

     屬主：資源掌控的某個特定用戶；owner(user), u

     屬組：資源掌控得某些特定用戶；group, g

     其餘用戶：不曾掌控資源的其餘用戶；other, o 

     所有用戶：all, a

 

Chown：能夠修改文件的屬主和屬組；

chown - 修改文件全部者和組別

chown [options] user [:group] file...

  Chown OWNER FILE

  Chown ： GROUP FLIE

  Chown  OWNER: FILE //將目標文件的屬主改成OWNER的基本組

Chown OWNER ：GROUP  FILE //將目標文件的屬主和主組修改成OWNER和GROUP;

 -R：--Recursive:將目標目錄中的文件及子目錄和子目錄下的文件統一的設定爲指定的權限標識；

注意：修改OWNERSHIP（全部權）的只能是超級用戶才能夠

 

Chgrp：只能修改文件的屬組

 

Install命令：

  安裝：複製文件；爲文件賦予執行權限，

 install - 複製文件並設置屬性

 

經常使用選項：

-d：

-d, --directory

        建立每一個給定的目錄以及任何缺失的父目錄,

        按照命令行要求來設置全部者,組別和模式,或者設爲默認值.

        它也授予任何它建立的父目錄以這些屬性.

 

-m：-o：

-g：

    -g group, --group=              

 設置安裝的文件或目錄的組全部權爲group，這多是組名,或者是數字化組標識.

 

Install命令不能複製目錄，即其源不能爲目錄；若是其源爲目錄，則install經歷了會進入目錄，依次複製其中的全部非目錄文件到目標位置；

 

Mktemp命令：

  通常來說，臨時文件都會建立在/tmp或/var/

  Tmp中，無需手動刪除，系統會按期刪除兩個文件中的文件；

 

選項：

  -d：--directory：能夠建立臨時目錄；

例子：mktemp /PATH/TO/TMP.XXXXXXXX

 

回顧：

  普通權限：MODE：資源的使用權限

  OWNERSHIP:資源的全部權

 

特殊權限：

SUID SGID STICKY

默認狀況下，用戶發起一個進程，該進程的屬主是其發起者；也就是說，該進程是以其發起者的身份在運行；

SUID ：

功能做用：用戶發起執行一個進程時，該程序文件若是擁有SUID 權限的話，那麼此程序發起的進程其屬主爲該程序文件的屬主，而不是其發起者；

SUID 權限所顯示的位置：文件的屬主權限中的執行權限位；若是屬主原本就有執行權限，顯示位s；不然顯示位S

 

管理文件的SUID 權限：

  Chmod u+| -s file。。。

 

SGID ：

若是某個目錄對於一些用戶有寫權限而且設置了SGID權限時，則全部對此目錄有寫權限的用戶在建立新的文件或目錄之後，新文件的屬組再也不是建立用戶的基本組，而是繼承了該目錄的屬組；

SGID權限顯示位置：在文件的屬組權限中的執行權限位，若是屬組原本就就執行權限，顯示位s；不然顯示位S

 

STICKY ：粘滯位

若是某個目錄中有超過一個用戶能夠有寫權限，則這多個用戶均可以在該目錄中隨意建立，修改和刪除文件名；

STICKY的功能做用：

若是爲上述相似的目錄設置了STICKY權限，則每一個用戶依舊可以建立和修改文件名，但每一個用戶只能刪除那些屬主爲自身的文件名；

STICKY權限的顯示位置：在文件權限的其餘用戶的執行權限位；若是原來就有執行權限，顯示位s；不然顯示位S

管理文件的STICKY權限：

Chmod o+|-t FILE...

Suid sgid sticky

--- 000 0

--t 001 1

-s- 010 2

-st 011 3

S-- 100 4

S-t 101 5

Ss- 110 6

Sst 111 7

 

  特殊權限的另外一種修改方式：

將特殊權限位對應的八進制數字放置於普通權限八進制數字的前面便可

 

Umask:

權限遮罩碼，在建立權限或目錄時默認的權限生成標準：

  Root： 0022

  不考慮特殊權限位；

  對於新建立的文件或目錄，不遮擋屬主的任何權限；遮住了屬組和其餘用戶的寫權限；

理解遮罩碼：

    將遮罩碼的值變爲二進制，凡有1的位置，其權限在建立文件時，就不設置；

默認狀況下，文件你的遮罩碼就已經有了一個0111，在此基礎之上再次應用umask來遮罩權限；

 

文件的特殊屬性：

查看文件的特殊屬性：

  Lsattr: lsattr - 顯示文件在Linux第二擴展文件系統上的特有屬性

修改設置文件的特殊屬性：

Chattr：chattr - 修改文件在Linux第二擴展文件系統(E2fs)上的特有屬性

 chattr [ -RV ] [ -v version ] [ mode ] files...

  Mode：會使用+-=的方式來設置

 整個chatter命令最關鍵最核心的部分就是[mode]部分；

  +：在原有屬性設定的基礎上，添加新屬性；

  -：從原有屬性設置中移除指定的屬性；

  =：從不考慮原有的屬性設置，直接將屬性設定爲指定的屬性內容；

 

a：append:設置這個屬性的文件，其內容不能被修改或刪除，只能以追加的方式向文件中寫入數據，多數的服務器日誌類文件會設置此屬性；

A：atime，文件的訪問時間戳：IO瓶頸：設置A屬性可使得文件在被訪問時不更改文件的訪問時間戳，從而能夠有效的防止IO瓶頸的發生；

c：設置文件是否自動壓縮後再存儲；

C：設置文件是否開啓「寫時複製」

d：設置文件在使用dump進行備份的時候，不會稱爲備份目標；

D：設置文件在文件系統中的異步寫操做；

i：設置文件不能被刪除，修改，設定連接關係；

s：設置文件的保密性刪除，一旦設置s屬性的文件被刪除，其對應存儲設備中的使用空間也會被一併刪除；

u：跟s屬性相反，若是這樣的文件被刪除，則其存儲於存儲設備中的文件會被留存；

 

最經常使用的屬性：i和a

Chatter +i FILE

經常使用選項：

  -R：遞歸的設置指定文件中的全部文件和子目錄的屬性；

 

爲文件賦予額外的權限機制：FACL：File Access Control List，文件訪問控制列表

  文件的額外賦權機制：

  在原有的u，g，o權限位以外，讓普通用戶可以控制權限賦予另外的用戶和組的一種賦權機制；

  通常在centos7或rhel7之後的版本才逐漸成熟；

  

  與FACL有關的命令：

  Getfacl：得到facl

  Setfacl：

 

 爲用戶賦予額外權限：setfacl -m u:USERNAME : MODE FILE...

爲組：setfacl -m g:GROUPNAME : MODE FILE...

撤銷爲用戶賦予的額外權限：

Setfacl -x u:USERNAME

撤銷爲組賦予的額外權限：

Setfacl -x u：GROUPNAME

 注意：若是設置了facl以後修改目標的使用權限，那麼facl中設置的條目就可能受到影響而致使與要求不符；所以，若是真的須要設置facl，就要在已經肯定目標文件的使用權限之後再進行設置；