chap06Linux目录及文件权限管理

Linux黄带教程第6章Linux目录及文件权限管理2本章结构하드웨어점검목록Linux目录及文件权限管理权限管理方式权限特性权限管理高级权限管理ACLLinux目录及文件权限管理方式3目录及文件的所有者及拥有组在默认情况下安装系统时复制到硬盘的系统文件的所有者一般是root用户、拥有组一般是root组。在系统使用过程中文件的所有者是建立文件的用户、拥有组是建立文件用户的初始组如下所示的内容中有二个“root”，第一个“root”是表明文件的所有都是root用户；第二个“root”是表明文件的拥有组是名为root的用户组。[root@srv~]#ll/etc/fstab-rw-r--r--1rootroot912Jan2911:46/etc/fstabLinux目录及文件权限管理方式4在Linux系统中权限分为可读（r）、可写入（w）、可执行（x）三种对于文件来说，可读权限表示允许对文件进行浏览；可写入权限表示允许修改文件；可执行表示可以将文件作为命令使用对于目录来说，可读权限表示允许显示目录列表；可写入表示可以在目录中建立、删除、移动文件或子目录；可执行表示可以切换到目录目录及文件权限特性5用户有效权限一个用户对某个目录的有效权限，是该用户自己的权限、用户初始组权限、用户额外组权限之和。在如下内容中，可以发现用户“charles”属于2个组，一个是他的初始组“charles”；一个是他的额外组“test”，文件“lost”拥有组是“test”；文件拥有组权限是可读（r）、可写（w）。用户“charles”对文件“lost”的权限应该就是可读、可写[root@srvtmp]#lltotal0-rw-rw-r--1roottest0Feb1513:57lost[root@srvtmp]#groupscharlescharles:charlestest目录及文件权限特性6新建目录默认权限在RHEL中默认情况下root用户新建的目录权限是“755”，也就是说目录的所有者root用户权限是可读（r=4）、可写入（w=2）、可执行（r=1）；目录的拥有组root用户组权限是可读（r=4）、可执行（r=1）；其他用户的权限是可读（r=4）、可执行（r=1）。一般用户新建的目录权限是“775”，也就是说目录的所有者权限是可读（r=4）、可写入（w=2）、可执行（r=1）；目录的拥有组权限是可读（r=4）、可写入（w=2）、可执行（r=1）；其他用户的权限是可读（r=4）、可执行（r=1）目录及文件权限特性9符号链接在RHEL中建立的符号链接文件的权限都是“777”，也就是说文件的所有者、拥有组、其他用户的权限都是可读（r=4）、可写入（w=2）、可执行（x=1），但他的实际权限最后会由他指向的文件决定目录及文件权限特性10用户家目录在RHEL中每个用户的家目录的所有者是家目录对应的用户、拥有组是家目录对应用户的初始组；权限是“700”，也就是只有家目录的所有者有可读（r=4）、可写入（w=2）、可执行（x=1）权限，其他任何用户都没有任何权限所有者/拥有组/权限管理11chgrp：更改目录或文件的拥有组用户组：更改以后的拥有组-R：递归处理，将指定目录下的所有文件及子目录一并处理-v：显示命令执行过程--reference=<参考文件或目录>：把指定文件或目录的拥有组更改成和参考文件或目录的拥有组相同[root@srvtmp]#lltotal4drwxr-xr-x2rootroot4096Feb1514:56lost[root@srvtmp]#chgrpcharleslost/[root@srvtmp]#lltotal4drwxr-xr-x2rootcharles4096Feb1514:56lost所有者/拥有组/权限管理12chown：更改目录或文件的所有者或拥有组文件|目录...：要更改拥有组的文件或目录。-R：递归处理，将指定目录下的所有文件及子目录一并处理。--reference=<参考文件或目录>：把指定文件或目录的所有者和拥有组更改成和参考文件或目录的拥有组相同-v：显示命令执行过程所有者/拥有组/权限管理13chmod：更改目录或文件权限文件|目录...：要更改权限的文件或目录-R：递归处理，将指定目录下的所有文件及子目录一并处理。u：更改所有者的权限g：更改拥有组的权限o：更改其他用户的权限a：同时更改所有者、拥有组其他用户的权限+：在现有权限基于上增加新的权限-：取消现有权限=：将权限改为指定值权限字符：可读（r）、可写入（w）、可执行（x）三种中任意一种或多种。权限数字：4表示可读权限、2表示可写入权限、1表示可执行权限目录及文件高级权限管理14权限掩码在Linux内核级别新建文件的默认权限是666，也就是说文件的所有者权限是可读（r=4）、可写入（w=2）；文件的拥有组权限是可读（r=4）、可写入（w=2）；其他用户的权限是可读（r=4）、可写入（w=2）在Linux内核级别新建目录的默认权限是777，也就是说目录的所有者权限是可读（r=4）、可写入（w=2）、可执行（x=1）；目录的拥有组权限是可读（r=4）、可写入（w=2）、可执行（x=1）；其他用户的权限是可读（r=4）、可写入（w=2）、可执行（x=1）目录及文件高级权限管理15权限掩码umask值是一个三位的整数，其中百位是所有者权限掩码；十位是拥有组权限掩码；个位是其他用户权限掩码。当用户在新建目录或文件时真正的权限会使用Linux内核级别默认权减去umask值。比如在RHEL中root用户默认的umask值是“022”，那么新建的文件默认权限就应该是666-022；一般用户默认的umask值是“002”，那么新建的文件默认权限就应该是666-002。通过“umask”命令可以查看当前用户的umask值[root@srvtmp]#iduid=0(root)gid=0(root)groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)[root@srvtmp]#umask0022[root@srv~]#umask-Su=rwx,g=rx,o=rx目录及文件高级权限管理16SUID属性SUID属性只能运用在可执行文件上，当用户执行该执行文件时，会临时拥有该执行文件所有者的权限[root@srv~]#ll/etc/shadow-r--------1rootroot1128Feb1514:33/etc/shadow[root@srv~]#ll/usr/bin/passwd-rwsr-xr-x1rootroot22960Jul172006/usr/bin/passwd目录及文件高级权限管理17SGID属性当SGID属性应用在目录上时，该目录中所有建立的文件或子目录的拥有组都会是该目录的拥有组当SGID属性应用在可执行文件上时，其他用户在使用该执行文件时就会临时拥有该执行文件拥有组的权限[root@srvtmp]#lltotal4drwxr-sr-x2rootroot4096Feb1522:25fringe-r-xr-sr-x1rootroot6144Feb1522:25jack目录及文件高级权限管理18Sticky属性Sticky属性只能应用在目录，当目录拥有Sticky属性所有在该目录中的文件或子目录无论是什么权限只有文件或子目录所有者和root用户能删除目录及文件高级权限管理19配置SUID/SGID/Sticky属性普通权限配置时可以使用字符或数字，SUID、SGID、Sticky也是一样。使用字符时s表示SUID和SGID、t表示Sticky；4表示SUID、2表示SGID、1表示Sticky。在配置这些属性时还是使用chmod命令[root@srvtmp]#chmodu+sjack#为文件jack增加SUID属性[root@srvtmp]#chmod4555oliva#为文件oliva增加SUID属性[root@srvtmp]#chmodg+scsi/#为目录csi增加SGID属性[root@srvtmp]#chmod2755dexter/#为目录dexter增加SGID属性[root@srvtmp]#chmodo+tfringe/#为目录fringe增加Sticky属性[root@srvtmp]#chmod1755house/#为目录house增加Sticky属性ACL20Linux文件系统提供的ACL功能为系统中已存在的任何用户或用户组指定其对系统中文件或目录的权限在使用“ls-l”或“ll”命令浏览文件或目录时，在权限部分多了一个“+”表示该文件或目录已经配置了ACL功能[root@srvtmp]#lltotal8drwxrwxr-x+2rootroot4096Feb1523:25houseACL21配置分区支持ACL功能使用tune2fs命令使用mount命令修改/etc/fstab文件，使分区永久支持ACL功能tune2fs-oacl分区mount-oremount,acl分区mount-oacl分区挂载点/dev/sda10 /media/sda10 ext3 defaults,acl 00ACL22setfacl：配置ACL文件|目录...：需要配置ACL的文件或目录-m：更改文件或目录的ACL规则-x：删除文件或目录指定的ACL规则-b：删除文件或目录所有ACL规则-k：删除文件或目录默认的ACL规则-d：指定文件或目录默认的ACL规则--test：测试模式，不会改变任何文件或目录的ACL规则，操作后的ACL规格将被显示-R：递归处理，将指定目录下的所有文件及子目录一并处理ACL23在该命令中指定ACL规则可以使用以下几种方式[d:]u:<UID|用户>:权限：指定用户的ACL，[d:]表示配置用户对文件或目录的默认的ACL，权限可以使用字符或数字[d:]g:<GID|用户组>:权限：指定用户的ACL，[d:]表示配置用户对文件或目录的默认的ACL，权限可以使用字符或数字[d:]o:权限：相关于普通权限中其他用户的权限，[d:]表示配置用户对文件或目录的默认的ACL，权限可以使用字符或数字[d:]m:权限：指定有效权限，[d:]表示配置的默认的权限，权限可以使用字符或数字ACL24#配置用户charles对目录fringe有可读、可写权限[root@srvtmp]#setfacl-mu:charles:rwfringe/#配置用户charles对目录house有可读、可写、可执行权限[root@srvtmp]#setfacl-mu:charles:7house/#配置用户默认ACL[root@srvtmp]#setfacl-md:u:cameron:rwxhouse/#配置用户组ctu对目录24有可读、可写、可执行权限[root@srvtmp]#setfacl-mg:ctu:rwx24#配置用户组ctu对目录csi没有任何权限[root@srvtmp]#setfacl-mg:ctu:---csi#取消用户cameron在目录house上的ACL[root@srvtmp]#setfacl-xu:cameronhouse#删除目录house上的所有权限[root@srvtmp]#setfacl-bhouseACL25getfacl：查看ACL文件|目录...：需要显示ACL的文件或目录-d：显示默认的ACL-R：显示目录及其子目录和文件的ACL--omit-header：不显示文件或目录的基本信息--no-e