Linux文件权限与访问控制

Posted 2020-10-29

Linux文件权限与访问控制

访问文件用户3类：

    文件所有者
    同组成员
    其他人

权限
--- --- --- (rwx) 依次对应3类用户

file:6rw 4r 0 x1
dir: 7rwx 5r-x 0

默认权限

umask内部命令 用来生成数字 umask+default =file666/dir777
umask +数字 修改umask值
umask 本质含义取消对应权限
    原理计算：
            666                 666
            125                 125

            110110110           541
            001010101           542     对于文件偶数不动奇数全加一
                                        对于目录不必要这么做，目录
            110100010                   执行权限没有担心

            642 
配置文件
        个人用户配置  .bashrc 在文件末尾追加 umask 251   source .bashrc  

        /etc/bashrc 下配置了root和普通用户的umask默认值
            root 022  普通 002
umask 
    -p >> .bashrc 追加umask值到个人配置文件中
    -S 模式法 写了默认权限 

命令：

chmod 
    法一：
        chmod who opt per file
            who：u g o(a可以代表ugo)
            opt：+ - =
            per: r w x (X s .特殊权限)
    ps： chmod u+x,g-w,o= file 
    参考一个文件权限修改另一个文件
    chmod --reference=filename1 filename2 filename3

    法二：数字法
        r:4
        w:2
        x:1
        chmod 764 filename

    chmod -R a+x dirname 递归加执行权限
    chmod -R +X dirname X仅仅对目录加执行，文件不加执行
                        当文件原有执行权限则会加执行权限
chown
    -c或——changes：效果类似“-v”参数，但仅回报更改的部分；
    -f或--quite或——silent：不显示错误信息；
    -h或--no-dereference：只对符号连接的文件作修改，而不更改其他任何相关文件；
    -R或——recursive：递归处理，将指定目录下的所有文件及子目录一并处理；
    -v或——version：显示指令执行过程；

    --dereference：效果和“-h”参数相同；
    --help：在线帮助；
    --reference=<参考文件或目录>：把指定文件或目录的拥有者与所属群组全部设成和参考文件或目录的拥有者与所属群组相同；
    --version：显示版本信息。

    chown root:root     
    chown .root file    只改属组
    chown root. file 属主属组全改
chgrp

特殊权限：

SUID：作用在继承二进制程序所有者的x位上，当一个用户运行该程序，由于存在s权限
      则它会继承该程序的属主的权限。只适合在二进制可执行程序上。
    chmod u+s(-s)
          4---      都表示加s权限。
SGID： 作用在所有者的x位上，当一个用户运行该程序，由于存在s权限
      则它会继承该程序的属组的权限
    chmod g+s 
          4---
sticky1：粘滞位。无法删除别人的文件，即使2人都拥有其目录的w权限，作用
                在文件夹上。
    chmod o+t 
          1---
SUID: user,占据属主的执行权限位  
        s: 属主拥有x权限  
        S：属主没有x权限 ?
SGID: group,占据属组的执行权限位  
        s: group拥有x权限  
        S：group没有x权限 
Sticky: other,占据other的执行权限位  
        t: other拥有x权限  
        T：other没有x权限

############################################
chattr
  chattr +i(-i) 不能删除，改名，更改
  chattr +a(-a) 只能追加内容
  chattr +A(-A)?锁定atime时间 vi修改文件之后锁失效
lsattr 显示特定属性
############################################

访问控制列表ACL：

ACL：Access Control List，实现灵活的权限管理 
    除了文件的所有者，所属组和其它人，可以对更多的用户设置权限  
    CentOS7 默认创建的xfs和ext4文件系统具有ACL功能 后续添加的分区也支持
    CentOS7 之前版本，默认手工创建的ext4文件系统无ACL功能,需手动增加 
        tune2fs –o acl /dev/sdb1 
        mount –o acl /dev/sdb1  /mnt/test 
    ACL生效顺序：所有者，自定义用户，自定义组，其他人
        若属于多个组的话，若没有用户权限匹配则多个组权限可以累积

#############################################
  启用acl之后组权限已经改变为mask权限
#############################################

为多用户或者组的文件和目录赋予访问权限rwx 
 mount -o acl /directory 
 getfacl  file |directory  查看文件或者目录的acl权限
 setfacl  -m  u:wang:rwx file|directory 
 setfacl  -Rm g:sales:rwX directory  递归 
 setfacl  -M  file.acl file|directory   通过文件调用批量添加
 setfacl  -m  g:salesgroup:rw file| directory 
 setfacl  -m  d:u:wang:rx  directory   在目录下新建文件的权限设置
 setfacl  -x  u:wang  file |directory 
 setfacl  -X file.acl  directory    通过文件批量删除权限

ACL文件上的group权限是mask 值（自定义用户，自定义组，拥有组的最大权 限）,而非传统的组权限 
    setfacl -m mask::r file 对文件file设置mask权限
getfacl  可看到特殊权限：flags 
通过ACL赋予目录默认x权限，目录内文件也不会继承x权限 
base ACL 不能删除 
setfacl  -k  dir 删除默认ACL权限  
setfacl –b  file1清除所有ACL权限 
getfacl  file1 | setfacl --set-file=-   file2  复制file1的acl权限给file2  

Mask需要与用户的权限进行逻辑与运算后，才能变成有限的权限(Effective  Permission) 用户或组的设置必须存在于mask权限设定范围内才会生效            
setfacl  -m mask::rx  file 
    --set选项会把原有的ACL项都删除，用新的替代，需要注意的是一定要包含 UGO的设置，不能象-m一样只是添加ACL就可以 
    示例：  setfacl --set u::rw,u:wang:rw,g::r,o::- file1 

备份和恢复ACL 
    主要的文件操作命令cp和mv都支持ACL，只是cp命令需要加上-p 参数。但是 tar等常见的备份工具是不会保留目录和文件的ACL信息 
    getfacl -R /tmp/dir1 > acl.txt 
    setfacl -R -b /tmp/dir1 
    setfacl -R  --set-file=acl.txt  /tmp/dir1（不一定要全恢复可以选择其中一个文件或者目录恢复） 递归按照acl.txt文件恢复acl权限，也可以实现单个文件或者目录的恢复
    setfacl --restore acl.txt   恢复acl权限
    getfacl -R /tmp/dir1