权限管理

一、ls -l内容解释

当我们执行 ls -l命令查看文件的详细信息的时候，可以得到以下信息。

[root@localhost ~]# ls -l
total 4
-rw-------. 1 root root 1012 Jul 24 14:22 anaconda-ks.cfg
drwxr-xr-x. 2 root root    6 Jul 27 20:13 下载
drwxr-xr-x. 2 root root    6 Jul 27 20:13 公共
drwxr-xr-x. 2 root root    6 Jul 27 20:13 图片
drwxr-xr-x. 2 root root    6 Jul 27 20:13 文档
drwxr-xr-x. 2 root root    6 Jul 27 20:13 桌面
drwxr-xr-x. 2 root root    6 Jul 27 20:13 模板
drwxr-xr-x. 2 root root    6 Jul 27 20:13 视频
drwxr-xr-x. 2 root root    6 Jul 27 20:13 音乐

第一行：total当前文件夹下所有文件大小和，只计算当前文件内，不计算子文件夹内文件。
第二行：可以分为以下八个字段
-|rw-------.| 1 | root | root | 1012 | Jul 24 14:22 | anaconda-ks.cfg
(1)文件属性，-表示这个一个普通文件。另外
d		目录
l		链接文件
b		块设备文件
c		字符设备文件
(2)权限，三位一组，分别对应拥有人，所属组和其他用户，最后一个".”表示该文件存在selinux的安全标签。当文件存在ACL权限时，该位置会显示＇＋＇。
(3)对文件而言，该字段表示该文件的硬链接个数；对目录而言，该字段表示该目录下的第一级子目录个数。
在Linux中我们将链接分为软连接和硬链接。
硬链接：只能对已存在的文件进行创建，修改然后一个文件，所有链接文件都会被修改。
软链接：可以对不存在的目录和文件创建软连接，软链接的文件修改不会影响到其他链接文件。
使用ln来创建链接，默认常见的硬链接，使用-s选项创建软连接。
(4)拥有人
(5)所属组
(6)对文件而言，该字段表示文件的大小。对目录而言，该字段表示目录本身的大小，不是目录所有文件的大小之和。默认单位是字节。
(7)文件最后一次修改时间
(8)文件名

二、基本权限

（1）权限的作用

在操作系统中权限是规定用户对一个文件和目录可以进行什么操作。

当用户在运行一个程序的时候，程序会继承用户的UID和GID，当程序在访问文件的时候会得到三类权限

• 当程序的UID和文件的UID一致，以文件拥有人（user）的身份访问文件。
• 当程序的GID和文件的GID一致，以文件所属组（group）的身份访问文件。
• 程序的UID和GID都不一致的时候，以其他人（other）身份访问文件。

权限优先级：user>group>other

权限表示方式

可读	r	4
可写	w	2
可执行	x	1

（2）权限对目录和文件的作用

权限对文件的意义：

• r：可以读取文件的内容
• w：可以修改文件的内容
• x：文件可以被执行（文件可以作为命令被执行）

权限对目录的意义：

• r：可以读取到目录的内容
• w：可以修改目录内容
• x：可以进入这个目录

注：

• 对文件进行操作需要看文件所在目录的权限，对文件内容进行操作，要看文件本身的权限。
• 一个文件如果要想具有意义，那么至少需要rx权限，也就是可以进入目录并看到目录的内容。

（3）权限管理

修改权限：chmod

字符式修改

chmod [-R] u/g/o/a +/-/=  filename（dirname）
u:表示文件拥有人
g:文件拥有组
o:其他人
u+g+o=a（所用人）
+:在原有权限上增加权限
-:在原有权限上减掉权限
=:覆盖原来的权限

eg：
chmod u+r file1  					给file1的拥有人添加读的权限
chmod g-x file1  					将file1所属组的x权限去掉
chmod o=rwx file1 					给file1的其他用户赋予rwx的权限
chmod ug+rwx,o-rwx file1 			给file1的拥有人和所属组rwx权限，去掉其他用户的rwx。	

数字式修改

chmod [-R] 权限数	filename（dirname）
权限数有三位，从第一位开始分别表示所有人，所属组，其他人权限如755表示该文字所用人拥有rwx权限，所属组和其他用户拥有rw权限。
eg：
chmod 777 file1 					赋予所有用户rwx权限
chmod 651 fiel1 					赋予拥有人rw权限，所属组rx权限，其他用户x权限

修改文件拥有人和所属组：chown

语法：

chown [-R] [OWNER][:[GROUP]] FILE...
只有文件或目录的所属人和root用户可以修改文件或目录的所属组(注:使用所属人修改所属组时，所属人必须在组内)
将file1的所属人修改为admin
#chown admin file1
将file1的所属组修改为admin
#chown :admin file1
将file1的所属人修改为user1，所属组修改为user1
#chown user1:user1 file1

除了root还有谁可以修改权限和所属组？

除了root用户之外，文件的拥有人同样可以修改该文件的权限和所属组。

文件拥有人修改权限
[user1@rhce text]$ ll
total 0
-rw-r--r--. 1 user1 it 0 Sep 13 14:25 file1
[user1@rhce text]$ chmod 666 file1 
[user1@rhce text]$ ll
total 0
-rw-rw-rw-. 1 user1 it 0 Sep 13 14:25 file1

文件拥有人修改所属组
修改所属组需要注意，修改文件的所属组，该组必须是用户人的主要组或附属组
[user1@rhce text]$ id 
uid=1001(user1) gid=1004(it) groups=1004(it),1002(user2) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
[user1@rhce text]$ ll
total 0
-rw-rw-rw-. 1 user1 it 0 Sep 13 14:25 file1
[user1@rhce text]$ chown :user2 file1 
[user1@rhce text]$ ll
total 0
-rw-rw-rw-. 1 user1 user2 0 Sep 13 14:25 file1
[user1@rhce text]$ chown :user1 file1 
chown: changing group of 'file1': Operation not permitted

三、特殊权限

（1）三种特殊权限

SUID

只要用户对设有 SUID 的文件有执行权限，那么当用户执行此文件时，会以文件所有者的身份去执行此文件（该权限位于拥有人的x权限上）

• 该权限只作用于可执行程序文件中
• 在默认情况下，用户发起一个进程，该进程的属主是发起者，如果给可执行程序文件添加suid权限后，用户发一个进程，该进程的属主为程序文件所属的属主，而非发起者。用户对该可执行程序文件必须要有x权限，suid仅在执行该文件时有效。

eg：当我使用tester用户去修改密码的过程

1. tester 用户对于 /usr/bin/passwd 这个程序具有执行权限，因此可以执行 passwd 程序
2. passwd 程序的所有者为 root
3. tester 用户执行 passwd 程序的过程中会暂时获得 root 权限
4. 因此 tester 用户在执行 passwd 程序的过程中可以修改 /etc/shadow 文件

SGID

作用于文件：效果于SUID权限相似，当用户对设有SGID权限的文件拥有执行权限，那么当用户执行文件时，会以文件所属组的身份去执行此文件。

作用于目录：当一个目录被赋予SGID权限后，所有用户在创建文件和目录时，该文件或目录的所属组将不会是用户的所属组，而是目录的所属组。也就是，只有用户对设用SGID的目录拥有rwx权限时，SGID的功能才能完全发挥。

sticky

粘滞位，防删除位。如果一个目录有该权限，即在该目录内，只用文件或者目录的所有人和root用户可以删除目录和文件。（该权限位于其他用户的x权限上）

注：该权限只对目录有效，对文件无效。

（2）特殊权限管理

特殊权限表示方式

权限	字符	对应数字
suid	s	4
sgid	S	2
sticky	T	1

特殊权限设置

设置suid		chmod u+s filename
设置sgid		chmod g+s filename/dirname
设置sticky	chmod o+t dirname

也可通过数字来设置
设置suid		chmod 4xxx filename
设置sgid		chmod 2xxx filename/dirname
设置sticky	chmod 1xxx dirname

四、隐藏权限

隐藏权限是为了给文件加上一层防护，防止root用户的误操作。

（1）两种常见隐藏权限

i权限：只可以查看文件内容，不能删除和修改文件内容。

a权限：可以查看和追加文件内容，不能删除文件和之前的内容。

（2）隐藏权限管理

设置隐藏权限：chattr

语法：

chattr +/- 权限	文件名

eg：给文件添加/去掉i权限
chattr +/-i file

查看隐藏权限：lsattr

语法：

lsattr 文件名

eg：查看文件的隐藏权限
[root@localhost ~]# lsattr text 
-----a---------------- text

五、ACL权限

访问控制列表

当文件仅由单个所有者和指定的一组人使用时，标准 Linux文件权限即可满足要求。但是，有些用例要求多个指定的用户和组以不同的文件权限集来访问文件。 访问控制列表(ACL)便提供了这一功能。

借助ACL，可以使用与常规文件权限相同的权限标志 (读取、写入和执行)向由用户名、组名、UID 或 GID 标识的多个用户和组授予权限。除了文件所有者和文件的组从属关系之外，这些额外的用户和组分别被称为指定用户和指定组，因为它们不是在长列表中指定的，而是在ACL中指定的。

查看和解释ACL权限

当一个文件设置了ACL权限后。ls -l命令查询的是最少的ACL设置。

[root@localhost tmp]# ll 123 
-rwxrw-r--+ 1 user1 it 21 Aug  4 15:16 123

10个权限字符，末尾的加号表示该文件存在若干条目的ACL权限
用户:显示用户ACL设置，与标准的文件设置相同
组:显示当前ACL掩码设置，而不是所属组权限
其他:显示其他ACL设置，与标准的文件设置相同。

当文件设置ACL权限后，使用chmod修改该文件的所属组权限，修改的不是组权限而是更改ACL掩码。如果需要设置所属组权限，则需要使用设置ACL权限的命令。

查看ACL权限的命令：getfacl

查看文件ACL

要显示文件上的ACL设置，使用 getfacl file

[root@localhost tmp]# getfacl 123
# file: 123		
# owner: user1
# group: it
user::rwx
user:admin:rwx                  #effective:rw-
group::r--
mask::rw-
other::r--

注释条目：
# file: 123			该文件用户名
# owner: user1		该文件的拥有人
# group: it			该文件的所属组

用户条目
user::rwx
user:admin:rwx                  #effective:rw-
第一行文件拥有人权限。user的权限为rwx
第二行指定用户权限。用户admin权限为rwx，但是掩码将有效权限控制为rw

组条目
group::r--			组所有者权限。

掩码条目
mask::rw-
掩码设置显示可能为所有指定用户和组，提供的最大权限。

其他条目
other::r--
其他用户权限。

查看目录ACL

要显示文件上的ACL设置，使用 getfacl directory

[root@localhost tmp]# getfacl dir
# file: dir
# owner: user
# group: operators
# flags:-S-
user::rwX
user:consultant3:---
user:1005:rwx
group::rwx
group:consultant1:r-x
group:2210:rwx
mask::rwx
other::---
default:user::rwx
default;user:consultant3:---
default:group::rwx
default:group:consultant1:r-x
default:mask::rwx
default:other::--

注释条目
# file: dir
# owner: user
# group: operators
# flags:-S-
前三行是注释，用于识别目录名，拥有人和所属组。如果存在特殊权限，则会出现在第四行注释来显示所设置的标志。这里表示设置了sgid。

标准ACL条目
user::rwX
user:consultant3:---
user:1005:rwx
group::rwx
group:consultant1:r-x
group:2210:rwx
mask::rwx
other::---

与上午中文件上的ACL中相同。

默认条目
default:user::rwx
default;user:consultant3:---
default:group::rwx
default:group:consultant1:r-x
default:mask::rwx
default:other::--

默认权限，在该目录下创建新文件或目录时，会自动活得这些ACL权限。

注意：
getfacl命令的输出可以用作setfacl的输入，用来恢复ACL或者从源文件或目录负责ACL并将其保存到新文件中。
eg：
[root@localhost tmp]# getfacl 123 > 123-acl
[root@localhost tmp]# touch text
[root@localhost tmp]# setfacl --set-file=123-acl t

ACL权限优先级

在决定一个进程能否访问文件时，将按如下应用文件权限和ACL。

• 如果以文件拥有人身份运行进程，则应用文件的用户ACL权限。
• 如果以指定用户ACL条目中的用户身份运行进程，则应用指定用户ACL权限
• 如果以文件的拥有组或者指定组条目中的身份运行进程，则应用相匹配的ACL权限。
• 最后，都不匹配则应用其他ACL权限。

ACL权限设置

命令：setfacl

语法：

setfacl 选项 filename/dirname

常用选项：
-m			设当ACL权限
-x			删除指定的ACL权限
-b			删除所有ACL权限
-d			设置默认ACL权限
-k			删除默认权限
-R			递归设置ACL。

eg：
给用户st赋予ACL的只读权限
# setfacl -m u:st:r class

给用户组stg赋予ACL的读执行权限
#setfacl -m g:stg:rx class

删除用户组stg的ACL权限
#setfacl -x g:stg:	class

删除用户st的ACL权限
#setfacl -x g:st: class

清楚文件或目录的所有ACL权限
#setfacl -b class

设置目录的默认权限
#setfacl -dm u:user1:rwx,g:user1:rx dir
#setfacl -m  d:u:user1:rwx,d:g:user1:rx dir