Linux操作系統(tǒng)Linux文件系統(tǒng)權(quán)限管理目錄/Contents010203Linux文件系統(tǒng)權(quán)限設(shè)置特殊權(quán)限ACL訪問控制列表01Linux文件系統(tǒng)權(quán)限設(shè)置Linux文件系統(tǒng)權(quán)限表示方法Linux系統(tǒng)權(quán)限表示方法有兩種：字符表示（符號(hào)表示）和數(shù)字表示。例如，rwxr-xr-x這種權(quán)限表示方法為字符表示。但也可以用數(shù)字來表示權(quán)限，即文件的r、w、x、-權(quán)限分別用數(shù)字4、2、1、0來表示，再把每組對(duì)應(yīng)的數(shù)字相加就可以得到權(quán)限的數(shù)字表示。文件權(quán)限的字符表示和數(shù)字表示如下表所示。序號(hào)權(quán)限分配屬主權(quán)限位屬組權(quán)限位其他用戶權(quán)限位1權(quán)限項(xiàng)讀寫執(zhí)行讀寫執(zhí)行讀寫執(zhí)行2字符表示rwxrwxrwx3數(shù)字表示421421421文件權(quán)限的數(shù)字表示基于字符表示（rwx）的權(quán)限計(jì)算而來，其目的是簡(jiǎn)化權(quán)限的表示。例如，若某個(gè)文件的權(quán)限為7，則代表可讀、可寫、可執(zhí)行（4+2+1）；若權(quán)限為6，則代表可讀、可寫（4+2）。如果有這樣一個(gè)文件，其所有者擁有可讀、可寫、可執(zhí)行的權(quán)限，其文件所屬組擁有可讀、可寫的權(quán)限，而其他人只有可讀的權(quán)限。那么這個(gè)文件的權(quán)限的字符表示為rwxrw-r--，用數(shù)字表示即為764。更改文件和目錄權(quán)限常用權(quán)限設(shè)置命令chmod命令：修改文件權(quán)限，可使用符號(hào)法或數(shù)值法設(shè)置權(quán)限。chown命令：修改文件所屬用戶、所屬組，Linux做為多用戶多任務(wù)系統(tǒng)，所有文件都有其所有者、所屬組，通過chown可以將特定文件的所有者更改為指定用戶或組。chgrp命令：修改文件屬組，通過chgrp命令可以對(duì)文件或目錄的所屬群組進(jìn)行更改。更改文件和目錄權(quán)限chmod命令用于從命令行更改權(quán)限，意為“changemode”（更改模式），權(quán)限也稱為文件的模式。chmod命令在要更改的文件或目錄列表后面列出了權(quán)限說明，可使用符號(hào)（符號(hào)法）或數(shù)值（數(shù)值法）來發(fā)布此權(quán)限說明。語法：chmod[選項(xiàng)][模式]FILE通過符號(hào)法更改權(quán)限chmodWhoWhatWhichfile|directory選項(xiàng)內(nèi)容Whou、g、o、a（代表用戶、組、其他、全部）What+、-、=（代表添加、刪除、精確設(shè)置）Which指r、w、x（代表讀取、寫入、執(zhí)行）chmodu+xfile1更改文件和目錄權(quán)限chmod命令支持-R選項(xiàng)以遞歸方式對(duì)整個(gè)目錄樹中的文件設(shè)置權(quán)限。[root@localhost~]#chmod-Rg+rwxdemodir對(duì)file1中的組和其他用戶，刪除讀取和寫入權(quán)限:[root@localhost~]#chmodgo-rwfile1對(duì)file2中的所有者、所屬組、以及其他用戶和用戶組添加執(zhí)行權(quán)限。[root@localhost~]#chmoda+xfile2chown命令將test_dir的所有權(quán)更改為alex，同時(shí)將組更改為tom。[root@host-]#chownvisitor:gueststest_dir使用chgrp命令將文件file1所屬組修改為tom。[root@localhost~]#chgrptomfile102特殊權(quán)限特殊權(quán)限在Linux系統(tǒng)中，除了常規(guī)的讀、寫、執(zhí)行權(quán)限外，還存在三種特殊權(quán)限，它們分別是SUID（SetUserID）、SGID（SetGroupID）和StickyBit。這些特殊權(quán)限提供了額外的安全控制功能，使得系統(tǒng)管理員能夠更精細(xì)地控制文件和目錄的行為。特殊權(quán)限對(duì)文件的影響對(duì)目錄的影響u+s(suid)以擁有文件的用戶身份，而不是以運(yùn)行文件的用戶身份執(zhí)行文件。無影響。g+s(sgid)以擁有文件的組身份執(zhí)行文件。在目錄中最新創(chuàng)建的文件將其組所有者設(shè)置為與目錄的組所有者相匹配。o+t(sticky)無影響。對(duì)目錄具有寫入訪問權(quán)限的用戶僅可以刪除其所擁有的文件，而無法刪除或強(qiáng)制保存到其他用戶所擁有的文件。特殊權(quán)限SUID特殊權(quán)限僅適用于可執(zhí)行文件，所具有的功能是，只要用戶對(duì)設(shè)有SUID的文件有執(zhí)行權(quán)限，那么當(dāng)用戶執(zhí)行此文件時(shí)，會(huì)以文件所有者的身份去執(zhí)行此文件，一旦文件執(zhí)行結(jié)束，身份的切換也隨之消失。[root@localhost~]#ls-l/usr/bin/passwd-rwsr-xr-x.1rootroot22984Jan72007/usr/bin/passwd原本表示文件所有者權(quán)限中的x權(quán)限位，卻出現(xiàn)了s權(quán)限，此種權(quán)限通常稱為SetUID，簡(jiǎn)稱SUID特殊權(quán)限。/usr/bin/passwd文件通常設(shè)置了SUID權(quán)限，以便普通用戶可以修改自己的密碼，但執(zhí)行該命令時(shí)實(shí)際上是以root用戶的身份執(zhí)行，因?yàn)橹挥衦oot才能修改系統(tǒng)用戶的密碼。特殊權(quán)限SGID是一個(gè)文件屬性，它允許用戶以文件所在用戶組的身份執(zhí)行該文件，而不管執(zhí)行該文件的用戶所屬的用戶組是什么。與SUID類似，SGID用于允許程序以文件所在的用戶組身份運(yùn)行。Linux系統(tǒng)中所有用戶的密碼數(shù)據(jù)都記錄在/etc/shadow這個(gè)文件中，通過ll/etc/shadow命令可以看到，此文件的權(quán)限是0（---------），也就是說，普通用戶對(duì)此文件沒有任何操作權(quán)限。[root@localhost~]#ls-ld/data/projectdrwxr-sr-x2rootproject4096Jan110:00/data/project上述示例中s表示設(shè)置了SGID權(quán)限。在/data/project目錄中創(chuàng)建的文件將自動(dòng)繼承project組，而不是創(chuàng)建文件用戶的默認(rèn)組。特殊權(quán)限StickyBit是一個(gè)文件或目錄的特殊權(quán)限，通常用于公共目錄中，特別是像/tmp這樣的目錄。它確保只有文件的所有者、目錄的所有者或root用戶才能刪除或重命名該目錄中的文件。其他用戶無法刪除或修改其他用戶的文件。通常，StickyBit設(shè)置在/tmp目錄上，以便每個(gè)用戶只能刪除自己創(chuàng)建的文件，而不能刪除其他用戶的文件。[root@hosttmp]#ls-ld/tmpdrwxrwxrwt.10rootroot4096Apr815:30/tmp

在上述示例中，t字符出現(xiàn)在權(quán)限的最后一個(gè)位置，它表示該錄設(shè)置了StickyBit。/tmp目錄中的文件不會(huì)被其他用戶無意或惡意刪除，增加了系統(tǒng)的安全性。03ACL訪問控制列表ACL訪問控制列表當(dāng)文件僅由單個(gè)所有者和指定的一組人使用時(shí)，標(biāo)準(zhǔn)Linux文件權(quán)限即可滿足要求。但是，有些情況要求多個(gè)指定的用戶和組以不同的文件權(quán)限集來訪問文件，ACL便提供了這一功能。ACL（AccessControlList）是訪問控制列表的縮寫，借助ACL，可以使用與常規(guī)文件權(quán)限相同的權(quán)限標(biāo)志（讀取、寫入和執(zhí)行）向由用戶名、組名、UID或GID標(biāo)識(shí)的多個(gè)用戶和組授予權(quán)限。權(quán)限r(nóng)wx權(quán)限r(nóng)wx無權(quán)限---/playbook所有者rhce所屬組rhca其他人用戶jerry用戶alex用戶tom權(quán)限r(nóng)--權(quán)限r(nóng)w-權(quán)限r(nóng)wx設(shè)置ACL訪問控制列表setfacl命令可用來設(shè)置文件的ACL

語法：setfacl[-bkndRLP]{-m|-M|-x|-X...}file主要選項(xiàng)：-m修改指定文件的acl，不能和–x混合使用-x刪除后續(xù)參數(shù)-b刪除所有acl設(shè)定參數(shù)-k移除預(yù)設(shè)的acl參數(shù)-R遞歸設(shè)置acl參數(shù)-d預(yù)設(shè)目錄的acl參數(shù)設(shè)置文件的ACL示例：[root@hosttmp]#setfacl-mu:username:rwfilename#給指定用戶設(shè)置讀寫權(quán)限[root@hosttmp]#setfacl-mg:groupname:rxfilename#給指定組設(shè)置讀寫權(quán)限[root@hosttmp]#setfacl-mo::rfilename#給其他用戶設(shè)置讀取權(quán)限查看ACL訪問控制列表getfacl獲取文件或目錄的訪問控制列表ACL[user@hostcontent]$getfaclfile1#file:file1#owner:user#group:operatorsuser::rwxuser:consultants:---user:1005:rwx#effective:rw-group::rwx#effective:rw-group:consultant1:r--group:2210:rwx