基本权限

文件属性rwx

每个文件当用ls -l查看时，都会显示文件的详细属性信息，其中在排在首位的共有10位字符信息

例如 -rw-r–rw-. 1 root root ……..

共有10位，第一位代表的是文件的类型，后边9位表示的是文件的权限属性，没3个字符为一组，从左到右，依次表示owner，group，others的权限，其中每组3个字符中又对应三种状态，分别是rwx。后边的依次是连接数，所有者，所属组，

1、权限对文件意义

r  read，表示可读取文件的实际内容

w  write，可以编辑、新增或者修改文件的内容，但是不包括删除该文件

x  eXecute，表示该文件具有被系统执行的权限。在linux中，我们的文件能否被执行，是有x这个权限来决定的，而跟文件名没有绝对的关系

notice：当我们对一个文件有w权限是，我没只能对文件内容进行改动，而对文件本身是不具备删除权限的。对于文件的rwx来说，主要都是针对的文件内容，与文件名的存在有否没有关系。

2、权限对目录的意义

文件是存放实际数据的所在，目录的主要内容是记录文件名列表，文件名与目录有强烈的关联

r： read content in directory

表示具有读出目录结构列表的权限，所以当对一个目录具有r的权限的时候，表示我们可以查询该目录下的文件名的数据，所以可以使用ls命令将目录的内容列表显示出来

w：modify contents of directory 表示具有更改目录结构列表的权限

x：access directory

目录的x权限代表的是用户能否进入到该目录成为工作目录的用途。如果对一个目录不具备x权限，那么就无法切换到该目录下，也就无法执行该目录下的任何命令

要开放目录的权限给别人时，应该至少要给r和x的权限，但是w的权限不能随便给，因为给予w权限，就具备了对目录中文件和目录的一系列的删除、新建、重命名等操作。

文件普通权限与属性的修改

chown   change owner 改变所有者

chgrp   change group 改变所属组

chmod   change mode 改变文件的权限

chown [-R] [owner][:[group]] File

用法 owner  或者 owner:  相当于 owner:owner  或者:group

-R 表示递归,连同子目录下的所有文件和目录

chown [-R] –reference=file1 file2

将file2的权限修改成与file1的相同

chgrp [-R] [group] file

chgrp [-R] –reference=file1 file2

将file2的用户组改成与file1相同

chmod更改文件的权限

更改文件的权限有两种方法

1、数字类型改变文件权限

r对应数值4，w对应2，x对应1，-对应0，相应的权限位置有则计算，没有计为0，没三个相加，得到数字就是最后的权限数，例如某个文件的权限：-rwxrw-r–,对应的数字就是421420400，最后的数字就是764

chmod 764 file

2、符号类型修改文件权限

修改一类用户的所有权限：u=[rwx] g=[rwx] o=[rwx] ug=[rwx] a=[rwx] u=,g=

修改用户的某些权限或某一位权限：u+  u-g+  g-o+  o-a+  a- + –

chmod [-R] –reference=file1 file2   参考file1的文件权限，将file2修改为与file1相同

新建文件和目录的默认权限

当我们新创建一个目录或者文件时都是有权限的，那他的默认权限是怎么来的？这就与umask有关了，umask是用户在新建文件或目录时的权限默认值。系统默认的umask=0022，其中，一般用户在创建时取用后三位022，系统用户在创建时取用前三位002，并且umask的值是可以查看和设定的，直接输入umask 即为查看，输入umask #即为设定，并且可以用 umask -S 来以模式的方式产看，umask -p 显示的umask值可以被调用

新建文件的权限=最高权限-umask，新建文件的最高权限为666，新建目录的最高权限为777。

由于umask的值可以在新建文件时重新设定，所以当得到的文件权限存在可执行(奇数)位时，就在对应的权限数值上+1，例如 umask=035，得到的文件权限为631，则最后的权限应该是642

umask值其实就是在新建文件或目录时从做大权限中拿掉的权限。

文件系统的特殊权限SUID、SGID、Stick

进程有属主和属组；文件有属主和属组

(1) 任何一个可执行程序文件能不能启动为进程：取决发起者对程序文件是否拥有执行权限

(2) 启动为进程之后，其进程的属主为发起者；进程的属组为发起者所属的组

(3) 进程访问文件时的权限，取决于进程的发起者

(a) 进程的发起者，同文件的属主：则应用文件属主权限

(b) 进程的发起者，属于文件属组；则应用文件属组权限

(c) 应用文件“其它”权限

SUID

任何一个可执行程序文件能不能启动为进程：取决于发起者对程序文件是否拥有执行权限，启动为进进程之后，其进程的属主为源文件的属主。SUID就是让普通用户拥有可以执行“只有root权限才能执行”的特殊权限

SUID的限制与功能

1、SUID权限仅对二进制(binary program)程序有效,设置在目录上无意义

2、执行者需要对于该程序有x的可执行权限

3、本权限只在执行改程序的过程中有效

4、执行者将具有该程序所有者的权限

权限设定  chmod u+s file…   chmod u-s file…

SGID

可执行(具有x权限)文件上的SGID权限

任何一个可执行程序文件能不能启动为进程：取决发起者对程序文件是否拥有执行权限。启动为进程之后，其进程的属主为原程序文件的属组

权限设定：chmod g+s file…   chmod g-s file…

可执行目录上的SGID权限

默认情况下，用户创建文件时，其属组为此用户所属组的主组

一旦某目录被设定SGID，则对此目录有写权限的用户，在此目录中创建的文件，所属的组为此目录的属组

通常用于创建一个协作的目录

权限设定：chmod g+s dir…   chmod g-s dir…

Sticky位(粘滞位)

具有写权限的目录通常用户可以删除该目录中的任何文件，无论该文件的权限或拥有权

在目录设置Sticky 位，只有文件的所有者或root可以删除该文件

sticky设置在文件上没有意义

权限设定:chmod o+t dir…  chmod o-t dir…

当设定对应的SUID SGID和Sticky时，如果对应的属主、属组和other没有相应的x权限，那么特殊权限会由s s t变成，S S T

特殊权限的数字发设定

SUID=4，SGID=2，Sticky=1，将含有对应权限累加，得到数值后，放到普通权限三个数值的前面，即可用chmod命令设定

文件的隐藏属性chattr lsattr

文件除了上边介绍的属性之外还具有隐藏的属性，用命令chattr来修改，用lsattr来查看

chattr [+-=][ASacdistu] 文件或目录名称

选项   -R  递归，将目录中的内容依次改变

参数

+  增加某一个特殊参数，其他参数不改变

–  删除某一个特殊参数，其他参数不改变

=  设定为后边的参数

A  当设置了A后，当访问这个文件时，文件的atime不会改变，对于I/O较慢的机器可以避免过度访问磁盘

a  当设置a属性之后，这个文件将只能增加数据，不能修改和删除数据，只有root能设置这个属性

c  文件设置c属性之后，将会自动将此文件压缩，读取时自动解压缩；进行存储的时候，会先进行压缩在存储

i  设置i属性之后，这个文件将不能被删除、改名，设置连接也无法写入或添加数据，只有root能够设置

s  当设置s属性后，文件被删除之后，将会完全从磁盘被删除，包括文件的具体数据

u  与s属性相对应的，当文件设置u属性之后，如果文件被删除，将只会删除文件的文件名，内部的具体数据依旧会存在磁盘上，可以恢复

lsattr  查看文件的隐藏属性

lsattr [-adR] 文件或目录

选项与参数：

-a ：将隐藏文件的属性也秀出来；

-d ：如果接的是目录，仅列出目录本身的属性而非目录内的文件名；

-R ：连同子目录的数据也一并列出来！

主机的具体权限规划：ACL

ACl是access control list的缩写，主要目的是提供传统的owner、group、others的r、w、x权限之外的具体权限设置。ACl可针对单一用户、单一文件或目录来进行rwx的权限设置，对于需要特殊权限的使用状况非常有帮助

CentOS7.0默认创建的xfs和ext4文件系统有ACL功能。CentOS7.X之前版本，默认手工创建的ext4文件系统无ACL功能。需手动增加:

tune2fs –o acl/dev/sdb1

mount –o acl/dev/sdb1 /mnt

ACL的生效顺序：所有者，自定义用户，自定义组，其他人

设置文件的ACL权限  使用setfacl命令

选项：

–m 设置文件的acl参数，不能与-x混用

-x 删除文件的acl参数，不能与-m混用

-b 清空文件所有的acl参数

-k 移除『预设的』 ACL 参数，关于所谓的『预设』参数于后续范例中介绍；

-R 递归设定 acl ，亦即包括次目录都会被设定起来；

-d 设定『预设 acl 参数』的意思！只对目录有效，在该目录新建的数据会引用此默认值

-M 调用设置好的ACL权限设置文件  setfacl -M file.acl file|directory

设置方式   setfacl -m[R] u[g]:username[groupname]:[rwx权限] file[dir]

取消方式  setfacl -x[-R] u[g]:username[groupname] file[dir]

这种取消方式可能不彻底，可以使用-b选项全部取消

setfacl -m d:u:wang:rx dir   d 是default，意思是将来目录下新建的文件自动有次权限，只对新文件有效，对于旧文件无效

setfacl -X file.acl directory  删除文件中的权限

用命令getfacl可以查看文件的ACL权限   getfacl file

在看到的选项中有一项是mask值，是自定义用户，自定义组的最大权限，既ACL文件上的group权限是mask值(自定义用户，自定义组，拥有组的最大权限)，而非传统的组权限。mask只影响所有者和other的之外的人和组的最大权限。mask需要与用户的权限进行逻辑运算后，才能变成有限的权限(effective permission)，用户和组的设置必须存在与mask权限设定范围内才会生效。

mask值的设置 setfacl -m mask：：[权限] file

原创文章，作者：black_fish，如若转载，请注明出处：http://www.178linux.com/27526