修改umask值：

umask 0002   #临时修改

vi /etc/profile   #永久修改

启用ACL权限功能：

dumpe2fs -h /dev/xvda1    #找到下面一行，如果有acl则说明此分区启用了ACL，否则没有启用ACL

Default mount options:    user_xattr acl

mount -o remount,acl /   #临时开启分区ACL权限/重新挂载根分区加入ACL权限

永久开启ACL权限

vi /etc/fstab   #在相应分区的defaults后加个acl

UUID=c2ca...    /   ext4   defaults,acl   1   1

mount -o remount /   #重新挂载

查看与设定ACL权限：

getfacl 文件名   #查看acl权限

setfacl 选项 文件名   #设定ACL权限

-m：设定ACL权限

-x：删除指定的ACL权限

-b：删除所有的ACL权限

-d：设定默认ACL权限

-k：删除默认ACL权限

-R：递归设定ACL权限

setfacl -m u:用户名:rx 目录   #给该用户对此目录赋予rx的权限

setfacl -m g:用户组:rwx 目录   #给该用户组对此目录赋予rwx权限

setfacl -m m:rwx 目录   #设置目录的mask权限，用户的实际权限为：mask权限和设定权限做与运算

setfacl -x u:用户名 文件名   #删除指定用户ACL权限

setfacl -x g:组名 文件名   #删除指定用户组ACL权限

setfacl -b 文件名   #删除文件的所有ACL权限

setfacl -m u:用户名:权限 -R 目录   #递归设定ACL权限，父目录在设定ACL时，所有子文件和子目录也会拥有相同的ACL权限（递归只能用于目录）

setfacl -m d:u:用户名:权限 目录   #默认ACL权限：如果给父目录设定了默认ACL权限，那么父目录中所有新建子文件都会继承父目录的ACL权限

sudo权限：

例：让普通用户可以使用系统命令

① visudo   #root用户执行，编辑的实际是/etc/sudoers文件

② user1     ALL=（ALL）     /sbin/shutdown -r now      #在文件末尾加上这一行

普通用户使用  sudo -l  可以查看可以使用的系统命令

③ 普通用户使用  sudo /sbin/shutdown -r now  执行

例2：授权普通用户可以添加其他用户

① visudo

user1     ALL=/usr/sbin/useradd

user1     ALL=/usr/bin/passwd

② 普通用户便可以执行这两条命令（这样普通用户也可以修改root用户密码，所以需要谨慎操作sudo权限）

文件特殊权限：

SetUID的功能：（只对文件有效）

① 只有可以执行的二进制程序才能设定SUID权限

② 命令执行者要对该程序拥有x权限

③ 命令执行者在执行该程序时获得该程序文件属主的身份（灵魂附体）

④ SUID权限只在该程序执行过程中有效，也就是身份改变只在程序执行过程中有效

passwd命令拥有SUID权限，所有普通用户可以修改自己的密码

chmod 4755 文件名   #设置SUID

chmod u+s 文件名   #设置SUID

SetGID的功能：（对目录文件都有效）

① 只有可以执行的二进制程序才能设定SUID权限

② 命令执行者要对该程序拥有x权限

③ 命令执行者在执行程序时，组身份升级为该程序文件的属组

④ SGID权限同样只在该程序执行过程中有效，组身份改变只在程序执行过程中有效

SetGID对目录的作用：

① 普通用户必须对目录拥有r和x权限，才能进入此目录

② 普通用户在此目录中的有效组会变成目录的属组

③ 若普通用户对此目录拥有w权限时，新建的文件的默认属组是这个目录的属组

chmod 2755 文件名   #设置SGID

chmod g+s 文件名   #设置SGID

SBIT的功能：（粘着位）

① 粘着位目前只对目录有效

② 普通用户对该目录拥有w和x权限，即普通用户可以在此目录拥有写入权限

③ 如果没有粘着位，普通用户拥有w权限，可以删除目录下所有文件，包括其他用户建立的文件。一旦赋予了粘着位，除了root可以删除所有文件，普通用户就算拥有w权限，也只能删除自己建立的文件，不能删除其他用户建立的文件。

chmod 1777 目录   #设置粘着位

chmod o+t 目录   #设置粘着位

不可改变位权限：（对root用户也有限制，不过root可以取消该权限）

chattr [+-=] [选项] 文件或目录    #设置权限

i：对文件设置i属性，不应许对文件进行删除、改名，也不能添加和修改数据；对目录设置i属性，只能修改目录下文件的数据，但不应许建立和删除文件

a：对文件设置a属性，那么只能在文件中增加数据，但是不能删除也不能修改数据；如果对目录设置a属性，那么只允许在目录中建立文件，但是不能删除。

chattr +i abc   #设置权限

chattr +a newdir

lsattr abc   #查看权限

lsattr -d newdir

lsattr 选项 文件目录   #查看

-a：显示所有文件目录

-d：若是目录，仅列出目录本身属性，而不是子文件的