RHEL7文件权限

本文介绍Linux下的文件权限 操作系统为RHEL7.2_X86_64

可以从以下三种访问方式限制访问权限：

1 只允许用户自己访问

2 允许一个预先指定的用户组中的用户访问

3 允许系统中的任何用户访问

文件的所属用户或者root用户可以将这些权限改变为任何他想指定的权限。

一个只有读权限的文件，是禁止进行任何修改的。

只有执行权限的，允许它想一个程序一样执行。

查看权限

我们之前已经很多次用到 ls命令了，如你所见，我们用它来列出并显示当前目录下的文件，当然这是在不带任何参数的情况下，它能做的当然不止这么多，现在我们就要用它来查看文件权限。

[root@VM_200_13_centos ~]# ls -l
total 8
drwxr-xr-x 2 root root 4096 Aug 14 11:37 auth
-rw-r--r-- 1 root root    7 Aug 14 11:34 auth.txt

文件类型

基本权限

基本权限	说明
r	对文件而言，具有读取文件内容的权限 对目录来说，具有浏览目录的权限
w	对文件而言，具有新增、修改文件内容的权限 对目录来说，具有删除、移动目录内文件的权限
x	对文件而言，具有执行文件的权限 对目录了来说该用户具有进入目录的权限
-	表示不具有该项权限

举例说明：

例子	说明
-rwx------	文件所有者对文件具有读取、写入和执行的权限
-rwxr--r--	文件所有者具有读、写与执行的权限 其他用户则具有读取的权限
-rw-rw-r-x	文件所有者与同组用户具有读写权限 其他用户具有读取和执行权限
drwx--x--x	目录所有者具有浏览目录修改（删除、移动）目录和进入目录的权限 同组用户和其他用户具有进入目录的权限
drwx------	除了目录所有者具有完整的权限之外 其他用户对该目录完全没有任何权限

特殊权限

其实文件与目录设置不止这些，还有所谓的特殊权限。由于特殊权限会拥有一些“特权”。

因而用户若无特殊需求，不应该启用这些权限，避免安全方面出现严重漏洞，造成入侵，甚至摧毁系统!

s

SUID

SUID（Set UID）当一个可以执行文件具有SUID权限，用户执行这个程序时，将以这个程序的所有者身份执行。

在设置s权限时文件属主必须先设置相应的x权限，否则s权限并不能正真生效。

chmod命令不进行必要的完整性检查，即使不设置x权限就设置s权限，chmod也不会报错，当我们ls -l时看到rwS，大写S说明s权限未生效。

Linux修改密码的passwd便是个设置了SUID的程序，普通用户无读写/etc/shadow文件的权限确可以修改自己的密码。

可执行的文件搭配这个权限，便能得到特权，任意存取该文件的所有者能使用的全部系统资源。

请注意具备SUID权限的文件，骇客经常利用这种权限，以SUID配上root帐号拥有者，无声无息地在系统中开扇后门，供日后进出使用

[root@VM_200_13_centos ~]# su - test
Last login: Sun Aug 14 19:05:04 CST 2016 on pts/0
[test@VM_200_13_centos ~]$ which passwd
/bin/passwd
[test@VM_200_13_centos ~]$ ll /bin/passwd
-rwsr-xr-x. 1 root root 27832 Jun 10  2014 /bin/passwd

该文件的所属用户和所属用户组均为root，显然test用户不具有该执行文件的读写执行权限

但是该文件被赋予了SUID权限，任意执行该执行文件的用户都能以该文件所属用户（root用户）的身份执行该文件

[test@VM_200_13_centos ~]$ passwd
Changing password for user test.
Changing password for test.
(current) UNIX password:
New password:
Retype new password:
passwd: all authentication tokens updated successfully.

因为具有SUID权限所有普通用户执行该命令能修改密码

SGID

设置在文件上面，其效果与SUID相同，只不过将文件所有者换成用户组，该文件就可以任意存取整个用户组所能使用的系统资源。

强调: SUID一般用在文件上(脚本) SGID用在目录上比较多

t

t权限代表SBIT（Sticky）：只针对目录有效,对文件无效,作用是防止别人删除掉对方的资料

因为SUID、SGID、Sticky占用x的位置来表示，所以在表示上会有大小写之分。

加入同时开启执行权限和SUID、SGID、Sticky，则权限表示字符是小写的

如果不具有x权限，会以大写显示

[root@VM_200_13_centos ~]# mkdir test
[root@VM_200_13_centos ~]# ll
total 4
drwxr-xr-x 2 root root 4096 Aug 14 19:59 test
[root@VM_200_13_centos ~]# chmod u+s test/
[root@VM_200_13_centos ~]# ll
total 4
drwsr-xr-x 2 root root 4096 Aug 14 19:59 test
[root@VM_200_13_centos ~]# chmod u-x test/
[root@VM_200_13_centos ~]# ll
total 4
drwSr-xr-x 2 root root 4096 Aug 14 19:59 test
[root@VM_200_13_centos ~]# chmod g+s test/
[root@VM_200_13_centos ~]# ll
total 4
drwSr-sr-x 2 root root 4096 Aug 14 19:59 test
[root@VM_200_13_centos ~]# chmod g-x test/
[root@VM_200_13_centos ~]# ll
total 4
drwSr-Sr-x 2 root root 4096 Aug 14 19:59 test
[root@VM_200_13_centos ~]# chmod o+t test/
[root@VM_200_13_centos ~]# ll
total 4
drwSr-Sr-t 2 root root 4096 Aug 14 19:59 test
[root@VM_200_13_centos ~]# chmod o-x test/
[root@VM_200_13_centos ~]# ll
total 4
drwSr-Sr-T 2 root root 4096 Aug 14 19:59 test

修改权限

chmod

命令：chmod

作用：修改文件的权限

语法：chmod [选项] MODE 文件...

选项	说明
-c	只输出成功修改权限的文件权限更改信息
-f	忽略大部分的错误信息
-v	输出详细信息
-R	递归更改目录和文件的权限

-rwxrwxrwx

-rwxrwxrwx的第一个字符表示这是一个普通文件，之后每三个字符分别代表的是用户权限、用户组权限、其他用户权限

用户权限用u表示

用户组权限用g表示

其他用户权限用o表示

那么chmod命令的MODE第一种方式可以为指定用户或用户组或其他用户授权

u+x：表示授予用户对该文件的可执行权限

g+r:表示授予用户组对该文件的可读权限

o-w:表示取消其他用户对该文件的写权限

[root@VM_200_13_centos ~]# ll
total 4
drwsr-Sr-T 2 root root 4096 Aug 14 19:59 test
[root@VM_200_13_centos ~]# chmod u-x test/
[root@VM_200_13_centos ~]# chmod g+w test/
[root@VM_200_13_centos ~]# chmod o+w test/
[root@VM_200_13_centos ~]# ll
total 4
drwSrwSrwT 2 root root 4096 Aug 14 19:59 test

如果要为文件设置多个用户权限（用户权限、用户组用户权限、其他用户权限）这种方式就很麻烦，需要多次设置

这种情况使用权限的二进制数表达形式设置会非常效率

权限	二进制	十进制
r	100	4
w	10	2
x	1	1
s	SUID：100 SGID：10	SUID：4 SGID：2
t	1	1
-	0	0

对于 -rwxrwxrwx 除去第一位表示文件类型外

rwxrwxrwx每三位为一组用二进制表示：111 111 111

rwxrwxrwx每三位为一组用十进制表示：7 7 7

最终我们使用计算出的十进制数为文件进行授权

[root@VM_200_13_centos ~]# ll
total 0
-rw-r--r-- 1 root root 0 Aug 14 20:41 a
[root@VM_200_13_centos ~]# chmod 000 a
[root@VM_200_13_centos ~]# ll
total 0
---------- 1 root root 0 Aug 14 20:41 a

例子	说明
-rwx------	二进制：111000000 十进制：700 权限：所属用户具有读写执行，所属用户组用户和其他用户没有任何权限
-rwx---rwx	二进制：111000111 十进制：707 权限：所属用户和其他用户具有读写执行，所属用户组用户没有任何权限
-rwx--xrwx	二进制：111001111 十进制：717 权限：所属用户和其他用户具有读写执行，所属用户组用户只有执行权限

[root@VM_200_13_centos ~]# chmod 711 a
[root@VM_200_13_centos ~]# ll
total 0
-rwx--x--x 1 root root 0 Aug 14 20:41 a

如果要授予特殊权限SUID（4）、SGIU（2）、SBIT（1）则要使用4位1进制数表示

[root@VM_200_13_centos ~]# ll
total 0
---------- 1 root root 0 Aug 14 20:41 a
[root@VM_200_13_centos ~]# chmod 7000 a
[root@VM_200_13_centos ~]# ll
total 0
---S--S--T 1 root root 0 Aug 14 20:41 a

chown

命令：chown

作用：修改文件拥有者和所属组

语法：chown [选项] [所属用户][:所属用户组] 文件...

选项	说明
-c	只输出成功修改权限的文件权限更改信息
-f	忽略大部分的错误信息
-v	输出详细信息
-h	修复符号链接
-R	递归更改目录和文件的权限
--deference	作用于符号链接的指向，而不是链接文件本身

[root@VM_200_13_centos ~]# ll
total 0
---S--S--T 1 root root 0 Aug 14 20:41 a
[root@VM_200_13_centos ~]# chown test:test a
[root@VM_200_13_centos ~]# ll
total 0
------S--T 1 test test 0 Aug 14 20:41 a
[root@VM_200_13_centos ~]# chown root a
[root@VM_200_13_centos ~]# ll
total 0
------S--T 1 root test 0 Aug 14 20:41 a
[root@VM_200_13_centos ~]# chown :test1 a
[root@VM_200_13_centos ~]# ll
total 0
------S--T 1 root test1 0 Aug 14 20:41 a
[root@VM_200_13_centos ~]# mkdir -p ~/aa/b/c
[root@VM_200_13_centos ~]# touch aa/a
[root@VM_200_13_centos ~]# chown -R -v  :test1 aa/
ownership of 'aa/a' retained as root:test1
ownership of 'aa/b/c' retained as root:test1
ownership of 'aa/b' retained as root:test1
ownership of 'aa/' retained as root:test1

默认权限

我们创建文件的默认权限是怎么来的？如何改变这个默认权限呢？

umask设置了用户创建文件的默认权限，它与chmod的效果刚好相反。

umask设置的是权限补码，而chmod设置的是文件权限码。

一般在/etc/profile、宿主目录下的.bash_profile或 .profile中设置了umask的默认值。



umask命令允许你设定文件创建时的缺省模式，对应每一类用户(文件属主、同组用户、其他用户)存在一个相应的umask值中的数字。

对于文件来说，这一数字的最大值分别是6。

系统不允许你在创建一个文本文件时就赋予它执行权限，必须在创建后用chmod命令增加这一权限。

目录则允许设置执行权限，这样针对目录来说，umask中各个数字最大可以到7。

该命令的一般形式为：umask nnn 其中nnn为umask置000 - 777。

我们只要记住umask是从权限中拿走相应的位即可。

如：umask值为022，则默认目录权限为755，默认文件权限为644。

计算方法：

文件默认权限＝666-umask值 666-022=644

目录默认权限＝777-umask 值 777-022=755

举例:创建 一个文件:

umask=033

touch c.txt

那么c.txt的默认文件权限是?

umask掩码为033

666-033=633 结果为：644

文件属性

命令：chattr

作用：可改变存放在ext2、ext3、ext4、xfs、ubifs、reiserfs、jfs等文件系统上的文件或目录属性

语法：chattr [选项] [属性] [-v（版本）] 文件...

选项	说明
-R	递归处理，将指定目录下的所有文件及子目录一并处理
-v	<版本编号> 设置文件或目录版本
-V	显示指令执行过程
+	开启文件或目录的指定属性
-	关闭文件或目录的指定属性
=	指定文件或目录的指定属性

属性	说明
A	即Atime，告诉系统不要修改对这个文件的最后访问时间
S	即Sync，一旦应用程序对这个文件执行了写操作 使系统立刻把修改的结果写到磁盘
a	即Append Only，系统只允许在这个文件之后追加数据 不允许任何进程覆盖或截断这个文件 如果目录具有这个属性，系统将只允许在这个目录下建立和修改文件 而不允许删除任何文件
b	不更新文件或目录的最后存取时间
c	将文件或目录压缩后存放
d	当dump程序执行时，该文件或目录不会被dump备份
D	检查压缩文件中的错误
i	即Immutable，系统不允许对这个文件进行任何的修改 如果目录具有这个属性，那么任何的进程只能修改目录之下的文件 不允许建立和删除文件
s	彻底删除文件，不可恢复，因为是从磁盘上删除 然后用0填充文件所在区域
u	当一个应用程序请求删除这个文件 系统会保留其数据块以便以后能够恢复删除这个文件 用来防止意外删除文件或目录
t	文件系统支持尾部合并（tail-merging）
X	可以直接访问压缩文件的内容

注意事项：

chattr命令的作用很大，其中一些功能是由Linux内核版本来支持的，不过现在生产绝大部分跑的

linux系统都是2.6以上内核了。

通过chattr命令修改属性能够提高系统的安全性，但是它并不适合所有的目录。

chattr命令不能保护/、/dev、/tmp、/var目录。

lsattr命令是显示chattr命令设置的文件属性。

这两个命令是用来查看和改变文件、目录属性的，与chmod这个命令相比，chmod只是改变文件的读写、执行权限，更底层的属性控制是由chattr来改变的。

应用举例：

用chattr命令防止关键密码文件被修改

[root@VM_200_13_centos ~]# chattr +i /etc/passwd
[root@VM_200_13_centos ~]# lsattr /etc/passwd
----i----------- /etc/passwd

要想修改此文件就要把i属性去掉

[root@VM_200_13_centos ~]# chattr -i /etc/passwd
[root@VM_200_13_centos ~]# lsattr /etc/passwd
---------------- /etc/passwd

让某个文件只能往里面追加数据但不能删除

适用于各种日志文件，还是以密码文件为例

[root@VM_200_13_centos ~]# chattr +a /etc/passwd
[root@VM_200_13_centos ~]# lsattr /etc/passwd
-----a---------- /etc/passwd
[root@VM_200_13_centos ~]# chattr -a /etc/passwd
[root@VM_200_13_centos ~]# lsattr /etc/passwd
---------------- /etc/passwd