linux文件的特殊权限及隐藏权限

　　

　　基础知识

　　相信大家应该都知道linux的文件基本权限，使用ls -l命令可以显示文件的基本权限，"-rwxrwxrwx."，第一位表示文件的属性（是文件-  ，目录d等），后面每隔三位为属主、属组、其他用户 对应的读写执行权限。这个比较简单很容易理解。

　　文件特殊权限

　　单纯的读写执行权限无法满足我们的基本要求，因此对应有了特殊权限位（SUID、SGID、SBIT），这些权限 位用来弥补一般权限不能实现的功能，帮助没有权限的用户执行需要root权限的工作。下面我们就详细了解一下这三个特殊权限位的功能和用法。

　　1、SUID

　　SUID可以让普通用户对某个可执行命令拥有属主的权限，比如普通用户可以用passwd命令，然而passwd的权限为：

[root@linux-node2 cron]# ll /bin/passwd
-rwsr-xr-x. 1 root root 27832 Jan 30  2014 /bin/passwd

　　可以看到passwd的属主权限是rws，即x被赋予了特殊权限，其他用户执行该命令的时候也会拥有属主的权限。我们就拿rm命令举一个例子（生产环境中不建议使用）：

[root@linux-node2 cron]# ll /bin/rm
-rwxr-xr-x. 1 root root 62808 Jan 25  2014 /bin/rm
[root@linux-node2 cron]# chmod u+s /bin/rm
[root@linux-node2 cron]# ll /bin/rm
-rwsr-xr-x. 1 root root 62808 Jan 25  2014 /bin/rm
[root@linux-node2 cron]# touch /data/test
[root@linux-node2 cron]# ll /data/test
-rw-r--r-- 1 root root 0 Jan 10 17:52 /data/test
[root@linux-node2 cron]# su bing
[bing@linux-node2 cron]$ rm -f /data/test

　　通过上面的例子可以看出，当我们赋予rm特殊权限后，即使普通用户对文件没有写入权限，也可以使用特殊权限对其操作。

　　2、SGID

　　SGID可以让其他用户对某个可执行命令拥有属组权限，原理同SUID，只是这个是属组中x被赋予特殊权限，具体不再详解，请看例子：

[bing@linux-node2 cron]$ ll /usr/bin/wall
-r-xr-sr-x. 1 root tty 15344 Jan 27  2014 /usr/bin/wall

　　删除SGID特殊权限：chmod g-s /usr/bin/wall,关于chmod的命令这里就不解释了。

　　3、SBIT

　　SBIT是针对others来设置的，和上面两个一样，只是功能不同而已。

　　SBIT目前只针对目录有效，对于目录的作用是：当用户在该目录下建立文件或目录时，仅自己与root用户才有权限删除。

　　像/tmp目录(drwxrwxrwt.)，任何人可以在/tmp内增加、修改文件,但是这个目录只有root和自己才能够删除文件。举例说明：

[bing@linux-node2 ~]$ cd /data/
[bing@linux-node2 data]$ touch test1
[bing@linux-node2 data]$ chmod o+t test1
[bing@linux-node2 data]$ ll test1
-rw-rw-r-T 1 bing bing  0 Jan 10 18:20 test1

上面的例子是错误示范，删除文件是看上级目录权限的，所以这样创建SBIT文件并没有什么作用，这个SBIT特殊权限建议对目录操作，目录下的文件会生效哦。　　

这里我就不演示切换到其他用户删除该文件了，感兴趣的自己测试。

　　文件隐藏权限

　　linux中有些文件，虽然我们对这个文件有权限，却没有办法编辑和删除，或者仅能对这个文件追加等操作，这个就涉及到了linux的隐藏权限。

　　1、chattr命令用于设置文件的隐藏权限，用法“chattr [+|-参数] [文件]”。

　　参数：

 A：即Atime，告诉系统不要修改对这个文件的最后访问时间。
 S：即Sync，一旦应用程序对这个文件执行了写操作，使系统立刻把修改的结果写到磁盘。
 a：即Append Only，系统只允许在这个文件之后追加数据，不允许任何进程覆盖或截断这个文件。如果目录具有这个属性，系统将只允许在这个目录下建立和修改文件，而不允许删除任何文件。
 b：不更新文件或目录的最后存取时间。
 c：将文件或目录压缩后存放。
 d：当dump程序执行时，该文件或目录不会被dump备份。
 D:检查压缩文件中的错误。
 i：即Immutable，系统不允许对这个文件进行任何的修改。如果目录具有这个属性，那么任何的进程只能修改目录之下的文件，不允许建立和删除文件。
 s：彻底删除文件，不可恢复，因为是从磁盘上删除，然后用0填充文件所在区域。
 u：当一个应用程序请求删除这个文件，系统会保留其数据块以便以后能够恢复删除这个文件，用来防止意外删除文件或目录。
 t:文件系统支持尾部合并（tail-merging）。
 X：可以直接访问压缩文件的内容。

　　　举例说明：我们想把某个文件锁定只读，不允许任何人修改或删除，可以用+i选项。

[root@linux-node2 data]# ll test
-rw-r--r-- 1 root root 0 Jan 11 09:25 test
[root@linux-node2 data]# lsattr test
---------------- test
[root@linux-node2 data]# chattr +i test
[root@linux-node2 data]# lsattr test
----i----------- test
[root@linux-node2 data]# rm -f test
rm: cannot remove ‘test’: Operation not permitted

　　可以看出，使用隐藏文件属性保护文件很重要，即使root用户也无法对文件进行编辑，例如可以把很重要的日志文件保存，可以用+a选项，只能对日志文件进行追加写入，无法查看可编辑，这样保证了日志文件的安全性。

　　删除文件隐藏权限也很简单（chattr -i test）。

　　2、lattr 查看隐藏权限，用法：“lattr [文件]”。

　　ACL权限设置命令（setfacl、getfacl）

　　访问控制列表（Access Control List, ACL）在很多地方都能看到，比如路由交换命令中，防火墙规则中都能看到这个名词，主要是限制细节的功能。

　　以上的权限管理都是基于用户和用户组的，而无法做到更精细的文件权限管理。这里就引入了setface命令可以对单一用户、单一文件或目录进行rwx权限控制。

　　1、 setfacl

　　用法：setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ...

　　选项：　　

-m,       --modify-acl 更改文件的访问控制列表
-M,       --modify-file=file 从文件读取访问控制列表条目更改
-x,       --remove=acl 根据文件中访问控制列表移除条目
-X,       --remove-file=file 从文件读取访问控制列表条目并删除
-b,       --remove-all 删除所有扩展访问控制列表条目
-k,       --remove-default 移除默认访问控制列表
          --set=acl 设定替换当前的文件访问控制列表
          --set-file=file 从文件中读取访问控制列表条目设定
          --mask 重新计算有效权限掩码
-n,       --no-mask 不重新计算有效权限掩码
-d,       --default 应用到默认访问控制列表的操作
-R,       --recursive 递归操作子目录
-L,       --logical 依照系统逻辑，跟随符号链接
-P,       --physical 依照自然逻辑，不跟随符号链接
          --restore=file 恢复访问控制列表，和“getfacl -R”作用相反
          --test 测试模式，并不真正修改访问控制列表属性
-v,       --version           显示版本并退出
-h,       --help              显示本帮助信息

　　例如：去掉user用户对data的访问权限：setfacl -x u:user /data/　　

　　2、getfacl

　　getfacl是查看文件或文件夹的访问控制权限

　　用法：

　　getfacl file

　　这里就举例说一下访问控制列表的用法：

　　针对用户的设定方式：（u:用户名:权限）

　　设定权限用m选项，删除权限用x选项，

[root@linux-node2 data]# ll test2
-rw-r--r--  root root  Jan  : test2
[root@linux-node2 data]# setfacl -m u:bing:rwx test2
[root@linux-node2 data]# getfacl test2
# file: test2
# owner: root
# group: root
user::rw-
user:bing:rwx
group::r--
mask::rwx
other::r--
#授权用户bing对该文件有写入权限，切换到bing用户
[bing@linux-node2 data]$ echo "haha" >test2
[bing@linux-node2 data]$ cat test2
haha

参考文献：https://blog.csdn.net/ttt111zzz/article/details/78779247