linux文件权限总结(创建root不可以删除文件、只可追加的日志文件等)

文件类型

对于文件和目录的访问权力是根据读访问，写访问，和执行访问来定义的。

我们来看一下 ls 命令的输出结果

[root@iZ28dr6w0qvZ test]# ls -l
总用量 72
-rw-r--r--  1 root root 62199 3月   2 11:21 lsbin.txt
drwxr-xr-x 38 root root  4096 2月  29 16:11 Pics
-rw-r--r--  1 root root    54 2月  29 14:22 text.txt
-rw-r--r--  1 root root     0 3月   1 17:07 two words.txt

列表的前十个字符是文件的属性。

这十个字符的第一个字符表明文件类型。

常用的文件类型（还有其它的，不常见类型）：

属性	文件类型
-	一个普通文件
d	一个目录
l	一个符号链接。注意对于符号链接文件，剩余的文件属性总是"rwxrwxrwx"，而且都是 虚拟值。真正的文件属性是指符号链接所指向的文件的属性。
c	一个字符设备文件。这种文件类型是指按照字节流，来处理数据的设备。 比如说终端机，或者调制解调器
b	一个块设备文件。这种文件类型是指按照数据块，来处理数据的设备，例如一个硬盘，或者 CD-ROM 盘。

剩下的九个字符，叫做文件模式，代表着文件所有者，文件组所有者，和其他人的读，写，执行权限。

常用的linux文件权限

444 r--r--r--
600 rw-------
644 rw-r--r--
666 rw-rw-rw-
700 rwx------
744 rwxr--r--
755 rwxr-xr-x
777 rwxrwxrwx　　

• 读取的权限等于4，用r表示；
• 写入的权限等于2，用w表示；
• 执行的权限等于1，用x表示；

通过4、2、1的组合，得到以下几种权限：
0（没有权限）；4（读取权限）；5（4+1 | 读取+执行）；6（4+2 | 读取+写入）；7（4+2+1 | 读取+写入+执行）

安全权限的临界点

1.目录755，文件644是相对安全的权限；

2.用户为root以及用户组为root

chmod 更改权限

通过八进制表示法，我们使用八进制数字来设置所期望的权限模式。因为每个八进制数字代表了 3个二进制数字，这种对应关系，正好映射到用来存储文件模式所使用的方案上。下表展示了 我们所要表达的意思：

Octal	Binary	File Mode
0	000	---
1	001	--x
2	010	-w-
3	011	-wx
4	100	r--
5	101	r-x
6	110	rw-
7	111	rwx

通过传递参数 “600”，我们能够设置文件所有者的权限为读写权限，而删除用户组和其他人的所有 权限。虽然八进制到二进制的映射看起来不方便，但通常只会用到一些常见的映射关系： 7 (rwx)，6 (rw-)，5 (r-x)，4 (r--)，和 0 (---)。

chmod 命令支持一种符号表示法，来指定文件模式。符号表示法分为三部分：更改会影响谁， 要执行哪个操作，要设置哪种权限。通过字符 “u”，“g”，“o”，和 “a” 的组合来指定 要影响的对象，

chmod 命令符号表示法

u+x	为文件所有者添加可执行权限。
u-x	删除文件所有者的可执行权限。
+x	为文件所有者，用户组，和其他所有人添加可执行权限。 等价于 a+x。
o-rw	除了文件所有者和用户组，删除其他人的读权限和写权限。
go=rw	给群组的主人和任意文件拥有者的人读写权限。如果群组的主人或全局之前已经有了执行的权限，他们将被移除。
u+x,go=rw	给文件拥有者执行权限并给组和其他人读和执行的权限。多种设定可以用逗号分开。

符号表示法的优点是， 允许你设置文件模式的单个组成部分的属性，而没有影响其他的部分。

chown － 更改文件所有者和用户组

参数	结果
cqh	把文件所有者从当前属主更改为用户 cqh。
cqh:users	把文件所有者改为用户 cqh，文件用户组改为用户组 users。
:cqh	把文件用户组改为组cqh，文件所有者不变。
cqh:	文件所有者改为用户 cqh，文件用户组改为，用户 cqh 登录系统时，所属的用户组。

chattr和lsattr －文件或者目录的隐藏属性

chattr可以创建root都不能修改的文件，但是它并不适合所有的目录，不能保护/、/dev、/tmp、/var目录
lsattr可以显示chattr命令设置的文件属性
与chmod这个命令相比，chmod只是改变文件的读写、执行权限，更底层的属性控制是由chattr来改变的。

chattr命令的用法：chattr [ -RVf ] [ -v version ] [ mode ] files…

最关键的是在[mode]部分，[mode]部分是由+-=和[ASacDdIijsTtu]这些字符组合的，这部分是用来控制文件的
属性。

+ ：在原有参数设定基础上，追加参数。
- ：在原有参数设定基础上，移除参数。
= ：更新为指定参数设定。

A：文件或目录的 atime (access time)不可被修改(modified), 可以有效预防例如手提电脑磁盘I/O错误的发生。
S：硬盘I/O同步选项，功能类似sync。
a：即append，设定该参数后，只能向文件中添加数据，而不能删除，多用于服务器日志文件安全，只有root才能设定这个属性。
c：即compresse，设定文件是否经压缩后再存储。读取时需要经过自动解压操作。
d：即no dump，设定文件不能成为dump程序的备份目标。
i：设定文件不能被删除、改名、设定链接关系，同时不能写入或新增内容。i参数对于文件 系统的安全设置有很大帮助。
j：即journal，设定此参数使得当通过mount参数：data=ordered 或者 data=writeback 挂 载的文件系统，文件在写入时会先被记录(在journal中)。如果filesystem被设定参数为 data=journal，则该参数自动失效。
s：保密性地删除文件或目录，即硬盘空间被全部收回。
u：与s相反，当设定为u时，数据内容其实还存在磁盘中，可以用于undeletion。
各参数选项中常用到的是a和i。a选项强制只可添加不可删除，多用于日志系统的安全设定。而i是更为严格的安全设定，只有superuser (root) 或具有CAP_LINUX_IMMUTABLE处理能力（标识）的进程能够施加该选项。　　

示例一：创建不可删除的文件

# 设置
root@ubuntu:/tmp/test# chattr +i chenqionghe.txt
root@ubuntu:/tmp/test# rm -f chenqionghe.txt
rm: cannot remove 'chenqionghe.txt': Operation not permitted
# 解除
root@ubuntu:/tmp/test# lsattr chenqionghe.txt
----i---------e--- chenqionghe.txt
# 使用lsattr查看设置的参数
root@ubuntu:/tmp/test# chattr -i chenqionghe.txt
root@ubuntu:/tmp/test# rm -f chenqionghe.txt　　

示例二：创建只可能追加数据不能删除的文件(不可使用vim，不可echo >，只能使用echo >>追加)

root@ubuntu:~# chattr +a chenqionghe.txt
root@ubuntu:~# rm chenqionghe.txt
rm: cannot remove 'chenqionghe.txt': Operation not permitted
root@ubuntu:~# echo 'aa' > chenqionghe.txt
-su: chenqionghe.txt: Operation not permitted
root@ubuntu:~# echo 'aa' >> chenqionghe.txt