首页 / 操作系统 / Linux / RHEL7文件权限

本文介绍Linux下的文件权限 操作系统为RHEL7.2_X86_64
可以从以下三种访问方式限制访问权限：
1 只允许用户自己访问
2 允许一个预先指定的用户组中的用户访问
3 允许系统中的任何用户访问
文件的所属用户或者root用户可以将这些权限改变为任何他想指定的权限。
一个只有读权限的文件，是禁止进行任何修改的。
只有执行权限的，允许它想一个程序一样执行。

查看权限

我们之前已经很多次用到 ls命令了，如你所见，我们用它来列出并显示当前目录下的文件，当然这是在不带任何参数的情况下，它能做的当然不止这么多，现在我们就要用它来查看文件权限。

[root@VM_200_13_CentOS ~]# ls -ltotal 8drwxr-xr-x 2 root root 4096 Aug 14 11:37 auth-rw-r--r-- 1 root root7 Aug 14 11:34 auth.txt 

文件类型

 

基本权限

| 基本权限 | 说明 |
| :------------- | :------------- |
| r | 对文件而言，具有读取文件内容的权限
对目录来说，具有浏览目录的权限 |
| w | 对文件而言，具有新增、修改文件内容的权限
对目录来说，具有删除、移动目录内文件的权限 |
| x | 对文件而言，具有执行文件的权限
对目录了来说该用户具有进入目录的权限 |
| - | 表示不具有该项权限 |
举例说明：

例子	说明
-rwx------	文件所有者对文件具有读取、写入和执行的权限
-rwxr--r--	文件所有者具有读、写与执行的权限 其他用户则具有读取的权限
-rw-rw-r-x	文件所有者与同组用户具有读写权限 其他用户具有读取和执行权限
drwx--x--x	目录所有者具有浏览目录修改（删除、移动）目录和进入目录的权限 同组用户和其他用户具有进入目录的权限
drwx------	除了目录所有者具有完整的权限之外 其他用户对该目录完全没有任何权限

 

特殊权限

其实文件与目录设置不止这些，还有所谓的特殊权限。由于特殊权限会拥有一些“特权”。
因而用户若无特殊需求，不应该启用这些权限，避免安全方面出现严重漏洞，造成入侵，甚至摧毁系统！

s

SUID

SUID（Set UID）当一个可以执行文件具有SUID权限，用户执行这个程序时，将以这个程序的所有者身份执行。
在设置s权限时文件属主必须先设置相应的x权限，否则s权限并不能正真生效。
chmod命令不进行必要的完整性检查，即使不设置x权限就设置s权限，chmod也不会报错，当我们ls -l时看到rwS，大写S说明s权限未生效。
Linux修改密码的passwd便是个设置了SUID的程序，普通用户无读写/etc/shadow文件的权限确可以修改自己的密码。
可执行的文件搭配这个权限，便能得到特权，任意存取该文件的所有者能使用的全部系统资源。
请注意具备SUID权限的文件，骇客经常利用这种权限，以SUID配上root帐号拥有者，无声无息地在系统中开扇后门，供日后进出使用[root@VM_200_13_centos ~]# su - testLast login: Sun Aug 14 19:05:04 CST 2016 on pts/0[test@VM_200_13_centos ~]$ which passwd/bin/passwd[test@VM_200_13_centos ~]$ ll /bin/passwd-rwsr-xr-x. 1 root root 27832 Jun 102014 /bin/passwd该文件的所属用户和所属用户组均为root，显然test用户不具有该执行文件的读写执行权限
但是该文件被赋予了SUID权限，任意执行该执行文件的用户都能以该文件所属用户（root用户）的身份执行该文件[test@VM_200_13_centos ~]$ passwdChanging password for user test.Changing password for test.（current） UNIX password:New password:Retype new password:passwd: all authentication tokens updated successfully.因为具有SUID权限所有普通用户执行该命令能修改密码

SGID

设置在文件上面，其效果与SUID相同，只不过将文件所有者换成用户组，该文件就可以任意存取整个用户组所能使用的系统资源。
强调: SUID一般用在文件上（脚本） SGID用在目录上比较多

t

t权限代表SBIT（Sticky）：只针对目录有效,对文件无效,作用是防止别人删除掉对方的资料

因为SUID、SGID、Sticky占用x的位置来表示，所以在表示上会有大小写之分。
加入同时开启执行权限和SUID、SGID、Sticky，则权限表示字符是小写的
如果不具有x权限，会以大写显示

[root@VM_200_13_centos ~]# mkdir test[root@VM_200_13_centos ~]# lltotal 4drwxr-xr-x 2 root root 4096 Aug 14 19:59 test[root@VM_200_13_centos ~]# chmod u+s test/[root@VM_200_13_centos ~]# lltotal 4drwsr-xr-x 2 root root 4096 Aug 14 19:59 test[root@VM_200_13_centos ~]# chmod u-x test/[root@VM_200_13_centos ~]# lltotal 4drwSr-xr-x 2 root root 4096 Aug 14 19:59 test[root@VM_200_13_centos ~]# chmod g+s test/[root@VM_200_13_centos ~]# lltotal 4drwSr-sr-x 2 root root 4096 Aug 14 19:59 test[root@VM_200_13_centos ~]# chmod g-x test/[root@VM_200_13_centos ~]# lltotal 4drwSr-Sr-x 2 root root 4096 Aug 14 19:59 test[root@VM_200_13_centos ~]# chmod o+t test/[root@VM_200_13_centos ~]# lltotal 4drwSr-Sr-t 2 root root 4096 Aug 14 19:59 test[root@VM_200_13_centos ~]# chmod o-x test/[root@VM_200_13_centos ~]# lltotal 4drwSr-Sr-T 2 root root 4096 Aug 14 19:59 test 

修改权限

chmod

命令：chmod
作用：修改文件的权限
语法：chmod [选项] MODE 文件...

选项	说明
-c	只输出成功修改权限的文件权限更改信息
-f	忽略大部分的错误信息
-v	输出详细信息
-R	递归更改目录和文件的权限

-rwxrwxrwx
-rwxrwxrwx的第一个字符表示这是一个普通文件，之后每三个字符分别代表的是用户权限、用户组权限、其他用户权限
用户权限用u表示
用户组权限用g表示
其他用户权限用o表示
那么chmod命令的MODE第一种方式可以为指定用户或用户组或其他用户授权
u+x：表示授予用户对该文件的可执行权限
g+r:表示授予用户组对该文件的可读权限
o-w:表示取消其他用户对该文件的写权限[root@VM_200_13_centos ~]# lltotal 4drwsr-Sr-T 2 root root 4096 Aug 14 19:59 test[root@VM_200_13_centos ~]# chmod u-x test/[root@VM_200_13_centos ~]# chmod g+w test/[root@VM_200_13_centos ~]# chmod o+w test/[root@VM_200_13_centos ~]# lltotal 4drwSrwSrwT 2 root root 4096 Aug 14 19:59 test如果要为文件设置多个用户权限（用户权限、用户组用户权限、其他用户权限）这种方式就很麻烦，需要多次设置
这种情况使用权限的二进制数表达形式设置会非常效率

权限	二进制	十进制
r	100	4
w	10	2
x	1	1
s	SUID：100 SGID：10	SUID：4 SGID：2
t	1	1
-	0	0

对于 -rwxrwxrwx 除去第一位表示文件类型外rwxrwxrwx每三位为一组用二进制表示：111 111 111
rwxrwxrwx每三位为一组用十进制表示：7 7 7
最终我们使用计算出的十进制数为文件进行授权[root@VM_200_13_centos ~]# lltotal 0-rw-r--r-- 1 root root 0 Aug 14 20:41 a[root@VM_200_13_centos ~]# chmod 000 a[root@VM_200_13_centos ~]# lltotal 0---------- 1 root root 0 Aug 14 20:41 a

例子	说明
-rwx------	二进制：111000000 十进制：700 权限：所属用户具有读写执行，所属用户组用户和其他用户没有任何权限
-rwx---rwx	二进制：111000111 十进制：707 权限：所属用户和其他用户具有读写执行，所属用户组用户没有任何权限
-rwx--xrwx	二进制：111001111 十进制：717 权限：所属用户和其他用户具有读写执行，所属用户组用户只有执行权限

[root@VM_200_13_centos ~]# chmod 711 a[root@VM_200_13_centos ~]# lltotal 0-rwx--x--x 1 root root 0 Aug 14 20:41 a如果要授予特殊权限SUID（4）、SGIU（2）、SBIT（1）则要使用4位1进制数表示[root@VM_200_13_centos ~]# lltotal 0---------- 1 root root 0 Aug 14 20:41 a[root@VM_200_13_centos ~]# chmod 7000 a[root@VM_200_13_centos ~]# lltotal 0---S--S--T 1 root root 0 Aug 14 20:41 a

chown

命令：chown
作用：修改文件拥有者和所属组
语法：chown [选项] [所属用户][:所属用户组] 文件...

选项	说明
-c	只输出成功修改权限的文件权限更改信息
-f	忽略大部分的错误信息
-v	输出详细信息
-h	修复符号链接
-R	递归更改目录和文件的权限
--deference	作用于符号链接的指向，而不是链接文件本身

[root@VM_200_13_centos ~]# lltotal 0---S--S--T 1 root root 0 Aug 14 20:41 a[root@VM_200_13_centos ~]# chown test:test a[root@VM_200_13_centos ~]# lltotal 0------S--T 1 test test 0 Aug 14 20:41 a[root@VM_200_13_centos ~]# chown root a[root@VM_200_13_centos ~]# lltotal 0------S--T 1 root test 0 Aug 14 20:41 a[root@VM_200_13_centos ~]# chown :test1 a[root@VM_200_13_centos ~]# lltotal 0------S--T 1 root test1 0 Aug 14 20:41 a[root@VM_200_13_centos ~]# mkdir -p ~/aa/b/c[root@VM_200_13_centos ~]# touch aa/a[root@VM_200_13_centos ~]# chown -R -v:test1 aa/ownership of "aa/a" retained as root:test1ownership of "aa/b/c" retained as root:test1ownership of "aa/b" retained as root:test1ownership of "aa/" retained as root:test1 

默认权限

我们创建文件的默认权限是怎么来的？如何改变这个默认权限呢？umask设置了用户创建文件的默认权限，它与chmod的效果刚好相反。
umask设置的是权限补码，而chmod设置的是文件权限码。
一般在/etc/profile、宿主目录下的.bash_profile或 .profile中设置了umask的默认值。

umask命令允许你设定文件创建时的缺省模式，对应每一类用户（文件属主、同组用户、其他用户）存在一个相应的umask值中的数字。
对于文件来说，这一数字的最大值分别是6。
系统不允许你在创建一个文本文件时就赋予它执行权限，必须在创建后用chmod命令增加这一权限。目录则允许设置执行权限，这样针对目录来说，umask中各个数字最大可以到7。
该命令的一般形式为：umask nnn 其中nnn为umask置000 - 777。
我们只要记住umask是从权限中拿走相应的位即可。
如：umask值为022，则默认目录权限为755，默认文件权限为644。计算方法：
文件默认权限＝666-umask值 666-022=644
目录默认权限＝777-umask 值 777-022=755
举例:创建 一个文件:
umask=033
touch c.txt
那么c.txt的默认文件权限是？umask掩码为033
666-033=633 结果为：644 

文件属性

命令：chattr
作用：可改变存放在ext2、ext3、ext4、xfs、ubifs、reiserfs、jfs等文件系统上的文件或目录属性
语法：chattr [选项] [属性] [-v（版本）] 文件...

选项	说明
-R	递归处理，将指定目录下的所有文件及子目录一并处理
-v	<版本编号> 设置文件或目录版本
-V	显示指令执行过程
+	开启文件或目录的指定属性
-	关闭文件或目录的指定属性
=	指定文件或目录的指定属性

属性	说明
A	即Atime，告诉系统不要修改对这个文件的最后访问时间
S	即Sync，一旦应用程序对这个文件执行了写操作 使系统立刻把修改的结果写到磁盘
a	即Append Only，系统只允许在这个文件之后追加数据 不允许任何进程覆盖或截断这个文件 如果目录具有这个属性，系统将只允许在这个目录下建立和修改文件 而不允许删除任何文件
b	不更新文件或目录的最后存取时间
c	将文件或目录压缩后存放
d	当dump程序执行时，该文件或目录不会被dump备份
D	检查压缩文件中的错误
i	即Immutable，系统不允许对这个文件进行任何的修改 如果目录具有这个属性，那么任何的进程只能修改目录之下的文件 不允许建立和删除文件
s	彻底删除文件，不可恢复，因为是从磁盘上删除 然后用0填充文件所在区域
u	当一个应用程序请求删除这个文件 系统会保留其数据块以便以后能够恢复删除这个文件 用来防止意外删除文件或目录
t	文件系统支持尾部合并（tail-merging）
X	可以直接访问压缩文件的内容

注意事项：
chattr命令的作用很大，其中一些功能是由Linux内核版本来支持的，不过现在生产绝大部分跑的
linux系统都是2.6以上内核了。通过chattr命令修改属性能够提高系统的安全性，但是它并不适合所有的目录。
chattr命令不能保护/、/dev、/tmp、/var目录。
lsattr命令是显示chattr命令设置的文件属性。
这两个命令是用来查看和改变文件、目录属性的，与chmod这个命令相比，chmod只是改变文件的读写、执行权限，更底层的属性控制是由chattr来改变的。应用举例：
用chattr命令防止关键密码文件被修改[root@VM_200_13_centos ~]# chattr +i /etc/passwd[root@VM_200_13_centos ~]# lsattr /etc/passwd----i----------- /etc/passwd要想修改此文件就要把i属性去掉[root@VM_200_13_centos ~]# chattr -i /etc/passwd[root@VM_200_13_centos ~]# lsattr /etc/passwd---------------- /etc/passwd让某个文件只能往里面追加数据但不能删除
适用于各种日志文件，还是以密码文件为例[root@VM_200_13_centos ~]# chattr +a /etc/passwd[root@VM_200_13_centos ~]# lsattr /etc/passwd-----a---------- /etc/passwd[root@VM_200_13_centos ~]# chattr -a /etc/passwd[root@VM_200_13_centos ~]# lsattr /etc/passwd---------------- /etc/passwd本文永久更新链接地址