Linux平台下的文件权限安全基本管理

1.文件权限存在的意义

1.文件权限是系统最底层的安全设定方式之一；

2.保证文件可以被可用的用户来进行相应的操作。

2.文件权限的查看

对于文件：

ls -l file
ll file

对于目录：

ls -ld dir
ll -d dir

对于一个大目录下的所有子目录和文件，我们可以采用递归的方法来查看文件权限：

ls -lR /mnt/
ll -R /mnt/

为了验证命令我们新建用户，并完成实验：

3.文件权限的读取

以file的文件权限信息为例，我们对文件的权限作以解读：

标号	含义
[1]	文件的类型：“-”——空文件或者文本、“d”——目录、“l”——软链接、 “s”——socket套接字、“b”——block快设备、“c”——字符设备
[2]	文件权限： rw- \| r-- \| r-- 1 2 3 1.[u]文件拥有者对文件能做什么操作 2.[g]文件所有组对文件能做什么操作 3.[o]其他人能对文件做什么操作
[3]	对文件：文件硬链接的个数（文件内容被记录的次数）对目录：目录中子目录的个数
[4]	文件的所有人
[5]	文件的所有组
[6]	对文件：文件大小对目录：目录中，子文件的元数据（matedate可以理解为文件的属性）大小
[7]	文件的内容被最后一次修改的时间
[8]	文件、目录名称

4.如何改变文件的所有人

改变所有人：chmod

改变所有组：chgrp

我们以改变/mnt/file1的所有组和所有人为例：

注意：改变所有人和所有组的前提是所有组和所有人必须已经存在

同时改变所有人和所有组：chmod wen:renshi /mnt/file1

我们在/mnt/test1/下新建hello1和hello2，以此验证实验。

如果想要连同目录下的子目录和文件一起更改所有人和所有组，可以用chown -R 来更改：

5.如何改变文件的权限

1.对权限的理解：

对文件：是否可以查看文件中的内容 --->cat file

对目录：是否可以查看目录中有什么子文件或者子目录 -------> ls dir

对文件：是否可以改变文件里面记录的字符

对目录：是否可以对目录中子目录或子文件的元数据进行更改

对文件：是否可以通过文件名称调用文件内记录的程序

2.更改方式：

chmod <u|g|o><+|-|=><r|w|x> file||dir
##例如：
chmod u-r file    ##去除文件所有人读的权限  
chmod g+w file    ##给文件所有组写的权限
chmod o=x dir     ##指定其他人对dir目录的权限为执行
chmod o=rwx dir   ##指定其他人对dir目录的权限为rwx

我们对/mnt/file1进行权限更改实验：

对于所有人、所有组、其他人，我们可以通过数字来定义三者的权限：

 r      w     x
2^2    2^1   2^0
 4      2     1
rwx rwx rwx
 7   7   7
7:rwx
6:rw-
5:r-x
4:r--
3:-wx
2:-w-
1:--x
0:---
chmod 541 file  ---->   r-x|r--|--r

例如：给/mnt/file2的权限为rw-r-x-w-:

chmod 652 /mnt/file2

6.umask

umask 系统建立文件时默认保留的权限

1.临时更改系统默认权限

umask 为022时，保留的权限为--- -w- -w- 所以新建目录的权限为 rwx r-x r-x 即755=777-022

新建文件的权限为777-755-111=644 即为rw- r-- r--

注：减111是文件系统所决定的。

umask        ##查看当前的umask值
umask  077   ##临时更改系统默认保留权限

用umask只能临时更改系统默认保留权限，当关闭shell重开一个时，就会重置

2.永久更改系统默认保留权限

（1）系统配置

系统配置文件：/etc/profile

vim /etc/profile     ##打开配置文件

60行的为普通用户的默认保留权限；62行为超级用户的默认保留权限

更改62行的umask值为077（我们用超级用户建立文件和目录来完成实验），:wq退出保存

（2）shell配置

shell配置文件：/etc/bashrc

71行的为普通用户的默认保留权限；73行为超级用户的默认保留权限

更改73行的umask值为077（我们用超级用户建立文件和目录来完成实验），:wq退出保存

source /etc/profile  ##让文件立即生效
source /etc/bashrc   ##让文件立即生效

7.特殊权限

1.sticky 粘滞位

作用：只针对目录生效，当一个目录上有sticky权限时，在这个目录中的文件只能被文件的所有者删除

设定方式：

chmod  o+t  dir
chmod  1xxx  dir

验证sticky粘滞位的作用：

1）在/mnt/下建立/pub目录，并且在/pub目录中新建file1、file2、file3，给它们满权限

2）切换到student用户，删除/mnt/pub/file3

删除成功！

3）给/mnt/pub目录设置粘滞位

可以看到/pub的o位权限变成了rwt,表示设置成功。

4）再次切换到student用户，删除/mnt/pub/file2

删除不成功，提示没有权限。

2.sgid 强制位

设定方法：

chmod g+s  file|dir
chmod 2xxx  file|dir

作用：（1）对文件：指针对于二进制可执行文件，当文件上有sgid权限时，任何人使用此文件产生的进程都属于文件的所有组

验证sgid 强制位对文件的作用：

1）ls -l /bin/watch，查看文件属性

2）执行watch date命令，使用ps查看进程

watch date
ps ax -o comm,user,group | grep watch

3）修改/bin/watch的所有组为student，对/bin/watch设置sgid强制位，再次执行watch date，使用ps查看进程

作用：（2）对目录：当目录上有sgid权限时，任何人在此目录中建立的子文件都属于目录的所有组

验证sgid 强制位对目录的作用：

1）在/mnt目录下新建目录/jishu，给它满权限

2）切换用户为student，在/mnt/jishu下新建文件，查看文件属性

3）对目录/mnt/jishu设定强制位sgid权限，查看目录属性，'s'已经表示设定成功

4）再次切换用户为student，在/mnt/jishu下新建文件，查看文件属性

3.suid 冒险位

作用：只针对于二进制可执行文件，当文件上有suid权限的时候，任何人执行这个文件程序产生的进程都属于文件的所有人

设定方式：

chmod  u+s  file
chmod  4xxx  file

验证suid权限：

1）执行watch命令，查看watch进程

2）修改/bin/watch文件的所有人为student，然后在对/bin/watch文件设置suid权限

3）再次执行watch命令，查看watch进程

注意：设置特殊权限后清除特殊权限：

chmod  0xxx  file|dir

8.acl 权限列表

1.作用：让特定的用户对特定的文件拥有特定权限。

2.acl列表查看

- rw- rwx r-- + 1 root root 0 Jan 3 02：01 file
“+”: acl开启标志
getfacl file ## 查看acl开启的文件的权限

#file: file	## 文件名称
# owner: root	## 文件拥有人
# group: root	## 文件拥有组
user::rw-	## 文件拥有人的权限
user:student:rwx	## 指定用户的权限
group::r--	## 文件拥有组的权限
mask::rwx	## 能赋予用户最大的权限阀值
other::r--	## 其他人的权限

3.acl列表的管理

setfacl -m  u:username:rwx file            ## 设定username对file拥有rwx权限
setfacl -m  g:groupname:rwx   file         ## 设定group组成员对file拥有rwx权限
setfacl -x  u:username  file               ## 从acl列表中删除username
setfacl -b  file                           ## 删除file上的acl权限列表

1）设定wen对/mnt/file有r和x的权限