Linux系统文件权限的管理

1.权限存在的意义

文件权限是系统最底层安全设定方法之一，它保证文件可以被可用的用户做相应操作

2.权限的识别

利用以下命令进行查看：
对文件：ls -l file
对目录：ls -ld dir

3.权限的查看与理解

首先在/mnt目录下用touch /mnt/file{1..3}新建3个文件，再在此目录下用mkdir /mnt/test新建文件夹test，且test文件夹下包含3个文件用touch /mnt/test/file{1..3}实现，再用watch -n 1 ls -Rl /mnt对文件权限进行监控，确保每次对权限的操作都能实时被看到。

1）文件权限的查看

命令：ls -l file
- rw-r--r-- 1 root root 216 may 12 2017 /mnt/rht
①   ②    ③   ④   ⑤   ⑥            ⑦              ⑧
    ①文件类型

        -    普通文件
        d   目录
        l     软链接
        s    套接字
        c    字符设备（显示字符，如date命令）/dev/pts/1 date > /dev/pts/1
    ②文件的权限
        rw-|r--|r--
        u   g   o
        u:    user
        g:    group
        o:    other
    ③文件硬链接个数，文件内容被系统记录的个数
    ④文件拥有者
    ⑤文件拥有组
    ⑥文件大小
    ⑦文件最后一次被修改的时间
    ⑧文件名称

2）文件权限的查看

命令：ls -ld dir
d rwxr-xr-x-. 1 root root 4096 Jul 30 09:05 /mnt/
①     ②       ③  ④   ⑤     ⑥            ⑦            ⑧
    ①类型
    ②权限
    ③目录中子目录个数
    ④用户
    ⑤组
    ⑥子文件或子目录元数据大小（属性）
    ⑦最后一次被更改的时间
    ⑧文件名称

4.修改文件用户及用户组

此命令必须用root用户执行，因此得首先切换到超级用户

修改文件用户名
1）chown username file|dir（修改文件或文件夹的用户名）
2）chown -R username dir（修改文件夹中文件的用户名）
3）chown username:group file|dir（修改文件或文件夹的用户名及用户组）

以下图片是对这几个命令的分步演示：

1）chown username file|dir

2）chown -R username dir

3）chown username:group file|dir

修改文件的用户组
1）chgrp group file|dir（修改文件或文件夹的用户组）
2）chgrp -R group file|dir（修改文件夹中文件的用户组）

分步演示：

1）chgrp group file|dir

2）chgrp -R group file|dir

5.文件权限

文件的权限总共有三种：r（可读），w（可写），x（可执行）
1）文件权限的作用
r
对文件    是否可以查看文件中的字符
对目录    是否可以查看目录中有什么文件
w
对文件    是否可以改变文件中记录的字符
对目录    是否可以在目录中管理文件，是否可以更改目录中文件的元数据
x
对文件    是否可以通过文件名称调用文件内记录的程序
对目录    是否可以进入此目录

注意：删除文件需要w和x的权力

            r和x权限基本上是都给或者都不给

            w权限出现在rx之后

2）权限的管理
方式一：字符形式
chmod <u|g|o> <+|-|=> <r|w|x> file|dir，ugo和+-=和rwx之间可以随意组合，但这种方式相对而言比较繁琐，因此一般使用第二种方式。

方式二：数字方式
r,w,x分别对应2,1,0
x=2^0*0|1=0|1
w=2^1*0|1=0|2
w=2^2*0|1=0|4

x=1
w=2
r=4

rwx=7
rw-=6
r-x=5
r--=4
-wx=3
-w-=2
--x=1
chmod 755 /mnt/file1就相当于设定文件权限为rwxr-xr-x-

6.权限列表

特定用户对特定文件有指定权限
-rw-r--r--+ 1 root root 216 may 12 2017 /mnt/rht
+号代表权限列表开启
[root@foundation100 mnt]# getfacl file
file:file    文件名称
#owner:root    文件所有人
#group:root    文件所有组
user::rw--    用户权限
user:kiosk:rwx    特殊指定用户权限
group::r--    组权限
mask::rwx    权限最大值
other::r--    其他人权限

setfacl -m u:student:rwx file    设定列表用户权限
setfacl -x u:student file    删除列表中的指定用户
setfacl -b file            关闭权限列表

记下来我们通过两道简单的练习来掌握一下权限列表，

第一题题目如下：

1）新建用户组，shengchan，caiwu，jishu

2）新建用户要求如下：

         ①tom是shengchan组的附加成员

         ②harry是caiwu组的附加成员

         ③leo是jishu组的附加成员

         ④新建admin用户，此用户不属于以上提到的三个部门

3）新建目录要求如下：

         ① /cw目录为财务部存储目录只能对财务部人员可以写入

         ② /sc目录为生产部存储目录只能对生产部人员可以写入

         ③ /js目录为技术部存储目录只能对技术部人员可以写入

步骤如下：

第二题题目：

拷贝/etc/fstab文件到/var/tmp目录中，设置以下需求：

• 使harry用户对该文件无任何权限
• 使natasha用户对该文件有完全控制权限
• 配置文件所属用户为root
• 配置文件所属组为root
• 其它所有用户对文件拥有读权限
• 其他所有用户对文件没有执行权限

步骤如下：