linux基础知识之权限管理：权限怎么看？怎么限制用户对文件/目录的操作权限？_c linux unlink文件时,对父目录权限操作限制

权限

1. 文件属性

文件的属性被叫做文件的元数据(meta data)，元数据是描述数据的数据。一种元数据用1个Byte来记录内容。

-   rw-r--r-- .   1  root  root  0   Apr 12 10:57   file
[1]    [2]   [3] [4] [5]   [6]  [7]      [8]        [9]
一个属性占一个字节,共9个字节。没个字节代表的内容如下：
[1]文件类型
- 普通文件
d 目录
l 软连接 #类似于windows的快捷方式
b 块设备 #指对其信息的存取以“块”为单位，如通常的光盘、硬磁盘、软磁盘、磁带等，块长取512字节或1024字节或4096字节
c 字符设备
s socket套接字
p 管道 | 
[2]用户权限
[3]系统的selinux开启
[4]对于文件：文件内容被系统记录的次数（硬链接个数）；对于目录：目录中子目录的个数
[5]文件拥有者
[6]文件拥有组
[7]对于文件：文件内容大小；对于目录：目录中子文件的元数据大小
[8]文件内容被修改的时间
[9]文件名称
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

文件属性查看命令：
ls -l file   ##查看文件属性
ls -ld dir   ##查看目录属性

2. 用户权限

用户对文件的身份：

rw- r-- r--
u   g   o
u: user 文件的拥有者，ls -l 看到的第五列信息
g: group 文件的拥有组， ls -l 看到的第六列信息
o: other 既不是拥有者也不是拥有组成员的其他用户的通称
用户身份匹配：user>group>other
1
2
3
4
5
6

权限类型：
-	权限未开启
r	可读，对于文件：可以读取文件内容；对于目录：可以ls列出目录中的文件
w	可写，对于文件：可以更改文件内容；对于目录：可以在目录中新建或者删除文件
x	可执行，对于文件：可以用文件名称调用文件内记录的程序；对于目录：可以进入目录中
1
2
3
4
5

权限设定

watch -n 1 "ls -l file1;echo -------;ls -l dir""监控相应文件权限变化，用；分隔不同的命令，用“”将命令合起来，用---------当分割线。如下图：

1. 权限更改chmod

用字符方式设定文件权限：
chmod <a|u|g|o> <+|-|=> <r|w|x> file
加-R的话目录下的文件属性也全部都跟着改变

用数字方式设定权限(布尔值表示)：
三位二进制可以表示的最大范围为8进制数，1代表权限开放，0代表权限禁止。

复制权限：
chmod --reference=/tmp /mnt/dir ##复制/tmp目录的权限到/mnt/dir上
chmod -R --reference=/tmp /mnt/dir #复制/tmp目录的权限到/mnt/dir及目录中的子文件上， -R 代表第归操作

2. 系统默认权限umask

从安全角度讲系统共享的资源越少，开放的权力越小系统安全性越高，因此既要保证系统安全，又要系统创造价值，就把应该开放的权力默认开放，把不安全的权力默认保留
umask   ##查看系统保留权力

1. 临时更改：
   umask 权限值   ##临时设定系统预留权力，打开新的shell后就会失效
   ##umask值越大系统安全性越高

文件默认权限 = 777-umask-111
目录默认权限 = 777-umask
1
2

2. 永久更改：
   先更改shell系统配置文件vim /etc/bashrc
   
   再更改系统环境配置文件vim /etc/profile
   
   最后记得执行以下命令使更改生效：
   source /etc/bashrc、source /etc/profile
   如下图我将权限改为077，实验效果如下：
   
   ！！！注意两个配置文件都要改，否则会发生如下图情况：
   

3. 文件/目录属主管理chown/chgrp

chown username file   ##更改文件拥有者
chgrp groupname file   ##更改文件拥有组
chown username:groupname file   ##同时更改文件的拥有者和拥有组
chown -R username dir   ##更改目录本身及目录中内容的拥有者
chgrp -R groupname dir  ##更改目录本身及目录中内容的拥有组

4. 特殊权限suid（冒险位）/sgid（强制位）/stickyid（粘滞位）

在查看umask时我们会发现权限有四位，其实第一位就是特殊权限位。（如下图，1代表开启，0代表关闭）

1. suid 冒险位
   只针对二进制的可执行文件(c程序) ，当运行二进制可执行文件时都是用文件拥有者身份运行，和执行用户无关。
   chmod 4原属性 file或者chmod u+s file
   
2. sgid（强制位）
   针对目录: 目录中新建的文件自动归属到目录的所属组中。
   chmod 2源文件权限 dir或者chmod g+s dir
   
   ##上图实验要在根下建立目录
   ##chmod 777是为了使普通用户能对文件操作好能进行实验看出实验效果
3. stickyid（粘滞位）
   针对目录: 如果一个目录stickyid开启，那么这个目录中的文件只能被文件所有人删除。
   chmod 1原始权限 dir或者chmod o+t dir
   ##防止企业里一个部门的文件可以互相删除。
   

5.访问控制列表acl

功能: 在列表中可以设定特殊用户对于特殊文件有特殊权限。
##可以满足文件只有特殊的人才可以操作某些文件
##也可以对目录设置
文件设置/控制acl列表：
setfacl -m u:username:rw file   ##设定username用户对file有读写权利
setfacl -m g:group:rw file   ##设定group组对file有读写权利
setfacl -m u::rwx file   ##设定所有用户都有读写操作权利
setfacl -m g::0 file   ##设定所有组都有读写操作权利
setfacl -x u:username file   ##删除列表中的lee用户权限
setfacl -b file   ##关闭acl列表
acl列表开启标识

目录设置/控制acl列表：
setfacl -m u:lee:rwx /mnt/dir   ##只对于/mnt/dir目录本身生效
setfacl -Rm u:lee:rwx /mnt/dir   ##对于/mnt/dir目录和目录中已经存在的内容生效
##以上的命令只针对于存在的文件生效，新建文件是不会被设定的
setfacl -m d:u:lee:rwx /mnt/westosdir/   ##针对于/mnt/dir目录中新建文件生效
acl列表权限读取
getfacl file

上图中mask是指能够赋予指定用户权限的最大阀值。
会随着更改而改变，如下图：

但此时不能使用chmod来更改组的权限，也不能用ls-l来查看文件权限，因为列表开启后，ls -l显示的是mask值，chmod更改的也是mask值，并不是组的权限值，查看权限列表会发现权限值与实际权限值不一样，大于mask值的都不能用了。

恢复：setfacl -m m:权限 文件
acl 权限优先级：
拥有者 > 特殊指定用户 > 权限多的组 >权限少的组 > 其他

6. attr权限

attr权限限制所有用户，可以防止root用户误删某些文件。
i   ##不能作任何的更改，想使用
a   ##能添加不能删除
lsattr dir|file   ##查看attr权限
chattr +i|+a|-i|-a dir|file   ##设定attr权限

设置了i权限后用vim打开想编辑保存会报错：