Linux 文件权限管理（chown、chmod、setfacl、chattr）_给文件夹 权限 linux

一、权限类型

• 基本权限

• 特殊权限

• 高级权限

• 隐藏权限

1.文件权限

[root@master /srv]# ll 9×9.sh 
-rw-r--r-- 1 root root 789 Oct 13 17:32 9×9.sh

注：图片来自网络 

文件类型：Linux（基础命令篇）系统管理之文件管理_泡泡茶壶鸭的博客-CSDN博客

 2.权限掩码

1）umask 用户掩码

控制用户创建文件和目录的默认权限

#root用户默认最高权限
目录---777 文件---666

#查看umask
[root@qfedu.com ~]# umask
0022 root账户默认
0002 普通用户默认

#通过计算得出root用户创建目录和文件的权限为:
也是现在root用户创建完目录和文件的默认权限:
目录:755
文件:644

#通过计算得出普通用户创建目录和文件的权限为:
也是现在普通用户创建完目录和文件的默认权限:
目录:775
文件:664

2）修改umask

[root@master /srv]# umask 0111

 二、基本权限

权限对象：
属主------->u ----->r w x                  
属组------->g ----->r w x  
其他人----->o------>r w x 

基本权限类型：
读(read)：r   ---->4
写(write)：w  ---->2
执行(exec)：x ---->1

1.权限设置

chown:改变文件或目录的所属主以及所属组
chmod:为文件或目录设置访问权限

1）chown

[root@master /srv]# chown alice.hr file1.txt  #修改属主、属组
[root@master /srv]# chown tom  file1.txt      #只修改属主
[root@master /srv]# chown .it file1.txt       #只修改属组
[root@master /srv]# chown -R alice.hr dir1    #递归修改---针对目录

2）chmod

①使用符号

[root@master /srv]# chmod u+x file1.txt         #属主增加执行
[root@master /srv]# chmod a=rwx file1.txt       #所有人等于读写执行
[root@master /srv]# chmod a=- file1.txt         #所有人都没有权限
[root@master /srv]# chmod ug=rw,o=r file1.txt   #属主属组等于读写，其他人只读
[root@master /srv]# ll
-rw-rw-r--. 1 tom   it      0 Nov  1 15:30 file1.txt

 ②使用数字

[root@master /srv]# chmod 644 file1.txt
[root@master /srv]# ll file1.txt
-rw-r--r--. 1 tom it 0 Nov  1 15:30 file1.txt

2.r、w、x权限对文件和目录的意义

• 对目录只有读（r）权限的时候，无法进入目录，可以列出目录下的文件名，但会显示权限不足；
• 对文件只有写（w）权限的时候，无法cat查看，可以vim进入文件，但会显示权限不足，实际上可以写入,但无法查看 

1）对文件的意义

r ----cat vim  tail  head  more  less
w ---vi、vim  echo  >   >>
x ---- ./dir/file             #注意：如果没有x权限，root用户都无法执行  chmod a-x file    ./file

注：但对于shell脚本，在没有x权限下可以使用bash|sh|source间接执行

 2）对目录的意义

r  -----ls                     #如果只有r权限，可以看到目录下的内容，但是有报错信息
w  -----touch、rm     #只有写权限无法对目录下的文件创建和删除，创建和删除要有执行权限
x  ---- cd                   #进入目录

注：

• 对目录没有w，对文件有rwx（删除目录下的文件，权限看目录，不看文件）
• 其他人对父目录没有w权限，则对其目录下的文件也没有w权限，无关乎文件的权限,但是目录又要执行权限，否则无法cd进去
• 对目录有w权限，可以在目录中创建新文件，可以删除目录中的文件（跟文件权限无关）

三、特殊权限

1.特殊权限的类型

suid ==== 4 提权 （只对二进制命令文件生效，其他不管用）

sgid ==== 2 继承属组权限    （只能对目录设置）

sticky == 1 (t权限)  权限控制

高级权限 ：

suid                                     #针对普通文件
sgid,sticky                           #目录                 
注：这三个权限不能给到同一个文件

2.特殊权限的设置

1）字符---语法

提权：

chmod u+s file     #提权

chmod g+s dir      #只能对目录设置

chmod o+t dir      #即使有删除权限，也不能删除

取消提权：

chmod u-s file

chmod d-s dir

chmod 0-t dir

2）数字

chmod 4777 file         #suid

chmod 2770 dir         #sgid

chmod 1770 dir         #sticky

 3.suid

1）作用

• SUID权限仅对命令文件(二进制文件)有效
• 执行者将具有该程序拥有者(owner)的权限

2）例1

<!-- suid   普通用户通过suid提权     <针对文件>
在进程文件（二进制，可执行的命令文件）上增加suid权限 -->

[root@master /opt]# chmod u+s /usr/bin/cat
[root@master /opt]# chmod u+s /usr/bin/rm
[root@master /opt]# su god
[god@master opt]$ cat /root/file1.txt
123
[god@master opt]$ rm -rf /root/file1.txt

4.sgid

1）作用

• 把s放到文件的所属用户组的x位置上的话，就是SGID。那么SGID的功能是什么呢？和SUID一样，只是SGID是继承该程序的所属组。
• SGID主要用在目录上-----如果用户在此目录下具有w权限的话，使用者在此目录下建立新文件，则创建的这个文件的群组与此目录的群组相同。
• 提权的权限高于root用户

 2）例1

[root@master ~]# mkdir /opt/dir1  #创建目录
[root@master ~]# groupadd hr  #创建一个组
[root@master ~]# chmod 775 /opt/dir1/  #设置权限
[root@master ~]# ll -d /opt/dir1/
drwxrwxr-x. 2 root root 6 Nov  30 17:38 /opt/dir1/
[root@master ~]# chown .hr /opt/dir1/  #设置属组
[root@master ~]# chmod g+s /opt/dir1/  #设置sgid
[root@master ~]# ll -d /opt/dir1/
drwxrwsr-x. 2 root hr 6 Nov  30 17:38 /opt/dir1/
[root@master ~]# touch /opt/dir1/a.txt
[root@master ~]# ll /opt/dir1/a.txt
-rw-r--r--. 1 root hr 0 Nov  30 17:40 /opt/dir1/a.txt
[root@master ~]# chmod o+w /opt/dir1/ -R 
[root@master ~]# su - god
Last login: Wed Nov 29 20:40:37 CST 2023 on pts/1
[god@master ~]$ touch /opt/dir1/b.txt
[god@master ~]$ ll /opt/dir1/b.txt
-rw-rw-r--. 1 god hr 0 Nov  30 17:42 /opt/dir1/b.txt

5.sticky

1）作用

• 这个就是针对others来设置的了，和上面两个一样，只是功能不同而已。
• SBIT（Sticky Bit）目前只针对目录有效，对于目录的作用是：当用户在该目录下建立文件或目录时，仅有自己与 root才有权力删除。

2）例1

[root@master ~]# cd /home/
[root@master /home]# mkdir dir2
[root@master /home]# chmod 757 dir2/
[root@master /home]# ll -d dir2/
drwxr-xrwt. 2 root root 52 Nov 30 117:47 dir2/
[root@master /home]# su - god
Last login: Thu Nov 30 17:49:36 CST 2023 on pts/3
[god@master ~]$ touch /home/dir2/god.txt  #用户god创建文件
[god@master ~]$ logout
[root@master /home]# su - elsearch
Last login: Tue Nov 28 14:07:24 CST 2023 on pts/2
[elsearch@master ~]$ touch /home/dir2/god.txt   #用户elsearch创建文件
[elsearch@master ~]$ rm -rf /home/dir2/elsearch.txt 
rm: cannot remove ‘/home/dir2/elsearch.txt’: Operation not permitted

四、高级权限

        ​setfacl命令可以用来细分linux下的文件权限。chmod命令可以把文件权限分为u,g,o三个组，而setfacl可以对每一个文件或目录设置更精确的文件权限。

        换句话说，setfacl可以更精确的控制权限的分配。如，某一个文件，不让单一的某个用户访问；让某一个用户对某一个文件具有某种权限。

        这种独立于传统的u,g,o的rwx权限之外的具体权限设置叫ACL（Access Control List）。 ​

1.查看权限

getfacl

2.权限设置

setfacl                #针对个人设置权限，一个人查看一个文件的权限

3.getfacl参数 

用法: setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ...
-m,       --modify-acl 更改文件的访问控制列表
-M,       --modify-file=file 从文件读取访问控制列表条目更改
-x,       --remove=acl 根据文件中访问控制列表移除条目
-X,       --remove-file=file 从文件读取访问控制列表条目并删除
-b,       --remove-all 删除所有扩展访问控制列表条目
-k,       --remove-default 移除默认访问控制列表
          --set=acl 设定替换当前的文件访问控制列表
          --set-file=file 从文件中读取访问控制列表条目设定
          --mask 重新计算有效权限掩码
-n,       --no-mask 不重新计算有效权限掩码
-d,       --default 应用到默认访问控制列表的操作
-R,       --recursive 递归操作子目录
-L,       --logical 依照系统逻辑，跟随符号链接
-P,       --physical 依照自然逻辑，不跟随符号链接
          --restore=file 恢复访问控制列表，和“getfacl -R”作用相反
          --test 测试模式，并不真正修改访问控制列表属性
-v,       --version           显示版本并退出
-h,       --help              显示本帮助信息

 4.例 

-m 设置facl权限
u:  用户，也可以指定组 g
god: 需要指定的用户
rwx: 权限

1）赋予权限 

#设置只有god用户可以rwx操作/srv/a.txt文件
[root@master /srv]# ll a.txt
-rw-r--r-- 1 root root 0 Dec  1 20:36 a.txt
[root@master /srv]# setfacl -m u:god:rwx a.txt
[root@master /srv]# getfacl a.txt 
# file: a.txt
# owner: root
# group: root
user::rw-
user:god:rwx
group::r--
mask::rwx
other::r--

 2）收回权限

方法1：
[root@master /srv]# setfacl -m u:god:--- a.txt
方法2：
[root@master /srv]# setfacl -x u:god a.txt
方法3：
[root@master /srv]# setfacl -b u:god a.txt

五、隐藏权限

        设置隐藏权限可以防止一些其他用户（root）的误操作或者恶意操作。

1.查看权限

Usage: lsattr [-RVadlv] [files...]

 
-E：可显示设备属性的当前值，但这个当前值是从用户设备数据库中获得的，而不是从设备直接获得的。
-D：显示属性的名称，属性的默认值，描述和用户是否可以修改属性值的标志。
-R：递归的操作方式；
-V：显示指令的版本信息；
-a：列出目录中的所有文件，包括隐藏文件。

 2.权限设置

Usage: chattr [-RVf] [-+=aAcCdDeijsStTu] [-v version] files...

a：（Append Only）系统只允许在这个文件之后追加数据，不允许任何覆盖这个文件；
A：（Atime）告诉系统不要修改对这个文件的最后访问时间
b：不更新文件或目录的最后存取时间；
c：将文件或目录压缩后存放；
d：将文件或目录排除在倾倒操作之外；
i：（Immutable）系统不允许对这个文件进行任何的修改；
s：保密性删除文件或目录；
S：即时更新文件或目录；
u：预防意外删除。
 
-R：递归处理，将指令目录下的所有文件及子目录一并处理；
-v<版本编号>：设置文件或目录版本；
-V：显示指令执行过程；
+<属性>：开启文件或目录的该项属性；
-<属性>：关闭文件或目录的该项属性；
=<属性>：指定文件或目录的该项属性。

3.例 

1）查看权限

[root@master /srv]# lsattr test.sh
---------------- test.sh

 2）设置权限

①赋予权限

[root@master /srv]# chattr +a file1
[root@master /srv]# lsattr file1
-----a---------- file1
[root@master /srv]# echo 111 > file1  #覆盖，只允许追加
-bash: file1: Operation not permitted
[root@master /srv]# rm -rf file1     #不能删除
rm: cannot remove ‘file1’: Operation not permitted
[root@master /srv]# mv file1
mv: cannot move ‘file2’ to ‘file4’: Operation not permitted
[root@master /srv]# echo 111 >> file1 #追加
[root@master /srv]# cat file1
111

②取消权限

[root@master /srv]# chattr -a file1 
[root@master /srv]# chattr -i file2

六、两种给普通用户提权的手段

• suid: 基本针对所有用户，任何用户在执行有suid权限的程序时（例如/usr/bin/rm），都是以root身份在执行。
• sudo: 有针对性，例如针对某个用户以能够以root的身份执行某些命令。

1.放开所有命令使用权  

god表示用户名
ALL=（ALL）     #表示sudo可以切换到任意用户登陆所有计算机执行命令
NOPASSWD: ALL  #表示所有命令都可以作为root身份执行时不需要root用户的密码

[root@master /srv]# visudo    #打开配置文件
90 ##
91 ## Allow root to run any commands anywhere
92 root    ALL=(ALL)       ALL
93 god    ALL=(ALL)       NOPASSWD: ALL   #添加内容
94 ## Allows members of the 'sys' group to run networking, software,
[root@master /srv]# su - god
Last login: Thu Nov 30 17:49:40 CST 2023 on pts/3
[god@master ~]$ sudo mkdir /test1

2. 放开个别命令使用权

     将普通用户加入到wheel组

•      usermod -G wheel  username     
•      gpasswd -d username wheel

[root@master /srv]# vim /etc/sudoers
 91 ## Allow root to run any commands anywhere
     92 root      ALL=(ALL)       ALL
        lisi      ALL=(ALL)       ALL
     93 god       ALL=(ALL)       NOPASSWD:ALL
     94 elsearch  ALL=(ALL)       NOPASSWD:/usr/bin/mkdir, /usr/bin/rm, /usr/bin/touch
     95 
     96 ## Allows members of the 'sys' group to run networking, software,
     
     
     %wheel  ALL=(ALL)       ALL
[root@master /srv]# su - god
Last login: Fri Dec  1 21:14:21 CST 2023 on pts/0
[god@master ~]$ touch /file
touch: cannot touch ‘/file’: Permission denied
[god@master ~]$ sudo touch /file