(1)修改文件的屬主和屬組
chown [OPTION]... [OWNER][:[GROUP]] FILE...
用法:
OWNER
OWNER:GROUP
:GROUP
命令中的冒號可用. 替換
-R: 遞歸
chown [OPTION]...--reference=RFILE FILE...
范例:
[root@VinnyWang wang]# ll
-rw-rw-r--. 1 wang wang 0 Jun 26 21:48 a
-rw-rw-r--. 1 wang wang 0 Jun 26 21:49 test
-rw-rw-r--. 1 wang wang 0 Jun 26 21:49 test1
[root@VinnyWang wang]# chown wang test
[root@VinnyWang wang]# ll test
-rw-rw-r--. 1 wang wang 0 Jun 26 21:49 test
修改文件的屬組:chgrp
chgrp [OPTION]... GROUP FILE...
chgrp [OPTION]... --reference=RFILE FILE...-R
范例:
[root@VinnyWang wang]# ll test1
-rw-rw-r--. 1 wang wang 0 Jun 26 21:49 test1
[root@VinnyWang wang]# chgrp root test1
[root@VinnyWang wang]# ll test1
-rw-rw-r--. 1 wang root 0 Jun 26 21:49 test1
(2)修改文件本身的權限
權限|文件類型|讀|寫|執行|讀|寫|執行|讀|寫|執行|
-|-|-|-|-|-|-|-|-|-|-|-
權限分配|(d,l,c,s,p,)|r|w|x|r|w|x|r|w|x
數字表示法||4|2|1|4|2|1|4|2|1
權限分配||文件所有者(u)|u|u|文件所屬組(g)|g|g|其他人(o)|o|o
chmod [OPTION]... OCTAL-MODE FILE...
-R: 遞歸修改權限
chmod [OPTION]... MODE[,MODE]... FILE...
MODE:
修改一類用戶的所有權限:
u= g= o= ug= a= u=,g=
修改一類用戶某位或某些位權限
u+ u- g+ g- o+ o- a+ a- + -
chmod [OPTION]...--reference=RFILE FILE...
參考RFILE 文件的權限,將FILE的修改為同RFILE
范例:(分為數字法和字母法)
字母法:
[root@VinnyWang app]# ll test
-rw-r--r--. 1 root root 0 Jun 26 21:54 test
[root@VinnyWang app]# chmod u+x test (為文件添加x權限)
[root@VinnyWang app]# ll test
-rwxr--r--. 1 root root 0 Jun 26 21:54 test
數字法:
[root@VinnyWang app]# ll test
-rw-r--r--. 1 root root 0 Jun 26 21:54 test
[root@VinnyWang app]# chmod 744 test
[root@VinnyWang app]# ll test
-rwxr--r--. 1 root root 0 Jun 26 21:54 test
可以根據上邊的例子以此類推
可是為什么我們創建的文件或者文件夾會是固定的權限呢?這個就是umask值的設定。
umask值可以用來保留在創建文件權限
- 新建FILE 權限: 666-umask
如果所得結果某位存在執行(奇數)權限,則將其權限+1
- 新建DIR 權限: 777-umask
3.非特權用戶umask是 是 002 - root 的umask 是 是 022
5.umask: 查看
umask #: 設定
umask 002
umask –S 模式方式顯示
umask –p 輸出可被調用
全局設置: /etc/bashrc
用戶設置:~/.bashrc
(3)Linux 文件系統上的特殊權限
SUID, SGID, Sticky
前提:進程有屬主和屬組;文件有屬主和屬組
- 任何一個可執行程序文件能不能啟動為進程, 取決發起者
對程序文件是否擁有執行權限 - 啟動為進程之后,其進程的屬主為發起者, 進程的屬組為
發起者所屬的組 - 進程訪問文件時的權限,取決于進程的發起者
- 進程的發起者,同文件的屬主:則應用文件屬主權限
- 進程的發起者,屬于文件屬組;則應用文件屬組權限
- 應用文件“其它”權限
可執行文件上SUID
- 任何一個可執行程序文件能不能啟動為進程:取決發起者對程序文件是否擁有執行權限
- 啟動為進程之后,其進程的屬主為原程序文件的屬主
- SUID 只對二進制可執行程序有效
- SUID 設置在目錄上無意義
chmod u+s file(文件)
chmod u-s file(文件)
可執行文件上SGID
- 任何一個可執行程序文件能不能啟動為進程:取決發起者對程序文件是否擁有執行權限
- 啟動為進程之后,其進程的屬主為原程序文件的屬組
chmod g+s file(文件)
chmod g-s file(文件)
目錄上的SGIP權限
- 默認情況下,用戶創建文件時,其屬組為此用戶所屬的 主 組
- 一旦某目錄被設定了SGID,則對此目錄有寫權限的用戶在此目錄中創建的文件所屬的組為此目錄的屬組
- 通常用于創建一個協作目錄
chmod g+s dir(文件)
chmod g-s dir(文件)
Sticky位
- 具有寫權限的目錄通常用戶可以刪除該目錄中的任何文件,無論該文件的權限或擁有權
- 在目錄設置Sticky位,只有文件的所有者或root可以刪除該文件
- sticky 設置在文件上無意義
chmod o+t DIR...(目錄)
chmod o-t DIR...(目錄)
權限位映射
- SUID: user, 占據屬主的執行權限位
- s: 屬主擁有x 權限
- S :屬主沒有x 權限
- SGID: group, 占據屬組的執行權限位
- s: group 擁有x 權限
- S :group 沒有x 權限
- Sticky: other, 占據other 的執行權限位
- t: other 擁有x 權限
- T :other 沒有x權限
文件夾的特殊權限
chattr、lsattr
- 這兩個命令是用來查看和改變文件、目錄屬性的,與chmod這個命令相比,chmod只是改變文件的讀寫、執行權限,更底層的屬性控制是由chattr來改變的。
chattr命令的用法:
chattr [ -RVf ] [ -v version ] [ mode ] files…
最關鍵的是在[mode]部分,[mode]部分是由+-=和[ASacDdIijsTtu]這些字符組合的,這部分是用來控制文件的
屬性。
+ :在原有參數設定基礎上,追加參數。
- :在原有參數設定基礎上,移除參數。
= :更新為指定參數設定。
A:文件或目錄的 atime (access time)不可被修改(modified), 可以有效預防例如手提電腦磁盤I/O錯誤的發生。
S:硬盤I/O同步選項,功能類似sync。
a:即append,設定該參數后,只能向文件中添加數據,而不能刪除,多用于服務器日志文件安全,只有root才能設定這個屬性。
c:即compresse,設定文件是否經壓縮后再存儲。讀取時需要經過自動解壓操作。
d:即no dump,設定文件不能成為dump程序的備份目標。
i:設定文件不能被刪除、改名、設定鏈接關系,同時不能寫入或新增內容。i參數對于文件 系統的安全設置有很大幫助。
j:即journal,設定此參數使得當通過mount參數:data=ordered 或者 data=writeback 掛 載的文件系統,文件在寫入時會先被記錄(在journal中)。如果filesystem被設定參數為 data=journal,則該參數自動失效。
s:保密性地刪除文件或目錄,即硬盤空間被全部收回。
u:與s相反,當設定為u時,數據內容其實還存在磁盤中,可以用于undeletion。
各參數選項中常用到的是a和i。a選項強制只可添加不可刪除,多用于日志系統的安全設定。而i是更為嚴格的安全設定,只有superuser (root) 或具有CAP_LINUX_IMMUTABLE處理能力(標識)的進程能夠施加該選項。
應用舉例:
1、用chattr命令防止系統中某個關鍵文件被修改:
# chattr +i /etc/resolv.conf
然后用
mv /etc/resolv.conf
等命令操作于該文件,都是得到Operation not permitted的結果。vim編輯該文件時會提示W10: Warning: Changing a readonly file錯誤。要想修改此文件就要把i屬性去掉:
chattr -i /etc/resolv.conf
# lsattr /etc/resolv.conf
會顯示如下屬性
----i-------- /etc/resolv.conf
2、讓某個文件只能往里面追加數據,但不能刪除,適用于各種日志文件:
# chattr +a /var/log/messages