linux(fedora)文件权限管理

发布时间：2014-09-05 14:44:04作者：知识屋

linux(fedora)文件权限管理

linux权限管理

1.linux基本权限

（1）文件权限对象分类：属主：属组：其他系统用户。

属主：文件的所有权的用户帐号，大多数文件的属主对文件有可读,写,执行权限。可以设置属组和其他用户对该文件的权限，系统管理员root用户可以更改文件的属主,取得所有权。

命令chown

格式：

chown 属主：属组文件或目录 //同时更改文件或的属主和属组

例如：

[root@centOS ~]# ls -lh 123

-rw-r--r--. 1 root root 0 4月 28 05:33 123

[root@centOS ~]# chown baobao:baobao 123

[root@centOS ~]# ls -lh 123

-rw-r--r--. 1 baobao baobao 0 4月 28 05:33 123

chown 属主文件或目录 //更改文件或目录的属主

[root@centOS ~]# chown root 123

[root@centOS ~]# ls -lh 123

-rw-r--r--. 1 root baobao 0 4月 28 05:33 123

chown ：属组文件或目录 //更改文件或目录的属组

root@centOS ~]# chown :root 123

[root@centOS ~]# ls -lh 123

-rw-r--r--. 1 root root 0 4月 28 05:33 123

参数

-R：一般用于参数是目录的时候用于递归的方式更改目录本身和目录中的文件和目录的属主,属组

[root@centOS ~]# ls -ld 234 //234目录本身

drwxr-xr-x. 2 root root 4096 4月 28 05:38 234

[root@centOS ~]# ls -lh 234

总用量 0

-rw-r--r--. 1 root root 0 4月 28 05:38 a //234目录下的文件

-rw-r--r--. 1 root root 0 4月 28 05:38 b

-rw-r--r--. 1 root root 0 4月 28 05:38 c

[root@centOS ~]# chown -R baobao:baobao 234

[root@centOS ~]# ls -ld 234

drwxr-xr-x. 2 baobao baobao 4096 4月 28 05:38 234

[root@centOS ~]# ls -lh 234

总用量 0

-rw-r--r--. 1 baobao baobao 0 4月 28 05:38 a

-rw-r--r--. 1 baobao baobao 0 4月 28 05:38 b

-rw-r--r--. 1 baobao baobao 0 4月 28 05:38 c

（2）文件基本权限分类：读（4）,写（2）,执行（1）

读：拥有该权限的用户帐号可以读取文件和目录相关信息，

写：拥有该权限的用户帐号可以对文件修改，添加，删除

执行：拥有该权限的用户对系统中的可执行文件拥有执行权限。

备注：用户文件或目录的权限有时会受到上级目录的影响。例如：/root/123/文件的属组是baobao具有可写权限，但对文件的上级目录/root/目录没有可写权限

[root@centOS ~]# ls -lh 123

-rw-rw----. 1 root baobao 30 4月 28 05:56 123

[root@centOS ~]# ls -ld /root/

dr-xr-x---. 35 root root 4096 4月 28 05:56 /root/

[root@centOS ~]# su - baobao

[baobao@centOS ~]$ cat /root/123

cat: /root/123: 权限不够

[baobao@centOS ~]$ vim /root/123

"/root/123"

"/root/123" E212: 无法打开并写入文件

请按 ENTER 或其它命令继续

结论：对文件有读,写,执行,的用户不一定能够操作文件,因为可能受到上级目录的影响。

linux系统中的特殊权限setuid,setgid,stick bit

(1)setuid：拥有该权限的文件（或目录）可以让系统中没有执行权限的用户获得文件（或目录）以属主的权限去执行,使用数字4表示，使用字母s表示,拥有文件的属主执行权限位将变成s。/usr/bin/passwd文件

[root@centOS tmp]# ls -lh /usr/bin/passwd

-rwsr-xr-x. 1 root root 26K 2月 22 2012 /usr/bin/passwd

众所周知，/etc/passwd文件存放的各个用户的账号与密码信息，/usr /bin/passwd是执行修改和查看此文件的程序，但从权限上看，/etc/passwd仅有root权限的写（w）权，可实际上每个用户都可以通过 /usr/bin/passwd命令去修改这个文件，于是这里就涉及了linux里的特殊权限setuid，正如-rwsr-xr-x中的s

setuid就是：让普通用户拥有可以执行“只有root权限才能执行”的特殊权限

作为普通用户是没有权限修改/etc/passwd文件的，但给/usr/bin/passwd以setuid权限后，普通用户就可以通过执行passwd命令，临时的拥有root权限，去修改/etc/passwd文件了

(2)setgid：拥有该权限的文件（或目录）可以让系统中没有执行权限的用户获得文件（或目录）以属组的权限去执行,使用数字2表示，使用字母s表示,拥有文件的属主执行权限位将变成s

(3)stick bit（粘贴位）tmp目录是所有用户共有的临时文件夹，所有用户都拥有读写权限，这就必然出现一个问题，A用户在/tmp里创建了文件a.file，此时B用户看了不爽，在/tmp里把它给删了（因为拥有读写权限），那肯定是不行的。实际上是不会发生这种情况，因为有特殊权限stick bit（粘贴位）权限，正如drwxrwxrwt中的最后一个t

stick bit (粘贴位)就是：除非目录的属主和root用户有权限删除它，除此之外其它用户不能删除和修改这个目录。

2.linux权限扩展ACL

扩展权限ACL在linux系统中是对权限的一种扩展,在实际的工作环境中,我们可能需要文件或目录的组中大多数成员具有一定的权限(组中成员对文件和目录有rw),组中的一个用户有rwx权限,在不改变文件属主和其他属组中用户的权限就情况,就可以通过ACL权限扩展微调权限实现,如果需要创建需要这样的文件或目录,需要现设定文件的基本权限(rwx),在设定微调的ACL权限,本身已具有这种权限的文件或目录,如果需要调整基本权限(rwx),必须先清除文件和目录的ACL扩展权限.