RHEL7文件权限

本文介绍Linux下的文件权限 操作系统为RHEL7.2_X86_64
可以从以下三种访问方式限制访问权限:
1 只允许用户自己访问
2 允许一个预先指定的用户组中的用户访问
3 允许系统中的任何用户访问
文件的所属用户或者root用户可以将这些权限改变为任何他想指定的权限。
一个只有读权限的文件,是禁止进行任何修改的。
只有执行权限的,允许它想一个程序一样执行。

查看权限

我们之前已经很多次用到 ls命令了,如你所见,我们用它来列出并显示当前目录下的文件,当然这是在不带任何参数的情况下,它能做的当然不止这么多,现在我们就要用它来查看文件权限。

[root@VM_200_13_CentOS ~]# ls -l
total 8
drwxr-xr-x 2 root root 4096 Aug 14 11:37 auth
-rw-r--r-- 1 root root    7 Aug 14 11:34 auth.txt

 

文件类型

RHEL7文件权限

 

基本权限

RHEL7文件权限
| 基本权限 | 说明 |
| :------------- | :------------- |
| r | 对文件而言,具有读取文件内容的权限
对目录来说,具有浏览目录的权限 |
| w | 对文件而言,具有新增、修改文件内容的权限
对目录来说,具有删除、移动目录内文件的权限 |
| x | 对文件而言,具有执行文件的权限
对目录了来说该用户具有进入目录的权限 |
| - | 表示不具有该项权限 |
举例说明:

例子说明
-rwx------文件所有者对文件具有读取、写入和执行的权限
-rwxr--r--文件所有者具有读、写与执行的权限
其他用户则具有读取的权限
-rw-rw-r-x文件所有者与同组用户具有读写权限
其他用户具有读取和执行权限
drwx--x--x目录所有者具有浏览目录修改(删除、移动)目录和进入目录的权限
同组用户和其他用户具有进入目录的权限
drwx------除了目录所有者具有完整的权限之外
其他用户对该目录完全没有任何权限

 

特殊权限

其实文件与目录设置不止这些,还有所谓的特殊权限。由于特殊权限会拥有一些“特权”。
因而用户若无特殊需求,不应该启用这些权限,避免安全方面出现严重漏洞,造成入侵,甚至摧毁系统!

s

SUID

SUID(Set UID)当一个可以执行文件具有SUID权限,用户执行这个程序时,将以这个程序的所有者身份执行。
在设置s权限时文件属主必须先设置相应的x权限,否则s权限并不能正真生效。
chmod命令不进行必要的完整性检查,即使不设置x权限就设置s权限,chmod也不会报错,当我们ls -l时看到rwS,大写S说明s权限未生效。
Linux修改密码的passwd便是个设置了SUID的程序,普通用户无读写/etc/shadow文件的权限确可以修改自己的密码。
可执行的文件搭配这个权限,便能得到特权,任意存取该文件的所有者能使用的全部系统资源。
请注意具备SUID权限的文件,骇客经常利用这种权限,以SUID配上root帐号拥有者,无声无息地在系统中开扇后门,供日后进出使用

[root@VM_200_13_centos ~]# su - test
Last login: Sun Aug 14 19:05:04 CST 2016 on pts/0
[test@VM_200_13_centos ~]$ which passwd
/bin/passwd
[test@VM_200_13_centos ~]$ ll /bin/passwd
-rwsr-xr-x. 1 root root 27832 Jun 10  2014 /bin/passwd

该文件的所属用户和所属用户组均为root,显然test用户不具有该执行文件的读写执行权限
但是该文件被赋予了SUID权限,任意执行该执行文件的用户都能以该文件所属用户(root用户)的身份执行该文件

[test@VM_200_13_centos ~]$ passwd
Changing password for user test.
Changing password for test.
(current) UNIX password:
New password:
Retype new password:
passwd: all authentication tokens updated successfully.

因为具有SUID权限所有普通用户执行该命令能修改密码

SGID

设置在文件上面,其效果与SUID相同,只不过将文件所有者换成用户组,该文件就可以任意存取整个用户组所能使用的系统资源。
强调: SUID一般用在文件上(脚本) SGID用在目录上比较多

t

t权限代表SBIT(Sticky):只针对目录有效,对文件无效,作用是防止别人删除掉对方的资料

因为SUID、SGID、Sticky占用x的位置来表示,所以在表示上会有大小写之分。
加入同时开启执行权限和SUID、SGID、Sticky,则权限表示字符是小写的
如果不具有x权限,会以大写显示

[root@VM_200_13_centos ~]# mkdir test
[root@VM_200_13_centos ~]# ll
total 4
drwxr-xr-x 2 root root 4096 Aug 14 19:59 test
[root@VM_200_13_centos ~]# chmod u+s test/
[root@VM_200_13_centos ~]# ll
total 4
drwsr-xr-x 2 root root 4096 Aug 14 19:59 test
[root@VM_200_13_centos ~]# chmod u-x test/
[root@VM_200_13_centos ~]# ll
total 4
drwSr-xr-x 2 root root 4096 Aug 14 19:59 test
[root@VM_200_13_centos ~]# chmod g+s test/
[root@VM_200_13_centos ~]# ll
total 4
drwSr-sr-x 2 root root 4096 Aug 14 19:59 test
[root@VM_200_13_centos ~]# chmod g-x test/
[root@VM_200_13_centos ~]# ll
total 4
drwSr-Sr-x 2 root root 4096 Aug 14 19:59 test
[root@VM_200_13_centos ~]# chmod o+t test/
[root@VM_200_13_centos ~]# ll    
total 4
drwSr-Sr-t 2 root root 4096 Aug 14 19:59 test
[root@VM_200_13_centos ~]# chmod o-x test/
[root@VM_200_13_centos ~]# ll
total 4
drwSr-Sr-T 2 root root 4096 Aug 14 19:59 test

 

修改权限

chmod

命令:chmod
作用:修改文件的权限
语法:chmod [选项] MODE 文件...

选项说明
-c只输出成功修改权限的文件权限更改信息
-f忽略大部分的错误信息
-v输出详细信息
-R递归更改目录和文件的权限

-rwxrwxrwx
-rwxrwxrwx的第一个字符表示这是一个普通文件,之后每三个字符分别代表的是用户权限、用户组权限、其他用户权限
用户权限用u表示
用户组权限用g表示
其他用户权限用o表示
那么chmod命令的MODE第一种方式可以为指定用户或用户组或其他用户授权
u+x:表示授予用户对该文件的可执行权限
g+r:表示授予用户组对该文件的可读权限
o-w:表示取消其他用户对该文件的写权限

[root@VM_200_13_centos ~]# ll
total 4
drwsr-Sr-T 2 root root 4096 Aug 14 19:59 test
[root@VM_200_13_centos ~]# chmod u-x test/
[root@VM_200_13_centos ~]# chmod g+w test/
[root@VM_200_13_centos ~]# chmod o+w test/
[root@VM_200_13_centos ~]# ll
total 4
drwSrwSrwT 2 root root 4096 Aug 14 19:59 test

如果要为文件设置多个用户权限(用户权限、用户组用户权限、其他用户权限)这种方式就很麻烦,需要多次设置
这种情况使用权限的二进制数表达形式设置会非常效率

权限二进制十进制
r1004
w102
x11
sSUID:100
SGID:10
SUID:4
SGID:2
t11
-00

对于 -rwxrwxrwx 除去第一位表示文件类型外

rwxrwxrwx每三位为一组用二进制表示:111 111 111
rwxrwxrwx每三位为一组用十进制表示:7 7 7
最终我们使用计算出的十进制数为文件进行授权

[root@VM_200_13_centos ~]# ll
total 0
-rw-r--r-- 1 root root 0 Aug 14 20:41 a
[root@VM_200_13_centos ~]# chmod 000 a
[root@VM_200_13_centos ~]# ll
total 0
---------- 1 root root 0 Aug 14 20:41 a
例子说明
-rwx------二进制:111000000
十进制:700
权限:所属用户具有读写执行,所属用户组用户和其他用户没有任何权限
-rwx---rwx二进制:111000111
十进制:707
权限:所属用户和其他用户具有读写执行,所属用户组用户没有任何权限
-rwx--xrwx二进制:111001111
十进制:717
权限:所属用户和其他用户具有读写执行,所属用户组用户只有执行权限
[root@VM_200_13_centos ~]# chmod 711 a
[root@VM_200_13_centos ~]# ll
total 0
-rwx--x--x 1 root root 0 Aug 14 20:41 a

如果要授予特殊权限SUID(4)、SGIU(2)、SBIT(1)则要使用4位1进制数表示

[root@VM_200_13_centos ~]# ll
total 0
---------- 1 root root 0 Aug 14 20:41 a
[root@VM_200_13_centos ~]# chmod 7000 a
[root@VM_200_13_centos ~]# ll
total 0
---S--S--T 1 root root 0 Aug 14 20:41 a

chown

命令:chown
作用:修改文件拥有者和所属组
语法:chown [选项] [所属用户][:所属用户组] 文件...

选项说明
-c只输出成功修改权限的文件权限更改信息
-f忽略大部分的错误信息
-v输出详细信息
-h修复符号链接
-R递归更改目录和文件的权限
--deference作用于符号链接的指向,而不是链接文件本身
[root@VM_200_13_centos ~]# ll
total 0
---S--S--T 1 root root 0 Aug 14 20:41 a
[root@VM_200_13_centos ~]# chown test:test a
[root@VM_200_13_centos ~]# ll
total 0
------S--T 1 test test 0 Aug 14 20:41 a
[root@VM_200_13_centos ~]# chown root a
[root@VM_200_13_centos ~]# ll
total 0
------S--T 1 root test 0 Aug 14 20:41 a
[root@VM_200_13_centos ~]# chown :test1 a
[root@VM_200_13_centos ~]# ll
total 0
------S--T 1 root test1 0 Aug 14 20:41 a
[root@VM_200_13_centos ~]# mkdir -p ~/aa/b/c
[root@VM_200_13_centos ~]# touch aa/a
[root@VM_200_13_centos ~]# chown -R -v  :test1 aa/
ownership of 'aa/a' retained as root:test1
ownership of 'aa/b/c' retained as root:test1
ownership of 'aa/b' retained as root:test1
ownership of 'aa/' retained as root:test1

 

默认权限

我们创建文件的默认权限是怎么来的?如何改变这个默认权限呢?

umask设置了用户创建文件的默认权限,它与chmod的效果刚好相反。
umask设置的是权限补码,而chmod设置的是文件权限码。
一般在/etc/profile、宿主目录下的.bash_profile或 .profile中设置了umask的默认值。
RHEL7文件权限
umask命令允许你设定文件创建时的缺省模式,对应每一类用户(文件属主、同组用户、其他用户)存在一个相应的umask值中的数字。
对于文件来说,这一数字的最大值分别是6。
系统不允许你在创建一个文本文件时就赋予它执行权限,必须在创建后用chmod命令增加这一权限。

目录则允许设置执行权限,这样针对目录来说,umask中各个数字最大可以到7。
该命令的一般形式为:umask nnn 其中nnn为umask置000 - 777。
我们只要记住umask是从权限中拿走相应的位即可。
如:umask值为022,则默认目录权限为755,默认文件权限为644。

计算方法:
文件默认权限=666-umask值 666-022=644
目录默认权限=777-umask 值 777-022=755
举例:创建 一个文件:
umask=033
touch c.txt
那么c.txt的默认文件权限是?

umask掩码为033
666-033=633 结果为:644

 

文件属性

命令:chattr
作用:可改变存放在ext2、ext3、ext4、xfs、ubifs、reiserfs、jfs等文件系统上的文件或目录属性
语法:chattr [选项] [属性] [-v(版本)] 文件...

选项说明
-R递归处理,将指定目录下的所有文件及子目录一并处理
-v<版本编号> 设置文件或目录版本
-V显示指令执行过程
+开启文件或目录的指定属性
-关闭文件或目录的指定属性
=指定文件或目录的指定属性
属性说明
A即Atime,告诉系统不要修改对这个文件的最后访问时间
S即Sync,一旦应用程序对这个文件执行了写操作
使系统立刻把修改的结果写到磁盘
a即Append Only,系统只允许在这个文件之后追加数据
不允许任何进程覆盖或截断这个文件
如果目录具有这个属性,系统将只允许在这个目录下建立和修改文件
而不允许删除任何文件
b不更新文件或目录的最后存取时间
c将文件或目录压缩后存放
d当dump程序执行时,该文件或目录不会被dump备份
D检查压缩文件中的错误
i即Immutable,系统不允许对这个文件进行任何的修改
如果目录具有这个属性,那么任何的进程只能修改目录之下的文件
不允许建立和删除文件
s彻底删除文件,不可恢复,因为是从磁盘上删除
然后用0填充文件所在区域
u当一个应用程序请求删除这个文件
系统会保留其数据块以便以后能够恢复删除这个文件
用来防止意外删除文件或目录
t文件系统支持尾部合并(tail-merging)
X可以直接访问压缩文件的内容

注意事项:
chattr命令的作用很大,其中一些功能是由Linux内核版本来支持的,不过现在生产绝大部分跑的
linux系统都是2.6以上内核了。

通过chattr命令修改属性能够提高系统的安全性,但是它并不适合所有的目录。
chattr命令不能保护/、/dev、/tmp、/var目录。
lsattr命令是显示chattr命令设置的文件属性。
这两个命令是用来查看和改变文件、目录属性的,与chmod这个命令相比,chmod只是改变文件的读写、执行权限,更底层的属性控制是由chattr来改变的。

应用举例:
用chattr命令防止关键密码文件被修改

[root@VM_200_13_centos ~]# chattr +i /etc/passwd
[root@VM_200_13_centos ~]# lsattr /etc/passwd
----i----------- /etc/passwd

要想修改此文件就要把i属性去掉

[root@VM_200_13_centos ~]# chattr -i /etc/passwd
[root@VM_200_13_centos ~]# lsattr /etc/passwd
---------------- /etc/passwd

让某个文件只能往里面追加数据但不能删除
适用于各种日志文件,还是以密码文件为例

相关推荐