本节所讲内容：

- 7.1文件的基本权限：r w x （UGO）- 7.2文件的特殊权限：suid sgid sticky和文件扩展权限ACL- 7.3实战：创建一个让root都无法删除的文件- 7.1 文件的基本权限- 7.1.1 权限的作用

通过对文件设定权限可以达到以下三种访问限制权限：

• 只允许用户自己访问；
• 允许一个预先指定的用户组中的用户访问；
• 允许系统中的任何用户访问。

7.1.2 查看权限

[root@xuegod63 ~]# ll /etc/passwd-rw-r--r--. 1 root root 2053 9月  19 2017 /etc/passwd

文件权限基本解释：

-   rw-        r--       r--.     1 root root 2053 9月  19 2017 /etc/passwd-   rwx r-x r-x user1   user1   time    FILENAME

文件类型 拥有者的权限 所属组的权限 其他人的权限 拥有者 属组 最后修改时间 对象

• 其中：文件类型,可以为p、d、l、s、c、b和 –
• p表示命名管道文件
• d表示目录文件
• l表示符号连接文件
• -表示普通文件
• s表示socket套接口文件，比如我们启用mysql时，会产生一个mysql.sock文件
• c表示字符设备文件，例： 虚拟控制台 或tty0
• b表示块设备文件 例： sda， cdrom

例：

[root@xuegod63 ~]# ll /dev/sda /dev/cdrom  /etc/passwd /dev/tty0lrwxrwxrwx  1 root root    3 9月  19 2017 /dev/cdrom -> sr0brw-rw----  1 root disk 8, 0 9月  19 2017 /dev/sdacrw--w----  1 root tty  4, 0 9月  19 2017 /dev/tty0-rw-r--r--. 1 root root 2053 9月  19 2017 /etc/passwd

如下效果图：

7.1.3 权限说明

对于文件来说：

• r：读
• w：写
• x：执行

对于目录来说：

• r：读（看到目录里面有什么） ls
• w：在目录里面建文件，删除，移动 touch mkdir rm mv cp
• x：进入 cd cat

7.1.4 文件拥有者

• UGO：所有者--用户组--其它用户
• 所有者： 就是创建文件的用户，这个用户拥有对它所创建的文件的一切权限，所有者可以允许其所在的用户组可以访问所有者的文件。
• 用户组：
  用户组是具有相同特征用户的逻辑集合，有时我们需要让多个用户具有相同的权限，比如查看、修改某一个文件的权限，一种方法是分别对多个用户进行文件访问授权，如果有10个用户的话，就需要授权10次，显然这种方法不太合理；另一种方法是建立一个组，让这个组具有查看、修改此文件的权限，然后将所有需要访问此文件的用户放入这个组中，那么所有用户就具有了和组一样的权限。这就是用户组。
• 其它用户：系统内的其他所有者用户就是other用户类

7.1.5 举例说明

7.1.5.1 常见几种文件权限组成

• rwx --- ---：文件所有者对文件具有读取、写入和执行的权限。
• rwx r-- r--： 文件所有者具有读、写与执行的权限，用户组里用户及其他用户则具有读取的权限
• rw- rw- r-x：文件所有者与同组用户对文件具有读写的权限，而其他用户仅具有读取和执行的权限。
• drwx--x—x： 目录所有者具有读写与进入目录的权限,其他用户近能进入该目录，却无法读取任何数据。
• drwx------： 除了目录所有者具有完整的权限之外，其他用户对该目录完全没有任何权限。

举例如下：

每个用户都拥有自己的专属目录，通常放置/home下

• [root@xuegod63 home]# ll /home/
• 总用量 0
• drwx------. 3 mk mk 78 9月 19 2017 mk
• 注： [rwx------]表示目录所有者本身拥有的权限，其它用户是无法进入的。 root可以。

例2: 你以什么用户身份登录，那么你创建的文件或目录，自动成为该文件的所属主和组

• [root@xuegod63 home]# su - mk

上一次登录：二 9月 19 12:57:21 CST 2017:0 上

[mk@xuegod63 ~]$ [mk@xuegod63 ~]$ touch a.txt[mk@xuegod63 ~]$ ll a.txt -rw-rw-r-- 1 mk mk 0 5月   8 20:58 a.txt

7.1.5.2 更改文件的属主和属组

• 改变文件的所属关系用到命令：
• chown：可以用来改变文件(或目录)的属主
• chgrp：可以用来改变文件（或目录）的默认属组
• 如果你要对目录进行操作，加参数 -R

chown

语法：

chown user:group filename   比如：chown hr:san a.txt  把文件的属主和属组改为hr,sanchown user filename  比如：chown san a.txt  把文件的属主改为san用户chown :group filename  比如： chown :miao a.txt   把文件的属组改为miao这个组chown user: filename 比如：chown san: a.txt  自动继承这个用户所有的组chgrp hr filename 比如： chgrp hr f.txt  -R ：递归（目录下的所有内容都更改，否则只修改目录）

例：

[root@xuegod63 ~]# touch  {a,b,c}.txt[root@xuegod63 ~]# ll  *.txt-rw-r--r-- 1 root root 0 5月   8 21:03 a.txt-rw-r--r-- 1 root root 0 5月   8 21:03 b.txt-rw-r--r-- 1 root root 0 5月   8 21:03 c.txt[root@xuegod63 ~]# chown mk a.txt[root@xuegod63 ~]# ll a.txt -rw-r--r-- 1 mk root 0 5月   8 21:03 a.txt[root@xuegod63 ~]# chown mk:mk a.txt[root@xuegod63 ~]# ll a.txt -rw-r--r-- 1 mk mk 0 5月   8 21:03 a.txt[root@xuegod63 ~]# chown :root  a.txt[root@xuegod63 ~]# ll a.txt -rw-r--r-- 1 mk root 0 5月   8 21:03 a.txt

互动：一个文件只有读的权限，拥有者是否可以写这个文件？

实验：[root@xuegod63 ~]# su - mk

[mk@xuegod63 ~]$ touch a.txt[mk@xuegod63 ~]$ ll a.txt -rw-rw-r-- 1 mk mk 0 5月   8 21:07 a.txt

在另一个终端上，以root身份登录：

[root@xuegod63 ~]# chmod 000 /home/mk/a.txt   #修改成000权限[root@xuegod63 ~]# ll /home/mk/a.txt  ---------- 1 mk mk 14 5月   8 21:08 /home/mk/a.txt

回到以mk身份登录的终端：

[mk@xuegod63 ~]$ vim a.txt   # 写入aaa  ,  :wq!  保存

在另一个终端上，以root身份登录：

[root@xuegod63 ~]# cat /home/mk/a.txt aaaaa

实验结果：文件所有者一定可以写文件。 就像root可以对shadow强制写。 因shadow的拥有者是root

7.1.6 修改权限

7.1.6.1 使用字符设定

修改权限用的命令：chmod

• 作用：修改文件，目录的权限
• 语法：chmod [对谁操作] [操作符] [赋于什么权限] 文件名

对谁操作：

• u----> 用户user，表示文件或目录的所有者
• g---->用户组group，表示文件或目录所属的用户组
• o---->其它用户others
• a---->所有用户all

操作符:

• #添加权限 ； - # 减少权限 ； = #直接给定一个权限

权限：r w x

例如下在的组合：

• u-w user 拥有者

• g+x group 组

• o=r other 其他人

• a+x all 所有人

例：chmod修改权限

[root@xuegod63 ~]# touch 1.txt[root@xuegod63 ~]# ll 1.txt -rw-r--r-- 1 root root 0 5月   8 21:20 1.txt[root@xuegod63 ~]# [root@xuegod63 ~]# chmod u-w  1.txt[root@xuegod63 ~]# ll 1.txt -r--r--r-- 1 root root 0 5月   8 21:20 1.txt[root@xuegod63 ~]# chmod g+x  1.txt[root@xuegod63 ~]# ll 1.txt -r--r-xr-- 1 root root 0 5月   8 21:20 1.txt[root@xuegod63 ~]# chmod a+x  1.txt    # 给shell脚本加一个可执行权限[root@xuegod63 ~]# ll 1.txt -r-xr-xr-x 1 root root 0 5月   8 21:20 1.txt[root@xuegod63 ~]# [root@xuegod63 ~]# chmod a=rwx  1.txt[root@xuegod63 ~]# ll 1.txt -rwxrwxrwx 1 root root 0 5月   8 21:20 1.txt

7.1.6.2 使用八进制（0-7）数字表示权限法

权限 二进制值 八进制值 描述

• --- 000 0 没有任何权限
• --x 001 1 只有执行权限
• -w- 010 2 只有写入权限
• -wx 011 3 有写入和执行权限
• r-- 100 4 只有读取权限
• r-x 101 5 有读取和执行权限
• rw- 110 6 有读取和写入权限
• rwx 111 7 有全部权限

例1：

例2：

• 互动：rw- 的值是多少？ 答： 4+2=6
• rwx r-x r-x 的值是多少？ 答： rwx=4+2+1=7 ; r-x=4+1=5 rwx
  r-x r-x=7 5 5

语法：

chmod 755 文件或文件夹名字chmod a=rwx b.txt  等于 chmod 777 b.txt

例：

[root@xuegod63 ~]# touch dd.txt[root@xuegod63 ~]# ll dd.txt -rw-r--r-- 1 root root 0 5月   8 21:40 dd.txt[root@xuegod63 ~]# chmod 755 dd.txt [root@xuegod63 ~]# ll dd.txt -rwxr-xr-x 1 root root 0 5月   8 21:40 dd.txt[root@xuegod63 ~]# chmod 700 dd.txt [root@xuegod63 ~]# ll dd.txt -rwx------ 1 root root 0 5月   8 21:40 dd.txt

7.1.7 权限对文件和目录的影响

有三种权限可以应用：读取，写入与执行，这些权限对访问文件和目录的影响如下：

权限 对文件的影响 对目录的影响

• r(读取) 可以读取文件的内容 可以列出目录的内容（文件名）
• w(写入) 可以更改文件的内容 可以创建或删除目录中的任意文件
• x(执行) 可以作为命令执行文件 可以访问目录的内容（取决于目录中文件的权限）

7.1.8 补码

为什么我们创建的文件的权限是644呢？

我们创建文件的默认权限是怎么来的？

umask命令允许你设定文件创建时的缺省模式，对应每一类用户(文件属主、同组用户、其他用户)存在一个相应的umask值中的数字文件默认权限＝666 ，目录默认权限＝777我们一般在/etc/profile、$ [HOME]/.bash_profile或$[HOME]/.profile中设置umask值。永久生效，编辑用户的配置文件vim .bash_profile  [root@xuegod63 ~]# vim /etc/profile

注： UID大于199 且用户的组名和用户名一样，那么 umask值为002，否则为022.

注： -gt 在shell中表示大于； id -g 显示用户组ID ，id -gn显示组名。

临时生效： umask 权限补码

[root@xuegod63 ~]# umask 044[root@xuegod63 ~]# touch ss.txt[root@xuegod63 ~]# ll ss.txt -rw--w--w- 1 root root 0 5月   8 21:47 ss.txt

权限的算法：一般情况是：目录默认权限-umask 值

666-022=644  777-022=755 #这是一个好的记忆方法，但不严谨。

互动：umask掩码为033 创建普通文件后，权限是什么？

互动：umask掩码为033 创建普通文件后，权限是什么？ 666-033=633 ( rw- -wx -wx) ?

例：[root@xuegod63 ~]# umask 033[root@xuegod63 ~]# touch k.txt[root@xuegod63 ~]# ll k.txt -rw-r--r-- 1 root root 0 5月   8 22:00 k.txt答：结果为： 644

权限科学的计算方法：

• 1、将默认权限（目录777，文件666）和umask值都转换为2进制 2、对umask取反 3、将默认权限和umask取反后的值做与运算
  4、将得到的二进制值再转换8进制，即为权限，

例1： umask 为022

6  6  6            umask   0  2   2110 110 110               000 010  010    # 转成二进制                            111 101  101    # umask取反的值110 110 110    与              #第二步，默认权限和umask取反后的值做与运算111 101 101   # umask取反的值110 100 1006   4   4     #转成8进制

例2： umask 为033 结果为： 644

6  6  6            umask   0  3   3110 110 110               000 011  011    # 转成二进制                           111 100  100    # umask取反的值110 110 110    与              #默认权限和umask取反后的值做与运算111 100 100   # umask取反的值110 100 1006   4   4    #转成8进制

7.2 文件的特殊权限：suid sgid sticky和文件扩展权限ACL

• 其实文件与目录设置不止这些，还有所谓的特殊权限。由于特殊权限会拥有一些“特权”.

• 特殊权限：

7.2.1 文件的特殊权限：suid sgid sticky

• 1、SUID（set uid设置用户ID）：限定：只能设置在二进制可执行程序上面。对目录设置无效

功能：程序运行时的权限从执行者变更成程序所有者的权限

• 2、SGID：限定：既可以给二进制可执行程序设置，也可以对目录设置
  功能：在设置了SGID权限的目录下建立文件时，新创建的文件的所属组会，继承上级目录的所属组
• 3、Stickybit：粘滞位权限是针对目录的，对文件无效，也叫防删除位 这3个特殊权限对应的数值为

SUID SGID Stickybit

• u+s或u=4 g+s或g=2 o+t或o=1
  SUID属性一般用在可执行文件上，当用户执行该文件时，会临时拥有该执行文件的所有者权限。使用”ls -l” 或者”ll”
  命令浏览文件时，如果可执行文件所有者权限的第三位是一个小写的”s”，就表明该执行文件拥有SUID属性。比如/usr/bin/passwd文件

**互动： 普通用户mk，没有对shadow文件写入的权限， 但是mk用户使用passwd修改自己密码时，可以修改shadow文件中的内容，这是什么原因？

[root@xuegod63 ~]# ll /etc/shadow----------. 1 root root 1179 9月 19 2017 /etc/shadow[root@xuegod63 ~]# su - mk上一次登录：二 5月 8 21:07:24 CST 2018pts/0 上[mk@xuegod63 ~]$ passwd 更改用户 mk 的密码 。为 mk 更改 STRESS 密码。（当前）UNIX 密码：123456新的 密码：Xuegod666

重新输入新的 密码：Xuegod666passwd：所有的身份验证令牌已经成功更新。[root@xuegod63 ~]# vim /etc/shadow #查看shadow文件已经被mk用户修改成功。因为mk用户执行passwd命令时，权限会提升成root用户，所以可以修改成功。**

例2：

[root@xuegod63 ~]# useradd mk[root@xuegod63 ~]# su - mk[root@xuegod63 ~]$less /etc/shadow  #看不到内容[root@xuegod63 ~]# su - root[root@xuegod63 ~]# chmod u+s /usr/bin/less  #切换到root，给一个suid权限[root@xuegod63 ~]# su - mk[mk@xuegod63 ~]$ less /etc/shadow  #看到

查看u+s后的效果：

[root@xuegod63 ~]# ll /usr/bin/less-rwsr-xr-x 1 root root 154536 Sep 26  2011 /usr/bin/less[root@xuegod63 ~]# ps -axu | grep lessroot     43407  0.0  0.0 110260   980 pts/0    S+   22:30   0:00 less /etc/shadow

另外：

[root@xuegod63 ~]# chmod 4755 /usr/bin/less  # 等同于 chmod u+s /usr/bin/less

SGID：

• 限定：既可以给二进制可执行程序设置，也可以给目录设置。

• 功能：在设置了SGID权限的目录下建立文件时，新创建的文件的所属组会继承上级目录的权限。

  [root@xuegod63 ~]# mkdir test

  [root@xuegod63 ~]# ll -d test
  drwxr-xr-x 2 root root 4096 Jan 24 20:14 test
  [root@xuegod63 ~]# chmod g+s test
  [root@xuegod63 ~]# !ll
  ll -d test
  drwxr-sr-x 2 root root 4096 Jan 24 20:14 test

测试：sgid效果

-[root@xuegod63 ~]# chown :bin test/ [root@xuegod63 ~]# touch   test/a.txt [root@xuegod63 ~]# ll !$ ll test/a.txt   -rw-r--r-- 1 root bin 0 Jan 24 20:15 test/a.txt

Stickybit

限定：只作用于目录功能：目录下创建的文件只有root、文件创建者、目录所有者才能删除。例： 系统中的tmp目录就是这样

[root@xuegod63 ~]# ll -d /tmp/drwxrwxrwt. 11 root root 4096 Jan 24 19:41 /tmp/

用法：

chmod o+t /tmp/test/

7.2.1 文件扩展权限ACL

扩展ACL ：access control list

例：设置用户mk对文件a.txt拥有的rwx权限 ，mk不属于a.txt的所属主和组，mk是other。怎么做？

[root@xuegod63 ~]# touch /tmp/a.txt[root@xuegod63 ~]# getfacl  /tmp/a.txtgetfacl: Removing leading '/' from absolute path names# file: tmp/a.txt# owner: root# group: rootuser::rw-group::r--other::r--#setfacl -m u:mk:rwx   /tmp/a.txt     u ： 设置某个用户拥有的权限[root@xuegod63 ~]# getfacl  /tmp/a.txtgetfacl: Removing leading '/' from absolute path names...user::rw-user:mk:rwx[mk@xuegod63 ~]$ vim /tmp/a.txt [mk@xuegod63 ~]$ ll /tmp/a.txt -rw-rwxr--+ 1 root root 8 5月   8 22:42 /tmp/a.txt

例2： 给目录加扩展权限

[root@xuegod63 ~]# mkdir /tmp/test #setfacl -m d:u:mk:rwx    /tmp/test   # -d  default    设置默认acl，对目录有效，此目录下新建的目录或文件都继承此acl权限

例：测试一下 -d 参数：

[root@xuegod63 ~]# mkdir /tmp/test [root@xuegod63 ~]# setfacl -m d:u:mk:rwx    /tmp/test [root@xuegod63 ~]# getfacl  /tmp/test/getfacl: Removing leading '/' from absolute path names# file: tmp/test/# owner: root# group: rootuser::rwxgroup::r-xother::r-xdefault:user::rwxdefault:user:mk:rwxdefault:group::r-xdefault:mask::rwxdefault:other::r-x[root@xuegod63 ~]# touch /tmp/test/a.txt[root@xuegod63 ~]# mkdir /tmp/test/data[root@xuegod63 ~]# getfacl /tmp/test/a.txt   #因为-d参数，所以test下所有创建的文件和目录都继承了默认的acl权限getfacl: Removing leading '/' from absolute path names# file: tmp/test/a.txt# owner: root# group: rootuser::rw-user:mk:rwx         #effective:rw-group::r-x          #effective:r--mask::rw-other::r--[root@xuegod63 ~]# getfacl /tmp/test/datagetfacl: Removing leading '/' from absolute path names# file: tmp/test/data# owner: root# group: rootuser::rwxuser:mk:rwxgroup::r-xmask::rwxother::r-xdefault:user::rwxdefault:user:mk:rwxdefault:group::r-xdefault:mask::rwxdefault:other::r-x

例3：给目录下所有文件都加扩展权限

[root@xuegod63 ~]# setfacl -R -m u:lee:rw- testdirectory/    #-R一定要在-m前面，表示目录下所有文件[root@xuegod63 ~]# setfacl -x u:mk /tmp/a.txt          # 去掉单个权限[root@xuegod63 ~]# setfacl -b  /tmp/a.txt              # 去掉所有acl权限

7.3实战：创建一个让root都无法删除的文件

发现windows中 有文件删除不了，怎么办？ 使用360 强制删除，粉碎文件

那么在Linux下怎么办？

[root@xuegod63 ~]# touch hack.sh aa.sh [root@xuegod63 ~]# ll hack.sh aa.sh -rw-r--r-- 1 root root 0 May 24 21:29 aa.sh-rw-r--r-- 1 root root 0 May 24 21:29 hack.sh[root@xuegod63 ~]# rm -rf aa.sh***使用xshell悄悄执行在后台添加attr扩展属性：（这个别让学员看到^_^）[root@xuegod63 ~]# chattr  +i hack.sh

删除文件：

[root@xuegod63 ~]# rm -rf  hack.sh  #发现删除不了

为什么删除不了？

从REHL6 开始，新增加文件系统扩展属性：

命令：chattr

• 参数： a 只能追加内容 ； i 不能被修改
• +a: 只能追加内容 如： echo aaa >> hack.sh
• +i：即Immutable，系统不允许对这个文件进行任何的修改。如果目录具有这个属性，那么任何的进程只能修改目录之下的文件，不允许建立和删除文件。

注：immutable [ɪˈmju:təbl] 不可改变的 ； Append [əˈpend] 追加

• -i ：移除i参数。 -a :移除a参数

解决：

[root@xuegod63 ~]# lsattr hack.sh----i----------- hack.sh[root@xuegod63 ~]# chattr -i hack.sh[root@xuegod63 ~]# echo aa >> hack.sh[root@xuegod63 ~]# lsattr hack.sh   #查看扩展属性---------------- hack.sh[root@xuegod63 ~]# chatchat    chattr  [root@xuegod63 ~]# chattr +a hack.sh[root@xuegod63 ~]# rm -rf hack.shrm: 无法删除"hack.sh": 不允许的操作[root@xuegod63 ~]# echo aaa >> hack.sh

总结：

• 7.1文件的基本权限：r w x （UGO）
• 7.2文件的特殊权限：suid sgid sticky和文件扩展权限ACL
• 7.3实战：创建一个让root都无法删除的文件