五、Linux系统中的权限管理

• 权限的查看和读取

1、权限查看
ls -l file        ##查看文件权限
ls -ld dir        ##查看目录权限

2、权限的读取
文件的属性被叫做文件的元数据（meta data）
一种元数据用1个byte来记录内容

#文件权限信息#
- | rw-r--r-- | . | 1 | root | root | 0 | Apr 12 10:57 | westos
[1]    [2]    [3] [4]  [5]    [6]   [7]      [8]         [9]

 #目录权限信息#
d | rw-r--r-- | . | 2 | root | root | 0 | Apr 12 10:57 | westosdir
[1]    [2]    [3] [4]  [5]    [6]   [7]      [8]         [9]

#对于每一位的解释#
[1]    #文件类型
    #-    普通文件
    #d    目录
    #l    软连接（快捷方式）
    #b    块设备（u盘）
    #c    字符设备（/dev/pts/0）
    #s    socket套接字（应用程序之间进行双向通信的端点）
    #p    管道 |

[2]    #用户权限（可改）
    rw- | r-- | r--
    user group other
    （可读可写）（只读） （只读）

[3]    #系统的selinux开启，安全上下文

[4]    #对于文件：文件内容被系统记录的次数（硬链接个数）
    #对于目录：目录中子目录的个数

inodetables（节点区域） | dataarea（数据区域）
软链接：多个节点对应一个数据区域，节省磁盘空间 ; 以路径的形式存在，类似快捷方式 ； 可以跨文件系统 ； 可对一个不存在的文件名进行链接 ； 可对目录进行链接

硬链接：一个节点对应多个数据区域 ； 以文件副本的形式存在，不占用实际空间 ； 不允许给目录创建硬链接 ； 只能在同一个文件系统中创建 ； 可以以不同的文件名存在在同一个目录中，或者以相同的文件名存在在不同的目录中

[5]    #文件拥有者（可改）

[6]    #文件拥有组（可改）

[7]    #对于文件：文件内容大小（可改）
    #对于目录：目录中子文件的元数据大小
mkdir w
ls -ld w/
touch w/w1
ls -ld w/     # 此时目录中子文件的元数据 8+2(w1)=10

[8]    #文件内容最后一次被修改的时间（可改 touch -t）

[9]    #文件名称 （可改 mv）

##修改[5][6]
chown    #修改拥有者      chown westos1 westos  (将westos改成1）
            chown westos.（：）lee weatos  （将westos的人和组改成westos和lee）
chgrp    #修改拥有组      chgrp  root westosdir（将westosdir改成root）

• 文件用户，用户组管理

只有超级用户才可以更改

chown username file    ##更改文件拥有者
chgrp groupname file    ##更改文件拥有组
chown username.(:)groupname file    ##同时更改文件的拥有者和拥有组（chgrp没有这个功能）

chown|chgrp -R username dir        ##更改目录本身及目录里内容的拥有者 或者 拥有组
chown -R username.(:)groupname dir    ##chown可同时修改目录的拥有者和拥有组，chgrp不可以

• 普通权限的类型及作用

1、用户对文件的身份
u：    #user    文件的拥有者    ls -l    看到的第五列信息
g：    #group    文件拥有组    ls -l    看到的第六列信息
o：    #other    既不是拥有者也不是拥有组成员的其他用户的通称

2、权限位
-表示权力关闭

    rw- | r-- | r--
    user group other
    （可读可写）（只读） （只读）

3、用户身份匹配
user>group>other

4、权限类型

-    #权限未开启

r    #可读
    对于文件：可以读取文件内容
    对于目录：可以ls列出目录中的文件

w    #可写
    对于文件：可以更改文件内容
    对于目录：可以在目录中新建或者删除文件

x    #可执行
    对于文件：可以用文件名称调用文件内记录的程序
    对于目录：可以进入到目录中

• 设定普通权限的方法

chmod        ##设定文件权限

##chmod 复制权限#
chmod --reference=/tmp    /mnt/westosdir        ##复制/tmp目录的权限到/mnt/westosdir上

chmod -R --reference=/tmp    /mnt/westosdir    ##复制/tmp目录的权限到/mnt/westosdir及目录中的子文件上    -R表示递归操作

 ##chmod 字符方式设定权限#
chmod <a|u|g|o><+|-|=><r|w|x|-> file        ##用字符方式设定权限
a表示all
=表示直接赋予权限
例：
chmod u-rw /mnt/westos1
chmod u-rw，go+x /mnt/westosfile1
chmod u-rw,g+x,o+wx /mnt/westosfile2
chmod a-rwx /mnt/westosfile3
chmod u=rwx,g=rx,o=--- /mnt/westosfile4
chmod -R u=rwx,g=rx,o=--- /mnt/westosdir/

 ##chmod 数字方式设定权限##
权限波尔值表示方式
rwx = 111
--- = 000

三位二进制可以表示的最大范围为8进制数
rwx = 111 = 7
rw- = 110 = 6
r-x = 101 = 5
r-- = 100 = 4 = r
-wx = 011 = 3
-w- = 010 = 2 = w
--x = 001 = 1 = x
--- = 000 = 0

• 系统默认权限的设定

#系统本身存在的意义--共享资源
#从安全角度讲系统共享的资源越少，开放的权力越小，系统安全性越高
#既要保证系统安全，又要系统创造价值，于是把应该开放的权力默认开放，把不安全的权力默认保留

1、如何保留权力
 
##umask表示系统保留权力
umask        ##查看保留权力
umask 权限值    ##临时设定系统预留权力

文件默认权限 = 777-umask-111 = 644
目录默认权限 = 777-umask = 755

umask默认值为022，系统为目录默认保留的权力
111是在保留目录权力后增加的文档权力，去掉了执行权力，防止木马和病毒等

umask值越大系统安全性越高  umask在哪设定，就只会在当前shell保存

2、
umask临时更改
umask 077（根据需要取值）

3、
永久更改
vim /etc/bashrc            ##shell系统配置文件

74    if [ $UID -gt 199 ] && [ "`id -gn`" = "`id -un`" ]; then
75        umask 002        #普通用户的umask
76    else
77        umask 022  改为077    #root用户的umask
78    fi

 vim /etc/profile        ##系统环境配置文件

59    if [ $UID -gt 199 ] && [ "`id -gn`" = "`id -un`" ]; then
60        umask 002        #普通用户的umask
61    else
62        umask 022 改为 077    #root用户的umask
63    fi

source /etc/bashrc        ##source作用时使我们更改的内容立即被系统识别
source /etc/profile

两个文件内容里的值必须保持一致

• 特殊权限

1、
##stickyid    粘制位
#针对目录：#如果一个目录stickyid开启，那么这个目录中的文件只能被文件所有人删除

chmod    1原始权限    dir
chmod    o+t        dir

2、
##sgid        强制位
#针对目录：目录中新建的文件自动归属到目录的所属组中，不影响已经存在的文件

chmod    2源文件权限    dir
chmod    g+s        dir

3、
##suid        冒险位
#只针对二进制的可执行文件（c程序）
#当运行二进制可执行文件时都是用文件拥有组身份运行，和执行用户无关

chmod    4原属性    file
chmod    u+s    file

•  权限列表

1、acl全称：Aiccess    Control Lists        #访问控制列表

#功能：
#在列表中可以设定特殊用户对特殊文件有特殊权限

#acl列表开启标识
-rw-rw---- 1 root caiwu 0 Apr 18 09:03 westosfile
    没有“+”代表acl列表未开启

-rw-rw----+ 1 root caiwu 0 Apr 18 09:03 westosfile
    acl列表功能开启

2、acl列表权限读取：       getfacl  westosfile

显示内容分析

# file: westosfile    #文件名称
# owner: root        #文件拥有者
# group: root        #文件拥有组
user::rw-        #文件拥有者权限
user:lee;rw-        #特殊指定用户权限
group::r--        #文件拥有组权限
group:westos:---    #特殊指定的用户组的权限
mask::rw-        #能够赋予特殊用户和特殊用户组的最大权限阀值
other::r--        #其他人的权限

“注意：”
当文件权限列表开启，不要用ls -l 的方式来读取文件的权限    用getfacl  westosfile

3、acl列表的控制

 setfacl -m u:lee:rw    westosfile    #在文件westosfile 添加使用者lee并给rw权限
setfacl -m g:westos:rw    westosfile  #在文件westosfile 添加使用组westos并给rw权限
setfacl -m u::rwx    westosfile           #对文件westosfile 所有使用者 给予rwx权限
setfacl -m g::0        westosfile           #对文件westosfile 所有使用组 不给权限
setfacl -x u:lee    westosfile    #删除列表中的lee
setfacl -b westosfile            #关闭

##关闭后使用ls -l命令读取“+”就没有了，表示权限列表功能关闭

4、
acl 权限优先级

拥有者>特殊指定用户>权限多的组>权限少的组>其他
         （同一组成员取权限多的）

• attr权限

#attr权限限制所有用户（包括超级用户,root用户才能进行设置）

i    #不能作任何的更改    （删除未成功建立的文件时，不能-rf强制删除，否则不报错文件不存在）
a    #能添加不能删除

lsattr dir|file        ##查看attr权限 （lsattr -d 查看本身权限）
chattr +i|+a|-i|-a dir|file    ##设定attr权限

#查看目录本身时lsattr -d dir