权限除了UGO权限,还有FACL(俗称acl)权限、3个S权限、文件系统权限。ACL是文件访问控制列表(file access control list)的缩写。是用来实现对指定的文件和指定的用户或组一对一精确授权。FACL权限的优先级高于普通的UGO权限。
查acl权限用getfacl其格式是getfacl 选项 文件名
getfacl /etc/liu
设置权限用setfacl 格式:setfacl 选项 权限 文件名
设置了acl权限,用ls -ld查权限,权限最后一位的.会变成+,则说明此文件有acl权限。
给liu用户在/q.txt文件上设置acl权限为rwx:setfacl -m u:liu:rwx /q.txt
给wang组在/q.txt文件上设置acl权限为rw:setfacl -m g:sales:rw /q.txt
去掉指定的ACL权限:setfacl -x u:liu /q.txt
去掉/q.txt文件的所有ACL权限:setfacl -b /q.txt
对命令不熟悉的朋友可以man setfacl 查询帮助。
FACL权限代号:u是用户,g是组,r可读,w是可写,x是可执行。
三个S权限分别是SUID(权限数字是4):让普通用户临时以命令属主(root)的身份去执行命令。
SGID(权限数字是2):让普通用户临时以目录属组的身份去执行命令。SGID权限通常用于目录,可以实现继承功能。即目录中新建的文件的属组跟目录的属组相同。
Sticky bit粘滞位(粘着位,权限数字是1):通常用于做文件共享的目录,在目录中每个用户只能删除自己的文件,而不能删除其他人的文件。系统中/tmp目录默认有Sticky bit权限
useradd a
useradd b
mkdir /s
chmod -v 777 /s
chmod -v o+t /s 给/s目录添加sticky bit权限
ls -ld /s 会发现权限是rwxrwxrwt,t就是sticky bit权限
su - a
touch /s/a.txt
exit
su - b
touch / s /b.txt
rm -fv /s/a.txt 提示“无法删除”,因为/tmp目录有sticky bit权限
exit
chmod -v o-t /s 给/tmp目录去掉sticky bit权限
su - b
rm -fv /s/a.txt
exit
rm -rfv /s
文件系统权限可以用lsattr查看这种权限,用chattr命令来设置这种权限。文件系统权限的设置可以让root(超级用户)也无法进行直接操作。
查:lsattr [选项] 文件名 例如:lsattr /etc/liu
设置:chattr [选项] +-权限 文件名 例如:chattr +i /tmp/a.txt
说明:chattr是change attrib修改属性的缩写。
date > /dt.txt
lsattr /dt.txt
chattr +a /dt.txt 给/dt.txt文件添加a权限
rm -fv /dt.txt 提示“不允许的操作”
free -h >> /dt.txt 能正常追加内容
cat /dt.txt
chattr -a /dt.txt 给/dt.txt文件去掉a权限
chattr +i /dt.txt 给/dt.txt文件添加i权限
df -h >> /dt.txt 提示“权限不够”
rm -fv /dt.txt 提示“不允许的操作”
chattr -i /dt.txt 给/dt.txt文件去掉i权限
rm -fv /dt.txt 正常删除/dt.txt文件
说明:free -h是显示系统中已用和未用的内存,-h是人性化显示容量单位(G、M、K)。
df -h是显示文件系统磁盘空间的使用情况(disk free),-h是人性化(human)显示容量单位(G、M、K)。
文件权限管理
原文:http://blog.51cto.com/13553337/2062971
