為什么要給文件設(shè)置權(quán)限

首先，Linux是多用戶操作系統(tǒng)，一臺(tái)服務(wù)器，可能有開發(fā)、運(yùn)維、測試等多個(gè)部門構(gòu)成，同時(shí)還有有一個(gè)超級管理員root，也就是項(xiàng)目負(fù)責(zé)人CTO負(fù)責(zé)整個(gè)項(xiàng)目的進(jìn)度周期。

然而，Linux中的命令十分靈活，專業(yè)度要求也很高，如果一個(gè)剛剛實(shí)習(xí)的程序員擁有root權(quán)限，不小心刪除了重要文件或者數(shù)據(jù)，就可能導(dǎo)致整個(gè)項(xiàng)目付之一炬?；蛘邌T工離職跑路直接刪除公司數(shù)據(jù)庫，這樣的案例業(yè)內(nèi)屢見不鮮。

因此，就要給每個(gè)用戶分配不同權(quán)限，比如，每個(gè)用戶對自己創(chuàng)建的文件擁有最高權(quán)限，同時(shí)，開發(fā)組內(nèi)用戶對組內(nèi)文件可以進(jìn)行修改。每個(gè)操作都有日志記錄。然而，開發(fā)組員工進(jìn)入運(yùn)維組目錄，只可以觀看，不可以更改。每個(gè)部門再設(shè)置一個(gè)共享目錄，共享目錄都不可以修改，只有將內(nèi)容拷貝到自己的目錄下才可以修改。

這樣，才可以更好的保障Linux系統(tǒng)的安全性，一方面防止自己內(nèi)部人員危險(xiǎn)操作，另一方面也可以防止黑客入侵，即時(shí)黑客破解了某個(gè)用戶的賬號(hào)密碼，由于權(quán)限有限，也難以進(jìn)行大規(guī)模損害操作。

權(quán)限的基本概念

Linux下一切皆文件，不同的用戶對文件擁有不同的權(quán)限。在多用戶計(jì)算機(jī)系統(tǒng)的管理中，權(quán)限是指某個(gè)特定的用戶具有特定的系統(tǒng)資源使用權(quán)利。

在Linux 中分別有讀、寫、執(zhí)行權(quán)限：

查看文件權(quán)限

Linux中，不同用戶角色創(chuàng)建文件默認(rèn)權(quán)限不同，root用戶創(chuàng)建文件默認(rèn)權(quán)限如上圖所示。

• -代表文件類型是一個(gè)普通文件
• 紅框代表文件擁有者user
• 綠框代表文件所屬組group組內(nèi)其他用戶
• 藍(lán)框代表其他用戶other
• 如果是目錄，文件類型為d

文件類型

Linux一共有7種文件類型,分別如下:

• -：普通文件
• d：目錄文件
• l： 軟鏈接（類似Windows的快捷方式）
• b：block，塊設(shè)備文件（例如硬盤、光驅(qū)等）
• p：管道文件
• c：字符設(shè)備文件
• s：套接口文件/數(shù)據(jù)接口文件

文件權(quán)限設(shè)置-字母

chmod [選項(xiàng)] 權(quán)限設(shè)置 文件或目錄的名稱

選項(xiàng)說明：
-R ：遞歸設(shè)置，針對文件夾（目錄）

權(quán)限設(shè)置：

1：確認(rèn)要給哪個(gè)身份設(shè)置權(quán)限，u、g、o、ugo(a)

2：確認(rèn)是添加權(quán)限(+)、刪除權(quán)限(-)還是賦予權(quán)限(=)

3：確認(rèn)給這個(gè)用戶針對這個(gè)文件或文件夾設(shè)置什么樣的權(quán)限，r、w、x

sudo chmod -R ugo=rwx AA/
sudo chmod -R a=rwx AA/

文件權(quán)限設(shè)置-數(shù)字

chmod 777 1.txt

文件擁有者和所屬組設(shè)置

擁有者設(shè)置

chown [選項(xiàng)] 新文件擁有者名稱 文件名稱
選項(xiàng)說明：
-R ：代表遞歸修改，主要針對文件夾

chown blackcat 1.txt

所屬組設(shè)置

chgrp [選項(xiàng)] 新文件所屬組名稱 文件名稱
選項(xiàng)說明：
-R : 代表遞歸修改，主要針對文件夾

同時(shí)修改擁有者和所屬組

chown [選項(xiàng)] 文件擁有者名稱:文件所屬組名稱 文件名稱
或
chown [選項(xiàng)] 文件擁有者名稱.文件所屬組名稱 文件名稱
選項(xiàng)說明：
-R : 代表遞歸修改，主要針對文件夾

特殊權(quán)限

冒險(xiǎn)位SETUID（針對二進(jìn)制文件）

作用：為了讓一般使用者臨時(shí)具有該文件所屬主/組的執(zhí)行權(quán)限。

例如：/usr/bin/passwd在執(zhí)行它的時(shí)候需要去修改/etc/passwd和/etc/shadow等文件，這些文件除了root外，其他用戶都沒有寫權(quán)限，但是又為了能讓普通用戶修改自己的密碼，那么該如何操作？

去除S位權(quán)限

chmod u-s /usr/bin/passwd 
或者
chmod 0755 /usr/bin/passwd

添加S位權(quán)限

chmod u+s /usr/bin/passwd
或者
chmod 4755 /usr/bin/passwd

強(qiáng)制位SETGID（針對目錄）

作用：如果一個(gè)目錄有強(qiáng)制位，那么任何用戶在該目錄里所創(chuàng)建的文件屬組都會(huì)繼承該目錄的屬組。

去除S位權(quán)限

chmod g-s 目錄名

添加S位權(quán)限

chmod g+s 目錄名
或
chmod 2xxx 目錄名

粘附位T（針對目錄）

作用：只允許文件的創(chuàng)建者和root用戶刪除文件（防止誤刪除權(quán)限位）

去除粘附位

chmod -R o-t /share
或
chmod -R 0777 /share

添加粘附位

chmod -R o+t /share
或
chmod -R 1777 /share

umask

umask表示創(chuàng)建文件時(shí)的默認(rèn)權(quán)限（即創(chuàng)建文件時(shí)不需要設(shè)置而天生的權(quán)限）

我們創(chuàng)建一個(gè)普通文件最高權(quán)限666，而創(chuàng)建一個(gè)文件夾其最高權(quán)限777。

實(shí)際文件權(quán)限 = 最高權(quán)限 - umask的值

獲取用戶umask值

umask

0022

注：0022中第一位0代表特殊權(quán)限位，可以不設(shè)置。
umask的默認(rèn)值，在root和普通用戶下是不一樣的，分別是022和002

修改umask值（一般不要更改）

臨時(shí)修改

umask 002

777 - 002 = 775

永久修改

vim ~/.bashrc 
1：在文件末尾添加umask 002
2：保存退出 
3：新開終端生效

ACL權(quán)限

ACL，是 Access Control List（訪問控制列表）的縮寫，在 Linux 系統(tǒng)中， ACL 可實(shí)現(xiàn)對單一用戶或者某個(gè)組設(shè)定訪問文件的權(quán)限，ACL優(yōu)勢就是讓權(quán)限控制更加的精準(zhǔn)。

安裝acl

apt install acl

獲取ACL權(quán)限

getfacl 文件或目錄名稱

設(shè)置ACL權(quán)限

setfacl [選項(xiàng)] 文件或目錄名稱

選項(xiàng)說明：
-m ： 修改acl策略
-x ： 去掉某個(gè)用戶或者某個(gè)組的權(quán)限
-b ： 刪除所有的acl策略
-d ： 該目錄下新建的文件和目錄都會(huì)繼承acl策略，但已存在的沒有
-R ： 該目錄下已存在的文件和目錄都會(huì)繼承acl策略，但新建的沒有
mask ：指的是用戶或群組能擁有的最大ACL權(quán)限,也就是說,給用戶或群組設(shè)定的ACL權(quán)限不能超過mask規(guī)定的權(quán)限范圍,超出部分做無效處理。

示例-給用戶增加acl權(quán)限：
setfacl -m u:hioier:rw 1.txt

示例-給用戶刪除acl權(quán)限：
setfacl -x u:hioier 1.txt

示例-給用戶組增加acl權(quán)限：
setfacl -m g:blackcat:rw 2.txt

示例-給用戶組刪除acl權(quán)限：
setfacl -x g:blackcat 2.txt

示例-刪除所有權(quán)限：
setfacl -b 1.txt

mask權(quán)限設(shè)置：

setfacl -m m::r 1.txt

目錄遞歸授權(quán)