1.文件屬性學習任務(wù)01基于文件的用戶類型02文件屬性解讀與查看用戶類型01文件擁有者（u）02文件所屬組成員（g）03其他用戶（o）Linux用戶類型自己（owner）同組（group）其他（others）問題一：對于一個文件來說可以有幾種訪問方式？只允許用戶自己訪問01允許用戶組中的用戶訪問02允許系統(tǒng)中任何用戶訪問03老師出鏡，要有動畫問題二：如何查看文件的屬性？通過ls–l命令查看2.umask01umask的計算方法02更改umask值將/tmp/test目錄的所有者和所屬組更改為linuxstudy在test目錄下創(chuàng)建dir1、dir2、dir3三個目錄進入dir2目錄并創(chuàng)建file1、file2、file3、file4、file5五個空文件使用ls-l命令來查看這些目錄以及文件的屬性信息文件目錄的默認權(quán)限命令名稱：umask使用方式：umask[-S][權(quán)限掩碼]參數(shù)

：-S以文字的方式來表示權(quán)限掩碼說明：umask可用來設(shè)定權(quán)限掩碼。權(quán)限掩碼由3個八進制數(shù)字組成，將現(xiàn)有的存取權(quán)限減掉權(quán)限掩碼后，即可產(chǎn)生建立文件時預(yù)設(shè)的權(quán)限。即目錄默認權(quán)限為rwxr-xr-x，表示目錄的所有者擁有讀寫執(zhí)行權(quán)，目錄的所屬組擁有讀寫和執(zhí)行權(quán)，除了目錄所有者和所屬組之外的其他人擁有的權(quán)限為讀和執(zhí)行權(quán)。777－022=755默認權(quán)限022系統(tǒng)默認值777權(quán)限最大值權(quán)限755為目錄的默認權(quán)限，而文件的默認權(quán)限為644，即rw-r--r--，表示文件的所有者擁有讀寫權(quán)，文件的所屬組擁有讀的權(quán)限，除了文件所有者和所屬組之外的其他人擁有讀的權(quán)限為。777－022=755默認權(quán)限022系統(tǒng)默認值777權(quán)限最大值

因為對于Linux系統(tǒng)的默認權(quán)限的設(shè)置是基于系統(tǒng)的安全性考慮的，對于一個目錄來說，基本的權(quán)限是讀和執(zhí)行權(quán)，即用戶可以查看目錄內(nèi)容及切換到該目錄，而對于文件的執(zhí)行權(quán)來說意味著該文件（腳本或程序）可以被執(zhí)行。如果系統(tǒng)中的所有文件默認能夠被執(zhí)行，則可能導致出現(xiàn)安全漏洞，使得一個木馬病毒文件可以被執(zhí)行。因為文件和目錄的默認權(quán)限是基于安全性考量而設(shè)置的。為什么文件和目錄的默認權(quán)限不同呢？注意：如果umask的部分位或全部位為奇數(shù)，那么，在對應(yīng)為奇數(shù)的文件權(quán)限位上計算結(jié)果分別再加1就是最終文件權(quán)限值。666－umask值文件的最終權(quán)限666創(chuàng)建文件默認的最大權(quán)限文件與目錄的權(quán)限默認文件權(quán)限計算方法1）假設(shè)umask值為：022（所有位數(shù)為偶數(shù)）666==>文件的起始權(quán)限值022-==>umask的值--------644默認文件權(quán)限計算方法2）假設(shè)umask值為：045（其他用戶組為奇數(shù)）666==>文件的起始權(quán)限值045-==>umask的值--------621==>計算出來的權(quán)限。由于umask的最后一位數(shù)字是5，所以，在其他用戶組位再加1。001+--------622==>真實文件權(quán)限默認目錄權(quán)限計算方法777==>目錄的起始權(quán)限值022-==>umask的值--------7553.主機ACL01什么是主機ACL02如何設(shè)置主機ACL權(quán)限Internet172.17.0.0172.16.0.0管理員控制臺ACL是訪問控制列表的所寫，其主要功能是限制用戶、進程或設(shè)備對網(wǎng)絡(luò)資源的訪問權(quán)限。Internet172.17.0.0172.16.0.0管理員控制臺ACL通常由一組規(guī)則（即ACL條目）組成，每個ACL條目定義了一種訪問控制策略，包括允許或拒絕特定類型的流量或訪問請求。在LInux系統(tǒng)中，ACL的主要目的是在提供傳統(tǒng)的

owner,group,others

的read,write,execute

權(quán)限之外的細部權(quán)限設(shè)置。ACL可以針對單一使用者，單一文件或目錄來進行

r,w,x

的權(quán)限規(guī)范，對于需要特殊權(quán)限的使用狀況非常有幫助。01針對使用者，來設(shè)置權(quán)限，用user表示02針對群組為對象來設(shè)置其權(quán)限；用group表示03針對在該目錄下在創(chuàng)建新文件/目錄時，規(guī)范新數(shù)據(jù)的默認權(quán)限ACL主要可以針對哪些方面來控制權(quán)限呢？命令名稱：setfacl使用方式：

setfacl[選項][文件/目錄]通過setfacl設(shè)置ACL權(quán)限setfacl

命令的常用選項m：添加新的ACL項x：刪除ACL項R：遞歸地為目錄及其子目錄設(shè)置ACLb：刪除文件或目錄的所有ACLk：刪除默認ACL是管理文件和目錄訪問權(quán)限的強大工具允許用戶為單個文件或目錄添加或刪除特定用戶或組的權(quán)限用戶可以更好地控制對文件和目錄的訪問setfacl

命令命令名稱：getfacl使用方式：

getfacl[OPTIONS]FILE說明

：是Linux/Unix系統(tǒng)中用于查看文件或目錄的訪問控制列表（ACL）的命令，它可以顯示文件或目錄的ACL信息，也可以將ACL信息保存到文件中備份或恢復(fù)。通過getfacl查看ACL權(quán)限getfacl命令的常用選項選項描述-R遞歸顯示目錄下所有文件和子目錄的ACL信息-p顯示權(quán)限信息，而不僅僅是ACL信息-s顯示ACL信息的摘要信息-b顯示ACL信息的二進制格式-n顯示UID和GID而不是用戶名和組名-h顯示ACL信息時，將UID和GID轉(zhuǎn)換成對應(yīng)是用戶名和組名讓用戶查看和管理ACL信息，從而更好地控制文件和目錄的訪問權(quán)限。掌握getfacl命令的使用方法，用戶可以更好地管理系統(tǒng)資源，保護系統(tǒng)安全。getfacl命令4.多用戶與多任務(wù)管理01權(quán)限表示02權(quán)限設(shè)置本章內(nèi)容要點01理解Linux系統(tǒng)的權(quán)限本章學習目標02掌握設(shè)置基本操作權(quán)限03學會設(shè)置特殊權(quán)限04學會設(shè)置ext2/3/4的文件擴展屬性05學會設(shè)置FACL權(quán)限權(quán)限概述Linux是多用戶的操作系統(tǒng)，允許多個用戶同時在系統(tǒng)上登錄和工作為了確保系統(tǒng)和用戶的安全采取了如下安全措施：通過UID/GID確定每個用戶在登錄系統(tǒng)后都做了些什么通過UID/GID來區(qū)別不同用戶所建立的文件或目錄每個文件或目錄都屬于一個UID和一個GID權(quán)限概述每個進程都使用一個UID和一個或多個GID來運行通常由被運行進程的用戶決定超級用戶具有一切權(quán)限，無需特殊說明普通用戶只能不受限制的操作主目錄及其子目錄下的所有文件，對系統(tǒng)中其他目錄/文件的訪問受到限制三種基本權(quán)限權(quán)限描述字符對文件的含義對目錄的含義讀權(quán)限r(nóng)可以讀取文件的內(nèi)容可以列出目錄中的文件列表寫權(quán)限w可以修改或刪除文件可以在該目錄中創(chuàng)建或刪除文件或子目錄執(zhí)行權(quán)限x可以執(zhí)行該文件可以使用cd命令進入該目錄三種基本權(quán)限（續(xù)）目錄上只有執(zhí)行權(quán)限，表示可以進入或穿越他進入更深層次的子目錄。目錄上只有執(zhí)行權(quán)限，要訪問該目錄下的有讀權(quán)限的文件，必須知道文件名才可以訪問。目錄上只有執(zhí)行權(quán)限，不能列出目錄列表也不能刪除該目錄。三種基本權(quán)限（續(xù)）目錄上執(zhí)行權(quán)限和讀權(quán)限的組合，表示可以進入目錄并列出目錄列表。目錄上執(zhí)行權(quán)限和寫權(quán)限的組合，表示可以在目錄中創(chuàng)建、刪除和重命名文件。分配三種基本權(quán)限文件和目錄的使用者屬主、同組人、其他人分配三種基本權(quán)限權(quán)限分配屬主的權(quán)限：用于限制文件或目錄的創(chuàng)建者屬組的權(quán)限：用于限制文件或目錄所屬組的成員其他用戶的權(quán)限：用于限制既不是屬主又不是所屬組的能訪問該文件或目錄的其他人員分配三種基本權(quán)限權(quán)限的優(yōu)先順序如果UID匹配，就應(yīng)用用戶屬主（user）權(quán)限否則，如果GID匹配，就應(yīng)用組（group）權(quán)限如果都不匹配，就應(yīng)用其它用戶（other）權(quán)限查看文件/目錄的權(quán)限通過給三類用戶分配三種基本權(quán)限，就產(chǎn)生了文件或目錄的9個基本權(quán)限位[osmond@soho~]$ls-l總計12-rw-rw-r--1osmondfamily006-1620:43abcdrwxr-xr-x2osmondfamily409606-1620:43docs-rw-rw-r--1osmond

osmond115506-1620:44mylist.txtdrwxr-xr-x3osmond

osmond409605-1613:32nobp文件類型文件權(quán)限硬鏈接數(shù)或目錄包含的文件數(shù)文件所有者文件所有者所在的用戶組文件長度文件上次修改的時間和日期文件名-表示無權(quán)限文件/目錄的權(quán)限[osmond@soho~]$ls-ldocsdrwxr-xr-x2osmondfamily409606-1620:43docs所有者的權(quán)限同組用戶權(quán)限其他用戶權(quán)限文件類型第一個字段的第2～10個字符是用來表示權(quán)限這9個字符每3個一組，組成3套權(quán)限控制文件/目錄的權(quán)限[osmond@soho~]$ls-ldocsdrwxr-xr-x2osmondfamily409606-1620:43docs所有者的權(quán)限同組用戶權(quán)限其他用戶權(quán)限文件類型第一套控制文件所有者的訪問權(quán)限第二套控制所有者所在用戶組的其他成員的訪問權(quán)限第三套控制系統(tǒng)其他用戶的訪問權(quán)限常見的權(quán)限字符串及其含義字符串八進制數(shù)值說明-rw-------600只有屬主才有讀取和寫入的權(quán)限。-rw-r--r--644只有屬主才有讀取和寫入的權(quán)限；同組人和其他人只有讀取的權(quán)限。-rwx------700只有屬主才有讀取、寫入、和執(zhí)行的權(quán)限。-rwxr-xr-x755屬主有讀取、寫入、和執(zhí)行的權(quán)限；同組人和其他人只有讀取和執(zhí)行的權(quán)限。-rwx--x--x711屬主有讀取、寫入、和執(zhí)行權(quán)限；同組人和其他人只有執(zhí)行權(quán)限。-rw-rw-rw-666每個人都能夠讀取和寫入文件。-rwxrwxrwx777每個人都能夠讀取、寫入、和執(zhí)行。drwx------700只有屬主能在目錄中讀取、寫入。drwxr-xr-x755每個人都能夠讀取目錄，但是其中的內(nèi)容卻只能被屬主改變。與權(quán)限相關(guān)的命令chmod改變文件或目錄的權(quán)限chown改變文件或目錄的屬主（所有者）與權(quán)限相關(guān)的命令chgrp改變文件或目錄所屬的組umask設(shè)置文件的缺省生成掩碼修改文件/目錄的權(quán)限更改已有文件或目錄的訪問權(quán)限使用chmod命令修改文件/目錄的權(quán)限chmod命令有兩種設(shè)置方法文字設(shè)定法使用字母和操作符表達式來修改或設(shè)定文件的訪問權(quán)限chmod[-R]<文字模式>

<文件或目錄名>

數(shù)值設(shè)定法使用八進制數(shù)字來設(shè)定文件的訪問權(quán)限chmod[-R]<八進制模式>

<文件或目錄名>-R選項表示對目錄中的所有文件或子目錄進行遞歸操作chmod的文字設(shè)定法chmod[who][+|-|=][permission]

文件或目錄名操作對象操作符號訪問權(quán)限操作對象操作方法訪問權(quán)限u屬主（user）+添加某權(quán)限r(nóng)讀g同組（group）-刪除某權(quán)限w寫o其他（others）=直接賦予某權(quán)限并取消其他所有權(quán)限x執(zhí)行a所有（all）-無權(quán)限在一個命令行中可給出多個權(quán)限模式，其間用逗號間隔chmod的文字設(shè)定法舉例chmodu+rwmyfilea+rx,u+wmyfileu+rwx,g+rx,o+rxmyfilea+rwx,g-w,o-wmyfilea=rwxmyfilego=rxmyfileu-wx,go-xmyfilea+xmyfilechmod的文字設(shè)定法舉例續(xù)chmod+rmyfile

chmoda+rmyfilechmod+xmyfile

chmoda+xmyfile

chmod+wmyfile

chmodu+wmyfile

chmod=rmyfile

chmoda=rmyfilechmod的文字設(shè)定法舉例續(xù)chmod=wmyfile

chmodu=wmyfilechmodo=myfile

chmodo=-myfilechmodu=rw,g=,o=projectschmod-Ru=rwx,go=projectschmod的數(shù)字設(shè)定法chmodn1n2n3文件或目錄名使用三個數(shù)字模式來表示，分別代表用戶（n1）、同組用戶（n2）和其它用戶（n3）的訪問權(quán)限每個數(shù)字模式（n1|n2|n3）由不同權(quán)限所對應(yīng)的數(shù)字相加得到一個表示訪問權(quán)限的八進制數(shù)字權(quán)限對應(yīng)數(shù)字r4w2x1-0-rw-r--r--644drwx--x--x711drwx------700-rwxr-xr-x755chmod的數(shù)字設(shè)定法舉例chmod644myname.txt設(shè)定文件myname.txt的權(quán)限屬性為：-rw-r--r--chmod750myname.txt設(shè)定文件myname.txt的權(quán)限屬性為：-rwxr-x---chmod的數(shù)字設(shè)定法舉例chmod700mydata/設(shè)定目錄mydata的權(quán)限屬性為：drwx------改變文件/目錄屬主或組只有root用戶才能改變文件的所有者只有root用戶或所有者才能改變文件所屬的組用chown命令改變屬主和/或組chown[-R]<用戶名[<.|:>組名]><文件｜目錄>chgrp被用來改變所屬組chgrp[-R]<組名><文件｜目錄>改變屬主或組舉例chownsoftmyfilechgrpsoftgrpmyfilechown.softgrpmyfilechown-Rsoftmydirchgrpsoftgrpmydirchown-R:softgrpmydirchown-Rsoft.softgrpmydir設(shè)置生成文件/目錄時的默認權(quán)限創(chuàng)建新文件或新目錄時，系統(tǒng)都會為它們指定默認的訪問權(quán)限，這個缺省的訪問權(quán)限就由umask值來決定。用戶可以使用umask命令設(shè)置文件的默認生成掩碼。默認生成掩碼告訴系統(tǒng)當創(chuàng)建一個文件或目錄時不應(yīng)該賦予其哪些權(quán)限。設(shè)置生成文件/目錄時的默認權(quán)限系統(tǒng)不允許用戶在創(chuàng)建一個普通文件時就賦予它可執(zhí)行權(quán)限，必須在創(chuàng)建后用chmod修改。目錄則允許設(shè)定可執(zhí)行權(quán)限。umask命令查看當前umask值格式：umask[-S]修改當前umask值格式：umasku1u2u3u1表示的是不允許屬主有的權(quán)限u2表示的是不允許同組人有的權(quán)限u3表示的是不允許其他人有的權(quán)限umask命令RHEL/CentOS默認的umask值普通用戶的umask是002root用戶的umask是022umask值與文件/目錄權(quán)限常見umask值與新建文件/目錄的權(quán)限對應(yīng)表umask值新建目錄的訪問權(quán)限新建文件的訪問權(quán)限022777-022=755666-022=644027777-027=750666-027=640002777-002=775666-002=664006777-006=771666-006=660007777-007=770666-007=660設(shè)置umask值的方法使用umask命令臨時設(shè)置在Shell環(huán)境配置文件中設(shè)置RHEL/CentOS默認在/etc/bashrc中設(shè)置用戶可以在~/.bashrc中重新設(shè)置在/etc/fstab的文件系統(tǒng)掛裝參數(shù)中指定例如：在/etc/fstab的掛裝選項中加入umask值/dev/sda10/homeext3noauto,umask=022,iocharset=cp936,ro,users00文件權(quán)限的設(shè)置準則盡量使用私有組，保護用戶各自的文件或目錄。把權(quán)限設(shè)置為777或666的世界可讀寫的權(quán)限是不明智的，應(yīng)該盡量避免使用。文件權(quán)限的設(shè)置準則應(yīng)隨時了解指定給文件和目錄的權(quán)限，定期檢查文件和目錄以確保指定了正確的權(quán)限。如果在目錄下發(fā)現(xiàn)陌生的文件請向系統(tǒng)管理員或安全人員報告為文件和目錄指定權(quán)限時請慎重考慮只有在具有充分的理由時再將訪問權(quán)限授予他人。例如處理小組項目時組員可能需要訪問特定的文件或目錄需要讓他人訪問特殊權(quán)限suid：使用命令的所屬用戶的權(quán)限來運行，而不是命令執(zhí)行者的權(quán)限sgid：使用命令的組權(quán)限來運行可執(zhí)行文件的特殊權(quán)限特殊權(quán)限sgid：在設(shè)置了sgid權(quán)限的目錄中創(chuàng)建的文件會具備該目錄的組權(quán)限sticky-bit：在帶有粘滯位的目錄中的文件只能被文件的所屬用戶和root用戶刪除，不管該目錄的寫入權(quán)限是如何設(shè)置的目錄的特殊權(quán)限特殊權(quán)限的文字表示方法SUID和SGID用s表示；Sticky-bit用t表示SUID是占用屬主的x位置來表示SGID是占用組的x位置來表示sticky-bit是占用其他人的x位置來表示特殊權(quán)限的文字表示方法例如-rwsr-xr-x1rootroot234202010-08-11/usr/bin/passwd-rwxr-sr-x1roottty1108403-1021:28/usr/bin/write-rwsr-sr-x1rootroot3154162010-01-06/usr/bin/crontabdrwxrws---3rootadmin409606-1801:01/admin/salesdrwxrwxrwt5rootroot409606-1801:01/tmp特殊權(quán)限的數(shù)值表示方法chmodn0n1n2n3文件或目錄名使用一個單獨的數(shù)字模式（n0）由不同權(quán)限所對應(yīng)的數(shù)字相加得到一個表示特殊權(quán)限的八進制數(shù)權(quán)限對應(yīng)數(shù)字SUID4SGID2Sticky-bit1-0-rwsr-sr-x6755drwxrwxrwt1777drwxrws---2770-rwxr-xr-x0755-rwsr-xr-x4755-rwxr-sr-x2755使用chmod設(shè)置特殊權(quán)限為程序~/bin/myapp添加SUID權(quán)限#chmodu+s~/bin/myapp#chmod4755~/bin/myapp0123/45601/56YOURBANK使用chmod設(shè)置特殊權(quán)限為目錄/home/groupspace添加SGID權(quán)限#chmodg+s/home/groupspace#chmod2755/home/groupspace0123/45601/56YOURBANK使用chmod設(shè)置特殊權(quán)限為目錄/home/share添加sticky-bit權(quán)限#chmodo+t/home/share#chmod1755/home/share0123/45601/56YOURBANKext2/3/4的文件擴展屬性Linux內(nèi)核中有大量安全特征。EXT2/3/4文件系統(tǒng)的擴展屬性（ExtendedAttributes）可以在某種程度上保護系統(tǒng)的安全。常見的擴展屬性屬性說明A（Atime）告訴系統(tǒng)不要修改對這個文件的最后訪問時間。S（Sync）一旦應(yīng)用程序?qū)@個文件執(zhí)行了寫操作，使系統(tǒng)立刻把修改的結(jié)果寫到磁盤。a（AppendOnly）系統(tǒng)只允許在這個文件之后追加數(shù)據(jù)，不允許任何進程覆蓋或者截斷這個文件。如果目錄具有這個屬性，系統(tǒng)將只允許在這個目錄下建立和修改文件，而不允許刪除任何文件。i（Immutable）系統(tǒng)不允許對這個文件進行任何的修改。如果目錄具有這個屬性，那么任何的進程只能修改目錄之下的文件，不允許建立和刪除文件。顯示ext2/3/4的文件擴展屬性lsattr命令格式lsattr[-adR][文件|目錄]-a:全部文件，包含隱含文件-d:目錄本身，而非目錄中的內(nèi)容-R:遞歸方式，包含子目錄顯示ext2/3/4的文件擴展屬性舉例lsattrmyfilelsattr-R/etclsattr-d/etc修改ext2/3/4的文件擴展屬性chattr命令格式chattr[-R][[-+=][屬性]]<文件|目錄>設(shè)置方式：添加（+）、刪除（-）、直接設(shè)置（=）常用屬性：A（Atime）、S（Sync）、a（AppendOnly）、i（Immutable）修改ext2/3/4的文件擴展屬性舉例chattr+amy.logchattr+i/etc/passwdchattr-i/etc/passwd設(shè)置文件擴展屬性注意事項雖然屬性能夠提高系統(tǒng)的安全性，但是它并不適合所有的目錄。為了保證系統(tǒng)的正常運行，注意如下目錄的擴展屬性/文件系統(tǒng)不能設(shè)置immutable屬性/dev目錄不能設(shè)置immutable和append-only屬性/tmp目錄不能設(shè)置immutable和append-only屬性/var目錄不能設(shè)置immutable屬性文件訪問控制列表簡介IEEEPOSIX1003.1e制定了ACL標準FACL是訪問控制列表（FileAccessControlLists）的縮寫，簡稱ACL文件訪問控制列表簡介ACL給予用戶和管理員更靈活的控制文件讀寫和權(quán)限賦予的能力ACL是標準UNIX文件屬性（r，w）的附加擴展ACL可以針對任意指定的用戶/組分配RWX權(quán)限ACL允許用戶共享文件避免使用冒險的777權(quán)限文件訪問控制列表簡介支持FACL的操作系統(tǒng)主流的商業(yè)UNIX系統(tǒng)FreeBSD、Linux系統(tǒng)Linux的FACL支持ACL需要內(nèi)核和文件系統(tǒng)的同時支持Linux從2.6內(nèi)核開始提供了對EXT2/EXT3,JFS,XFS,ReiserFS等文件系統(tǒng)的ACL支持。Linux的FACL支持ACL的文件系統(tǒng)支持通過文件系統(tǒng)的掛裝選項實現(xiàn)ACL支持#mount-t