• linux文件权限总结(创建root不可以删除文件、只可追加的日志文件等)


    文件类型

    对于文件和目录的访问权力是根据读访问,写访问,和执行访问来定义的。

    我们来看一下 ls 命令的输出结果

    [root@iZ28dr6w0qvZ test]# ls -l
    总用量 72
    -rw-r--r--  1 root root 62199 3月   2 11:21 lsbin.txt
    drwxr-xr-x 38 root root  4096 2月  29 16:11 Pics
    -rw-r--r--  1 root root    54 2月  29 14:22 text.txt
    -rw-r--r--  1 root root     0 3月   1 17:07 two words.txt
    

    列表的前十个字符是文件的属性。

    这十个字符的第一个字符表明文件类型。

    常用的文件类型(还有其它的,不常见类型): 

    属性文件类型
    - 一个普通文件
    d 一个目录
    l 一个符号链接。注意对于符号链接文件,剩余的文件属性总是"rwxrwxrwx",而且都是 虚拟值。真正的文件属性是指符号链接所指向的文件的属性。
    c 一个字符设备文件。这种文件类型是指按照字节流,来处理数据的设备。 比如说终端机,或者调制解调器
    b 一个块设备文件。这种文件类型是指按照数据块,来处理数据的设备,例如一个硬盘,或者 CD-ROM 盘。

     剩下的九个字符,叫做文件模式,代表着文件所有者,文件组所有者,和其他人的读,写,执行权限。

    常用的linux文件权限

    444 r--r--r--
    600 rw-------
    644 rw-r--r--
    666 rw-rw-rw-
    700 rwx------
    744 rwxr--r--
    755 rwxr-xr-x
    777 rwxrwxrwx  
    • 读取的权限等于4,用r表示;
    • 写入的权限等于2,用w表示;
    • 执行的权限等于1,用x表示;

    通过4、2、1的组合,得到以下几种权限:
    0(没有权限);4(读取权限);5(4+1 | 读取+执行);6(4+2 | 读取+写入);7(4+2+1 | 读取+写入+执行)

    安全权限的临界点

    1.目录755,文件644是相对安全的权限;

    2.用户为root以及用户组为root

    chmod 更改权限

    通过八进制表示法,我们使用八进制数字来设置所期望的权限模式。因为每个八进制数字代表了 3个二进制数字,这种对应关系,正好映射到用来存储文件模式所使用的方案上。下表展示了 我们所要表达的意思:

    OctalBinaryFile Mode
    0 000 ---
    1 001 --x
    2 010 -w-
    3 011 -wx
    4 100 r--
    5 101 r-x
    6 110 rw-
    7 111 rwx

    通过传递参数 “600”,我们能够设置文件所有者的权限为读写权限,而删除用户组和其他人的所有 权限。虽然八进制到二进制的映射看起来不方便,但通常只会用到一些常见的映射关系: 7 (rwx),6 (rw-),5 (r-x),4 (r--),和 0 (---)。

    chmod 命令支持一种符号表示法,来指定文件模式。符号表示法分为三部分:更改会影响谁, 要执行哪个操作,要设置哪种权限。通过字符 “u”,“g”,“o”,和 “a” 的组合来指定 要影响的对象,

     chmod 命令符号表示法

       
    u+x 为文件所有者添加可执行权限。
    u-x 删除文件所有者的可执行权限。
    +x 为文件所有者,用户组,和其他所有人添加可执行权限。 等价于 a+x。
    o-rw 除了文件所有者和用户组,删除其他人的读权限和写权限。
    go=rw 给群组的主人和任意文件拥有者的人读写权限。如果群组的主人或全局之前已经有了执行的权限,他们将被移除。
    u+x,go=rw 给文件拥有者执行权限并给组和其他人读和执行的权限。多种设定可以用逗号分开。

    符号表示法的优点是, 允许你设置文件模式的单个组成部分的属性,而没有影响其他的部分。

    chown - 更改文件所有者和用户组 

    参数结果
    cqh 把文件所有者从当前属主更改为用户 cqh。
    cqh:users 把文件所有者改为用户 cqh,文件用户组改为用户组 users。
    :cqh 把文件用户组改为组cqh,文件所有者不变。
    cqh: 文件所有者改为用户 cqh,文件用户组改为,用户 cqh 登录系统时,所属的用户组。

    chattr和lsattr -文件或者目录的隐藏属性

    chattr可以创建root都不能修改的文件,但是它并不适合所有的目录,不能保护/、/dev、/tmp、/var目录
    lsattr可以显示chattr命令设置的文件属性
    与chmod这个命令相比,chmod只是改变文件的读写、执行权限,更底层的属性控制是由chattr来改变的。

    chattr命令的用法:chattr [ -RVf ] [ -v version ] [ mode ] files…

    最关键的是在[mode]部分,[mode]部分是由+-=和[ASacDdIijsTtu]这些字符组合的,这部分是用来控制文件的
    属性。

    + :在原有参数设定基础上,追加参数。
    - :在原有参数设定基础上,移除参数。
    = :更新为指定参数设定。
    
    A:文件或目录的 atime (access time)不可被修改(modified), 可以有效预防例如手提电脑磁盘I/O错误的发生。
    S:硬盘I/O同步选项,功能类似sync。
    a:即append,设定该参数后,只能向文件中添加数据,而不能删除,多用于服务器日志文件安全,只有root才能设定这个属性。
    c:即compresse,设定文件是否经压缩后再存储。读取时需要经过自动解压操作。
    d:即no dump,设定文件不能成为dump程序的备份目标。
    i:设定文件不能被删除、改名、设定链接关系,同时不能写入或新增内容。i参数对于文件 系统的安全设置有很大帮助。
    j:即journal,设定此参数使得当通过mount参数:data=ordered 或者 data=writeback 挂 载的文件系统,文件在写入时会先被记录(在journal中)。如果filesystem被设定参数为 data=journal,则该参数自动失效。
    s:保密性地删除文件或目录,即硬盘空间被全部收回。
    u:与s相反,当设定为u时,数据内容其实还存在磁盘中,可以用于undeletion。
    各参数选项中常用到的是a和i。a选项强制只可添加不可删除,多用于日志系统的安全设定。而i是更为严格的安全设定,只有superuser (root) 或具有CAP_LINUX_IMMUTABLE处理能力(标识)的进程能够施加该选项。  

    示例一:创建不可删除的文件

    # 设置
    root@ubuntu:/tmp/test# chattr +i chenqionghe.txt
    root@ubuntu:/tmp/test# rm -f chenqionghe.txt
    rm: cannot remove 'chenqionghe.txt': Operation not permitted
    # 解除
    root@ubuntu:/tmp/test# lsattr chenqionghe.txt
    ----i---------e--- chenqionghe.txt
    # 使用lsattr查看设置的参数 root@ubuntu:/tmp/test# chattr -i chenqionghe.txt root@ubuntu:/tmp/test# rm -f chenqionghe.txt  

    示例二:创建只可能追加数据不能删除的文件(不可使用vim,不可echo >,只能使用echo >>追加)

    root@ubuntu:~# chattr +a chenqionghe.txt
    root@ubuntu:~# rm chenqionghe.txt
    rm: cannot remove 'chenqionghe.txt': Operation not permitted
    root@ubuntu:~# echo 'aa' > chenqionghe.txt
    -su: chenqionghe.txt: Operation not permitted
    root@ubuntu:~# echo 'aa' >> chenqionghe.txt
    

      

  • 相关阅读:
    对于GetBuffer() 与 ReleaseBuffer() 的一些分析
    _tmain与main,winMain,wmain收藏
    【引用】常用字符串长度计算函数
    Invalid URI
    Cannot obtain the schema rowset "DBSCHEMA_TABLES_INFO" for OLE DB provider "SQLNCLI10" for linked server "DB1".
    Penang Industrial Zone
    Create Raid 1 and Raid 10 in one server
    Time zone BOGUS not found in registry
    'xxx_Forms' is not a valid Application Database or User 'sa' does not have sufficient permissions to check
    Syteline Goods Receiving Note Report
  • 原文地址:https://www.cnblogs.com/chenqionghe/p/10407336.html
Copyright © 2020-2023  润新知