文件类型

• -：普通文件
• d：目录文件
• l：链接文件
• b：块设备文件
• c：字符设备文件
• p：管道文件

所属与权限

每个文件和目录都有所属的

• 所有者
• 所有组

并且规定了文件的所有者u、所有组g以及其他人o对文件所拥有的权限

• r 可读
• w 可写
• x 可执行

目录文件的权限

• r 表示能够读取目录内的文件列表；
• w 表示能够在目录内新增、删除、重命名文件；
• x 表示能够进入该目录。

要开放目录给任何人浏览时，应该至少也要给予 r 及 x 的权限

特殊权限

SUID、 SGID 与 SBIT 的特殊权限位

SUID

SUID 是一种对二进制程序进行设置的特殊权限，可以让二进制程序的执行者临时拥有属主的权限（仅对拥有执行权限的二进制程序有效）。

查看 passwd 命令属性时发现所有者的权限由 rwx 变成了 rws，其中 x 改变成 s 就意味着该文件被赋予了 SUID 权限。

[root@localhost ~]# ls -l /etc/shadow
----------. 1 root root 1004 Jan 3 06:23 /etc/shadow
[root@localhost ~]# ls -l /bin/passwd
-rwsr-xr-x. 1 root root 27832 Jan 29 2017 /bin/passwd

如果原先权限位上没有 x 执行权限，那么被赋予特殊权限后将变成大写的 S。

所有用户都可以执行 passwd 命令来修改自己的用户密码，而用户密码保存在 /etc/shadow 文件中。仔细查看这个文件就会发现它的默认权限是 000，也就是说除了 root 管理员以外，所有用户都没有查看或编辑该文件的权限。但是，在使用 passwd 命令时如果加上 SUID 特殊权限位，就可让普通用户临时获得程序所有者的身份，把变更的密码信息写入到 shadow 文件中。

SGID

SGID 主要实现如下两种功能：

• 让执行者临时拥有属组的权限（对拥有执行权限的二进制程序进行设置）
• 在某个目录中创建的文件自动继承该目录的用户组（只可以对目录进行设置）

第一种功能是参考 SUID 而设计的，不同点在于执行程序的用户获取的不再是文件所有者的临时权限，而是获取到文件所属组的权限。

[root@localhost ~]# cd /tmp
[root@localhost tmp]# mkdir testdir
[root@localhost tmp]# ls -ald testdir/
drwxr-xr-x. 2 root root 6 Dec 26 19:05 testdir/
[root@localhost tmp]# chmod -Rf 777 testdir/
[root@localhost tmp]# chmod -Rf g+s testdir/
[root@localhost tmp]# ls -ald testdir/
drwxrwsrwx. 2 root root 6 Dec 26 19:05 testdir/

SBIT

SBIT 特殊权限位可确保用户只能删除自己的文件，而不能删除其他用户的文件

当对某个目录设置了 SBIT 粘滞位权限后，那么该目录中的文件就只能被其所有者执行删除操作了。

当目录被设置 SBIT 特殊权限位后，文件的其他***限部分的 x 执行权限就会被替换成 t 或者 T；
原本有 x 执行权限则会写成 t；
原本没有 x 执行权限则会被写成 T。

[root@localhost tmp]# su - jon
Last login: Wed Dec 26 19:10:03 CST 2018 on pts/0
[jon@localhost tmp]$ ls -ald /tmp
drwxrwxrwt. 17 root root 4096 Dec 26 19:07 /tmp
[jon@localhost ~]$ cd /tmp
[jon@localhost tmp]$ ls -ald
drwxrwxrwt. 17 root root 4096 Dec 26 19:07 .
[jon@localhost tmp]$ echo "Hello World." > test
[jon@localhost tmp]$ chmod 777 test
[jon@localhost tmp]$ ls -al test
-rwxrwxrwx. 1 jon jon 10 Dec 26 19:10 test

文件能否被删除并不取决于自身的权限，而是看其所在目录是否有写入权限

[root@localhost tmp]# su - test
Last login: Wed Dec 26 19:15:29 CST 2017 on pts/1
[test@localhost ~]$ cd /tmp
[test@localhost tmp]$ rm -f test
rm: cannot remove ‘test’: Operation not permitted

[test@localhost tmp]$ exit
Logout
[test@localhost tmp]# cd ~
[root@localhost ~]# chmod -R o+t testdir/
[root@localhost ~]# ls -ld linux/
drwxrwsrwt. 2 root root 6 Dec 26 19:34 testdir/

chmod [参数] 权限 文件或目录名称
chmod ['[ugoa]*(-+=)+|-+=+'] 文件或目录名称
X并非实际的权限，man的解释
execute/search only if the file is a directory or already has execute permission for some user (X)

• 对于文件ugo必须其中之一有x权限，然后使用X才有效。如果任何用户都没有x权限，则使用X不生效，不会添加x权限。
• 对于目录使用X和x的效果一样。

chown [参数] 所有者:所属组 文件或目录名称
-R 递归操作

chgrp [参数] 组 文件或目录名称

文件的隐藏属性

即被隐藏起来的权限，默认情况下不能直接被用户发觉。

chattr 命令用于设置文件的隐藏权限
chattr [参数] 文件，通过 +参数或 -参数来增加或移除隐藏权限

• i 无法对文件进行修改；若对目录设置了该参数，则仅能修改其中的子文件内容而不能新建或删除文件
• a 仅允许补充（追加）内容，无法覆盖/删除内容（Append Only）
• S 文件内容在变更后立即同步到硬盘（sync）
• s 彻底从硬盘中删除，不可恢复（用 0 填充原文件所在硬盘区域）
• A 不再修改这个文件或目录的最后访问时间（atime）
• b 不再修改文件或目录的存取时间
• D 检查压缩文件中的错误
• d 使用 dump 命令备份时忽略本文件/目录
• c 默认将文件或目录进行压缩
• u 当删除该文件后依然保留其在硬盘中的数据，方便日后恢复
• t 让文件系统支持尾部合并（tail-merging）
• X 可以直接访问压缩文件中的内容

[root@localhost ~]# echo "for Test" > test
[root@localhost ~]# chattr +a test
[root@localhost ~]# rm test
rm: remove regular file ‘test’? y
rm: cannot remove ‘test’: Operation not permitted

lsattr 命令用于显示文件的隐藏权限
lsattr [参数] 文件

[root@localhost ~]# ls -al test
-rw-r--r--. 1 root root 9 Dec 26 19:45 test
[root@localhost ~]# lsattr test
-----a---------- test
[root@localhost ~]# chattr -a test
[root@localhost ~]# lsattr test
---------------- test
[root@localhost ~]# rm test
rm: remove regular file ‘test’? y

文件访问控制列表

一般权限、特殊权限、隐藏权限其实有一个共性—权限是针对某一类用户设置的。
对某个指定的用户进行单独的权限控制，就需要用到文件的访问控制列表（ACL）了。

• 基于普通文件或目录设置 ACL 其实就是针对指定的用户或用户组设置文件或目录的操作权限。
• 如果针对某个目录设置了 ACL，则目录中的文件会继承其 ACL；
• 若针对文件设置了 ACL，则文件不再继承其所在目录的 ACL。

在没有针对普通用户对 root 管理员的家目录设置 ACL之前，普通用户无法访问 /root 目录

[root@localhost ~]# su - jon
Last login: Wed Dec 26 19:51:12 CST 2018 on pts/0
[jon@localhost ~]$ cd /root
-bash: cd: /root: Permission denied
[jon@localhost root]$ exit

setfacl 命令用于管理文件的 ACL 规则
文件的 ACL 提供的是在所有者、所属组、其他人的读/写/执行权限之外的特殊权限控制，使用 setfacl 命令可以针对单一用户或用户组、单一文件或目录来进行读/写/执行权限的控制。

setfacl [参数] 文件名称

• -R 递归参数，针对目录文件
• -m 针对普通文件
• -b 删除某个文件的 ACL

[root@localhost ~]# setfacl -Rm u:jon:rwx /root
[root@localhost ~]# su - jon
Last login: Wed Dec 26 19:55:02 CST 2018 on pts/1
[jon@localhost ~]$ cd /root
[jon@localhost root]$ ls
anaconda-ks.cfg Downloads Pictures Public
[jon@localhost root]$ cat anaconda-ks.cfg
[jon@localhost root]$ exit

文件的权限最后一个点（.）变成了加号（+） ,这就意味着该文件已经设置了 ACL 了。

[root@localhost ~]# ls -ld /root
dr-xrwx---+ 14 root root 4096 May 6 2018 /root

getfacl 命令用于显示文件上设置的 ACL 信息
getfacl 文件名称

[root@localhost ~]# getfacl /root
getfacl: Removing leading '/' from absolute path names
# file: root
# owner: root
# group: root
user::r-x
user:jon:rwx
group::r-x
mask::rwx
other::

---