幕雪

linux权限管理彻底掌握文件、目录、特殊权限与ACL的查看、配置与应用

在Linux操作系统中,权限管理是系统安全的核心基石。它决定了谁可以访问哪些文件和目录,以及他们可以进行何种操作。如果没有严格的权限管理,任何用户都可能随意读取、修改甚至删除关键系统文件,这将导致灾难性的后果。

一、Linux权限管理是什么?为什么如此重要?

1.1 权限管理的基本概念

Linux权限管理是什么? 简单来说,它是一套精密的机制,用于控制系统上的用户和进程对文件、目录以及其他系统资源的访问。这套机制确保了多用户环境下系统资源的隔离性、完整性和机密性。

1.2 为什么Linux需要权限管理?

为什么Linux需要权限管理? 答案在于其作为多用户、多任务操作系统的本质。在Linux系统中,多个用户可能同时登录并运行程序。如果没有权限管理:

  • 安全漏洞: 恶意用户或程序可以轻易访问、修改或删除敏感数据,甚至破坏系统配置。
  • 数据完整性受损: 未经授权的修改可能导致数据损坏或丢失。
  • 隐私泄露: 个人文件和数据可能被他人随意查看。
  • 系统稳定性下降: 关键系统文件被误操作或恶意修改,可能导致系统崩溃或无法启动。

权限管理不当会带来哪些风险? 例如,如果一个Web服务器的配置文件被赋予了全局写权限,攻击者就可能修改它以执行恶意脚本;如果用户的主目录拥有过高的权限,其个人数据则面临泄露风险。因此,理解并正确配置权限是每一位Linux用户和管理员的必备技能。

1.3 核心元素:用户、组与其他人

用户、组、其他分别是什么概念? Linux权限管理围绕三个核心实体展开:

  1. 用户 (User / Owner – u): 每个文件和目录都有一个所有者。通常是创建该文件或目录的用户。只有文件的所有者才能行使该文件所有者的权限。
  2. 组 (Group – g): 每个文件和目录也都有一个所属组。用户可以被添加到多个组中。如果一个用户是某个文件的所属组的成员,那么该用户就可以行使该文件所属组的权限。这提供了一种便捷的方式来赋予一组用户对某些资源的共同访问权。
  3. 其他人 (Others – o): 除了文件的所有者和所属组的成员之外的所有用户都被归类为“其他人”。他们拥有“其他人”所被赋予的权限。

为什么需要区分用户、组、其他? 这种分层结构提供了一种灵活且高效的权限分配模型。对于私有文件,只需设置用户权限;对于团队协作的项目,可以利用组权限;对于公共资源,则可以设置开放的“其他人”权限。

1.4 基本权限:读、写、执行

Linux文件系统中的基本权限(读、写、执行)是什么? 每种用户实体(所有者、组、其他人)都可以被赋予以下三种基本权限:

  • 读 (Read – r):
    • 对于文件:允许查看文件内容。
    • 对于目录:允许列出目录中的文件和子目录名称。
  • 写 (Write – w):
    • 对于文件:允许修改、删除或重命名文件内容。
    • 对于目录:允许在目录中创建、删除、重命名文件和子目录,以及修改目录本身的属性(如修改其权限)。需要注意的是,删除目录中的文件需要对父目录有写权限,而不需要对文件本身有写权限。
  • 执行 (Execute – x):
    • 对于文件:允许运行或执行该文件(如果它是一个可执行程序或脚本)。
    • 对于目录:允许进入该目录(即使用`cd`命令切换到该目录),并访问目录中的文件(如果同时有读权限)。没有执行权限就无法进入目录,也无法访问其内容。

二、在哪里、如何查看文件与目录的权限?

2.1 权限信息存储在哪里?

文件和目录的权限信息存储在哪里? 在Linux文件系统中,文件的元数据(包括权限、所有者、所属组、大小、修改时间等)通常存储在文件的inode(索引节点)中。每个文件和目录都有一个唯一的inode。

2.2 使用`ls -l`查看详细信息

在哪里可以查看文件或目录的权限?如何查看文件或目录的权限? 最常用的命令是ls -l(long listing format)。

ls -l的输出示例:

-rw-r--r-- 1 user group 1024 Jan 1 10:00 myfile.txt
drwxr-xr-x 2 user group 4096 Jan 1 10:05 mydirectory/

让我们来详细解析这一串信息:

  1. 第一列:文件类型与权限位

    这是最关键的部分,由10个字符组成。

    • 第一个字符:文件类型
      • -:普通文件
      • d:目录
      • l:符号链接(软链接)
      • b:块设备文件
      • c:字符设备文件
      • p:命名管道(FIFO)
      • s:套接字文件
    • 接下来的9个字符:权限位

      这9个字符被分为三组,每组3个字符,分别代表所有者、所属组、其他人对应的读、写、执行权限:

      • 第2-4位 (rw-): 文件所有者的权限。r表示读,w表示写,-表示无该权限。
      • 第5-7位 (r--): 文件所属组的权限。
      • 第8-10位 (r--): 其他人的权限。

      例如,-rw-r--r--表示:一个普通文件,所有者有读写权限,所属组只有读权限,其他人也只有读权限。

      注意:有时你可能看到sStT出现在执行位上,这表示特殊权限(SUID, SGID, Sticky Bit),我们将在后面详细讨论。

  2. 第二列:链接数

    对于文件,表示硬链接的数量;对于目录,表示该目录本身以及其子目录的数量(因为每个子目录都会被其父目录链接一次)。

  3. 第三列:所有者 (Owner)

    显示文件或目录的所有者用户名。

  4. 第四列:所属组 (Group)

    显示文件或目录的所属组名。

  5. 第五列:大小

    对于文件,表示文件的大小(字节);对于目录,通常是一个固定值(如4096字节),代表目录结构本身的大小。

  6. 第六、七、八列:最后修改时间

    显示文件或目录的最后修改日期和时间。

  7. 第九列:文件名

    文件或目录的名称。

三、如何修改权限、所有者与所属组?

3.1 修改文件或目录的所有者:`chown`

如何修改文件或目录的所有者? 使用chown(change owner)命令。只有root用户或文件的当前所有者(在某些系统配置下)才能更改文件的所有者。

`chown`命令语法:

chown [新所有者] [文件或目录]
chown [新所有者]:[新所属组] [文件或目录]

示例:

  • myfile.txt的所有者更改为john
    sudo chown john myfile.txt
  • mydirectory/的所有者更改为john,同时将其所属组更改为devs
    sudo chown john:devs mydirectory/
  • 递归地更改mydirectory/及其所有内容的拥有者和组: 
    sudo chown -R john:devs mydirectory/

3.2 修改文件或目录的所属组:`chgrp`

如何修改文件或目录的所属组? 使用chgrp(change group)命令。通常,只有root用户或文件的所有者(且该所有者必须是目标组的成员)才能更改文件的所属组。

`chgrp`命令语法:

chgrp [新所属组] [文件或目录]

示例:

  • myfile.txt的所属组更改为devs
    sudo chgrp devs myfile.txt
  • 递归地更改mydirectory/及其所有内容的所属组: 
    sudo chgrp -R devs mydirectory/

提示: chown命令也可以同时更改所属组,如上述示例chown john:devs

3.3 使用`chmod`修改基本权限

如何使用`chmod`命令修改基本权限? chmod(change mode)是修改文件和目录权限的核心命令,它有两种主要的使用模式:符号模式和数字(八进制)模式。

3.3.1 符号模式

符号模式使用字符来表示用户类型和操作。

  • 用户类型:
    • u:所有者 (user)
    • g:所属组 (group)
    • o:其他人 (others)
    • a:所有人 (all),等同于ugo
  • 操作符:
    • +:添加权限
    • -:移除权限
    • =:精确设置权限(会覆盖之前的设置)
  • 权限:
    • r:读
    • w:写
    • x:执行

符号模式示例:

  • 给所有者添加写权限: 
    chmod u+w myfile.txt
  • 从其他人移除写权限: 
    chmod o-w myfile.txt
  • 给所有者和组添加执行权限: 
    chmod ug+x myprogram.sh
  • 移除所有人的写权限: 
    chmod a-w myfile.txt
  • 将所有者的权限设置为读写,组设置为读,其他人设置为无权限(覆盖式设置): 
    chmod u=rw,g=r,o= myfile.txt
  • 递归地给目录及其内容添加执行权限: 
    chmod -R a+x mydirectory/

3.3.2 数字(八进制)模式

数字模式更简洁,通过一个三位或四位八进制数字直接表示所有者、组、其他人的权限。每个权限都有一个对应的数值:

  • r (读) = 4
  • w (写) = 2
  • x (执行) = 1
  • 无权限 = 0

将每组权限的数值相加,得到一个八进制数字:

  • 读写执行 (rwx) = 4 + 2 + 1 = 7
  • 读写 (rw-) = 4 + 2 + 0 = 6
  • 读执行 (r-x) = 4 + 0 + 1 = 5
  • 只读 (r–) = 4 + 0 + 0 = 4

然后按顺序组合这三个八进制数字,分别代表所有者、组、其他人。

基本权限有多少种组合方式?
对于每种用户类型(u/g/o),都有读、写、执行三种权限,每种权限可以有或没有,所以有 2^3 = 8 种组合。对于三组用户,总共有 8 * 8 * 8 = 512 种基本权限组合。

数字模式示例:

  • 777:所有者、组、其他人都有读、写、执行权限 (rwxrwxrwx)。这是最开放的权限,通常不推荐用于敏感文件。
  • 755:所有者有读写执行,组和其他人只有读执行 (rwxr-xr-x)。常见于可执行文件和目录。
  • 644:所有者有读写,组和其他人只有读 (rw-r–r–)。常见于普通文件。
  • 600:只有所有者有读写权限 (rw——-)。常见于敏感配置文件。

示例:

  • myfile.txt的权限设置为-rw-r--r--(所有者读写,组和其他人只读): 
    chmod 644 myfile.txt
  • myprogram.sh的权限设置为-rwxr-xr-x(所有者读写执行,组和其他人读执行): 
    chmod 755 myprogram.sh
  • 递归地将mydirectory/及其所有内容的权限设置为755
    chmod -R 755 mydirectory/

3.4 权限的继承与默认权限:`umask`

在哪里可以配置默认权限?如何使用`umask`设置默认权限?
当创建一个新的文件或目录时,它会获得一组默认的权限,这些权限由系统的umask值决定。umask值是一个三位八进制数,它表示在创建文件时要“屏蔽”掉的权限。

  • 对于文件:最大默认权限是666(rw-rw-rw-)。
  • 对于目录:最大默认权限是777(rwxrwxrwx)。

实际创建文件或目录时的权限是其最大默认权限减去umask值。

查看当前的umask值:

umask

典型的umask值是00220002

  • 0022
    • 文件权限:666 - 022 = 644 (rw-r–r–)
    • 目录权限:777 - 022 = 755 (rwxr-xr-x)
  • 0002
    • 文件权限:666 - 002 = 664 (rw-rw-r–)
    • 目录权限:777 - 002 = 775 (rwxrwxr-x)

设置umask值(通常在.bashrc.profile或系统全局配置文件如/etc/profile/etc/bashrc中设置):

umask 002

这会使得新创建的文件默认为664,目录默认为775

umask值中的第一个0表示特殊权限,通常不设置,保持为0。

四、特殊权限:SUID、SGID、Sticky Bit

除了基本的读、写、执行权限,Linux还提供了一些特殊的权限位,它们能赋予文件或目录更强大的功能,但同时也需要更谨慎地使用,因为它们可能带来安全风险。

ls -l的输出中,这些特殊权限会显示在权限字符串的执行位上:

  • 如果所有者执行位是s,表示SUID已设置。
  • 如果组执行位是s,表示SGID已设置。
  • 如果其他人执行位是t,表示Sticky Bit已设置。
  • 如果原始执行位是-,但特殊权限被设置,则显示为大写的ST

如何设置特殊权限?chmod命令中使用四位数字模式,第一个数字就是特殊权限位。

  • SUID = 4
  • SGID = 2
  • Sticky Bit = 1

将这些值加到基本的3位八进制权限码之前。

4.1 SUID (Set User ID)

SUID是什么?怎么设置?作用和应用场景是怎样的?

  • 是什么: SUID是一个针对可执行文件的特殊权限。当一个设置了SUID位的文件被执行时,无论执行者是谁,该程序都将以文件所有者的权限(而不是执行者的权限)运行。
  • 怎么设置:
    • 符号模式:chmod u+s myprogram
    • 数字模式:chmod 4755 myprogram(将4加到常规权限前)
  • 作用: 允许普通用户执行某些需要更高权限(通常是root权限)的任务,而无需直接拥有root密码。
  • 应用场景:

    最经典的例子是/usr/bin/passwd命令。普通用户可以通过它修改自己的密码,但密码存储在只有root才能写入的/etc/shadow文件中。passwd命令就设置了SUID位,当用户执行它时,它会临时以root权限运行,从而能够写入/etc/shadow文件。

    ls -l /usr/bin/passwd
-rwsr-xr-x 1 root root 68208 May 12  2023 /usr/bin/passwd

    注意,s出现在所有者执行位rws上。

  • 安全风险: SUID程序如果编写不当,可能被恶意用户利用来提升权限,造成严重的安全漏洞。因此,应该谨慎使用SUID。

4.2 SGID (Set Group ID)

SGID是什么?怎么设置?作用和应用场景是怎样的?

  • 是什么: SGID有两种作用:
    • 对于可执行文件: 当一个设置了SGID位的文件被执行时,该程序将以文件所属组的权限运行,而不是执行者所属组的权限。
    • 对于目录: 在一个设置了SGID位的目录下创建的新文件或子目录,将自动继承该目录的所属组,而不是创建者的主要组。
  • 怎么设置:
    • 符号模式:chmod g+s myprogram (文件) 或 chmod g+s mydirectory/ (目录)
    • 数字模式:chmod 2755 myprogramchmod 2775 mydirectory/(将2加到常规权限前)
  • 作用:
    • 文件: 类似于SUID,用于赋予特定组的权限来执行任务。
    • 目录: 主要用于团队协作环境,确保在一个共享目录下创建的所有文件都属于同一个项目组,方便权限管理。
  • 应用场景:

    假设有一个项目组devs,他们的共享目录是/opt/project。为了确保所有组员在这个目录下创建的文件都自动属于devs组,可以将/opt/project目录设置SGID位:

    sudo chown root:devs /opt/project
sudo chmod 2775 /opt/project
ls -ld /opt/project
drwxrwsr-x 2 root devs 4096 Jan 1 10:00 /opt/project

    注意,s出现在组执行位rws上。

4.3 Sticky Bit (粘滞位)

Sticky Bit是什么?怎么设置?作用和应用场景是怎样的?

  • 是什么: Sticky Bit是一个主要针对目录的特殊权限。当一个目录设置了Sticky Bit,该目录下的文件只有其所有者、目录所有者或root用户才能删除或重命名,即使其他用户对该目录有写权限。
  • 怎么设置:
    • 符号模式:chmod o+t mydirectory/
    • 数字模式:chmod 1777 mydirectory/(将1加到常规权限前)
  • 作用: 防止共享目录中的文件被非所有者删除或修改名称。
  • 应用场景:

    最典型的例子是/tmp目录。/tmp是系统上所有用户都可以写入的临时文件目录。如果没有Sticky Bit,任何用户都可以删除或重命名其他用户创建在/tmp下的文件,这显然是不可接受的。

    ls -ld /tmp
drwxrwxrwt 12 root root 4096 Nov 15 10:00 /tmp

    注意,t出现在其他人执行位rwt上。

五、高级权限管理:ACL (Access Control List)

5.1 ACL是什么?为什么需要?

ACL(Access Control List)是什么? ACL是Linux系统提供的一种更细粒度的权限管理机制,它允许你为文件或目录设置除所有者、所属组、其他人之外的额外用户和组的权限。

为什么需要ACL?

  • 基本权限的局限性: Linux的基本权限模型(所有者、组、其他人)无法满足某些复杂的权限需求。例如,你可能需要让用户A对文件有读写权限,用户B只有读权限,而用户C和D则完全禁止访问,但他们都属于同一个组,且该组的其他成员也需要访问。这时,传统的组权限就无法实现这种精细控制。
  • 更灵活的权限分配: ACL可以为任意数量的用户或组分配独立的读、写、执行权限,打破了三组权限的限制。

并非所有文件系统都支持ACL,常见的如Ext3/4、XFS等都支持。在使用前需要确保文件系统已挂载并启用了ACL选项。

5.2 查看ACL:`getfacl`

如何使用`getfacl`管理ACL? 使用getfacl命令可以查看文件或目录的ACL规则。

`getfacl`命令语法:

getfacl [文件或目录]

示例:

getfacl myfile.txt
# file: myfile.txt
# owner: john
# group: devs
user::rw-
group::r--
other::r--

这表示文件myfile.txt没有特殊的ACL规则,权限与ls -l显示的基本权限一致。

如果存在ACL规则,输出会包含额外的user:name:permsgroup:name:perms行,并且会有一个mask行。

5.3 设置ACL:`setfacl`

如何使用`setfacl`管理ACL? 使用setfacl命令来添加、修改或删除ACL规则。

`setfacl`命令语法:

setfacl [选项] [文件或目录]

常用选项:

  • -m:修改或添加ACL规则。
  • -x:删除ACL规则。
  • -b:删除所有ACL规则(只保留基本权限)。
  • -R:递归地对目录及其内容应用ACL规则。
  • -d:设置目录的默认ACL规则(新创建的文件/子目录会继承)。

规则格式:

  • u:[用户名]:[权限]:为特定用户设置权限。
  • g:[组名]:[权限]:为特定组设置权限。
  • o::[权限]:为其他人设置权限(通常与基本权限相同)。
  • m:[权限]:设置mask权限(最大有效权限)。

设置ACL示例:

  • 给用户alicemyfile.txt添加读写权限: 
    setfacl -m u:alice:rw myfile.txt
  • 给组testersmydirectory/添加读执行权限: 
    setfacl -m g:testers:rx mydirectory/
  • 递归地为目录/project/data设置用户bob的读写权限: 
    setfacl -R -m u:bob:rw /project/data
  • 为目录/project/shared设置默认ACL,使得新创建的文件和子目录自动给用户dev_lead读写权限: 
    setfacl -m d:u:dev_lead:rw /project/shared

5.4 ACL与基本权限的优先级

ACL与基本权限发生冲突时,优先级是怎么样的?
当文件或目录同时拥有基本权限和ACL规则时,权限的判定顺序如下:

  1. 所有者权限: 如果进程的用户ID与文件所有者ID匹配,则应用所有者权限。ACL中的特定用户规则不会覆盖文件所有者的基本权限。
  2. 特定用户ACL: 如果进程的用户ID与某个ACL规则中指定的特定用户匹配,则应用该ACL规则。
  3. 特定组ACL: 如果进程的用户ID不匹配文件所有者或特定用户ACL,但用户属于某个ACL规则中指定的特定组,则应用该ACL规则。
  4. ACL Mask (掩码): mask是ACL中一个非常重要的概念。它定义了可以赋予任何特定用户或特定组的最大有效权限。最终生效的特定用户或特定组ACL权限是其自身权限与mask权限的逻辑与(AND)结果。如果mask被设置为r-x,即使某个特定用户ACL规则设置为rwx,该用户也只能获得r-x权限。基本组和其他人权限也受到mask的影响。
  5. 所属组权限: 如果进程的用户ID不匹配文件所有者、特定用户ACL,也不属于任何特定组ACL,但用户属于文件所属组,则应用文件所属组的基本权限(并受到mask的限制)。
  6. 其他人权限: 如果以上所有都不匹配,则应用其他人的基本权限。

简而言之:特定用户ACL > 特定组ACL > 文件所属组权限 > 其他人权限。且所有特定用户/组ACL权限以及基本组权限都会受到mask的限制。

5.5 删除ACL规则

如何删除ACL规则?

  • 删除用户alicemyfile.txt的ACL规则: 
    setfacl -x u:alice myfile.txt
  • 删除组testersmydirectory/的ACL规则: 
    setfacl -x g:testers mydirectory/
  • 删除所有扩展ACL规则,只保留基本权限: 
    setfacl -b myfile.txt

六、目录权限的特殊性与文件删除权限

6.1 目录权限的特殊性

目录权限与文件权限的执行方式有何不同? 对于文件,执行权限x意味着可以运行程序。但对于目录,x权限意味着可以“进入”该目录(cd命令)和访问其内部的文件和子目录(前提是你有读权限)。

  • r (读) 对目录:允许列出目录内容(`ls`)。
  • w (写) 对目录:允许在目录中创建、删除、重命名文件和子目录。
  • x (执行) 对目录:允许进入目录和访问目录内的文件(需要与rw结合使用)。

一个常见的误解是:如果想访问目录下的某个文件,只需要对文件本身有读权限即可。实际上,你必须对从根目录到该文件的整个路径上的所有目录都有执行权限。

6.2 删除文件或目录需要哪些权限?

删除文件或目录需要哪些权限? 这是一个非常重要的细节,经常导致混淆:

  • 要删除一个文件,你不需要对文件本身有写权限或执行权限。你只需要对该文件的父目录写 (w) 和执行 (x) 权限
  • 要删除一个目录,你必须对该目录的父目录写 (w) 和执行 (x) 权限,并且该目录本身必须是空的(除非使用rm -r递归删除)。

示例: 假设用户john想要删除/home/user/project/data.txt

  • 如果john/home/user/project/目录有wx权限,即使data.txt的权限是-r--r--r--(只读),john仍然可以删除data.txt
  • 如果johndata.txtrw-权限,但对/home/user/project/目录只有r-x权限(无写权限),那么john将无法删除data.txt

这个规则的逻辑在于,文件/目录的删除和重命名操作实际上是修改了其父目录的目录项,而不是修改文件/目录本身的内容。

七、总结与最佳实践

Linux权限管理是一个强大且灵活的系统,理解并正确运用它是系统安全和稳定运行的关键。通过对基本权限、特殊权限以及ACL的深入掌握,你可以构建一个既安全又易于管理的Linux环境。

一些最佳实践:

  1. 最小权限原则: 永远只赋予用户和进程完成任务所需的最小权限。避免使用777666这样的开放权限,除非确实需要。
  2. 定期审计: 定期检查文件和目录的权限,特别是那些关键系统文件和敏感数据。
  3. 利用组管理: 使用组来管理对共享资源的访问,而不是为每个用户单独设置权限,这样更易于管理。
  4. 谨慎使用特殊权限: SUID和SGID虽然方便,但也可能带来安全风险。仅在必要且代码经过严格审查时使用它们。
  5. 理解`umask`: 配置一个合理的umask值,确保新创建的文件和目录具有默认的安全权限。
  6. 利用ACL进行细粒度控制: 当基本权限无法满足需求时,果断使用ACL来为特定用户或组提供精确的访问控制。
  7. 警惕目录写权限: 目录的写权限非常强大,可以允许用户删除或创建文件。要特别小心赋予公共目录写权限。

熟练掌握这些知识点和技巧,将使你在Linux系统管理中更加游刃有余。

linux权限管理