一  檔案和目錄的許可權

（1）檢視檔案和目錄的相關資訊

       ls ：list

-a 列出目錄下的所有檔案，包括以.開頭的隱含檔案(all)--->常用
-A 列出目錄下的所有檔案(包括隱藏檔案但不包括.和..目錄)
-b 把檔名中不可輸出的字元用反斜槓加字元編號(就象在C語言裡一樣)的形式列出。
-c 輸出檔案的 i 節點的修改時間，並以此排序
-d 僅列出目錄本身(目錄像檔案一樣顯示)，而不顯示其下的檔案(directory)
-e 輸出時間的全部資訊，而不是輸出簡略資訊。
-f  對輸出的檔案不排序(預設的)
-F p根據檔案目錄資訊給予附加的資料結構(*-->可執行檔案；/-->代表目錄；=-->代表socket檔案；|-->FIFO檔案；@-->符號連結)
-h

  將檔案容量以GB、KB、M等形式列出來-----> db -sh(顯示檔案的大小)
-i   輸出檔案的 i 節點的索引資訊。
-k  以 k 位元組的形式表示檔案的大小。
-l   列出檔案的詳細資訊(檔案的屬性和許可權等)。
-m 橫向輸出檔名，並以“，”作分格符。
-n  用數字的 UID,GID 代替名稱。
-o  顯示檔案的除組資訊外的詳細資訊(同 U)
-r   將結果反向輸出(reverse)
-R 連同子目錄的內容一併列出來，該目錄下的所有檔案都會顯示出來
-S 以檔案的容量排序(size)
-t   按時間排序

補充：-L 列出連結檔案名而不是連結到的檔案

小技巧：ll等價與ls -l 引申

------>bash shell的alias(別名)功能

功能分類：排序輸出等

後續：檔案的過濾(涉及正則表示式)

思考：問什麼我們可以在任意使用者下的任意目錄下執行命令(eg：/bin/ls命令)？

解答：類比Java中要設定java和javac的命令一樣，需要將命令加到系統的環境變數路徑中！

執行邏輯：系統首先會從當前目錄查詢該命令，如果沒有則從系統路徑變數(PATH)中去查詢！

需求1：在不同的使用者下列出查詢的路徑

測試：echo(顯示、打印出) $PATH(大寫)------>結果由一堆目錄組成

說明：二者目錄有區別，但是二者都有共性的地方(PATH下都有/bin

目錄)，這也是思考的回答！

思考：如果PATH中有多個相同的命令(目錄結構不一樣),哪個命令先執行------>順序(誰先被查詢)

需求2：上面我們知道某些命令的目錄不在PATH中，但是我們還想執行此條命令怎麼辦?

首先先進行判斷：

如果許可權允許：通過絕對路徑去執行該命令

如許可權不允許：則啟用超級使用者即可---(超級使用者root--->visudo--->99行編輯相應的配置檔案--->切換普通使用者去執行 sudo命令)

################
####檔案許可權####
################

二 許可權資訊

(1)引入

執行：touch 4.c ------> ls -al------>展現如下的資訊：

################
####檔案許可權和屬性####
################

####1.檔案屬性的檢視####

執行命令：ls -l filename
-   |  rw-r--r-- | 1 | root| root|  46  | Mon 1 05:03 |filename
—|————|—|——|——|——|——————|————| 
1         2         3    4      5        6            7                    8

1."-"表示檔案型別
-     ##普通檔案(各種型別的--->常用)
d    ##目錄(常用)
c    ##字元裝置
s    ##套接字
p    ##管道
b    ##快裝置
l     ##連線(軟--->常用)

2."rw-r--r--":檔案讀寫許可權
rw-  |  r--  |   r--
 *        $      @

說明：*所有人的許可權------$所有組對其操作的許可權[email protected]其他人的許可權

3."1(number)":連線數的含義---->好好體會

對檔案：檔案內容被系統記錄的次數
對目錄：目錄中(限定)檔案屬性的位元組數

4."root":檔案所有人(並不一定最初由其建立就屬於他，理解為房子的買賣,易主了)

5."root":檔案所有組

6."46":檔案內容的大小(預設單位是B)

7."Oct  1 05:03":檔案最後一次被修改的時間（內容變化）

8."filename":檔名字

2.改變檔案的許可權和屬性(歸屬)

(1)屬性的改變------>檔案所有人所有組的管理####

理解上：ch:change;own:owner;grp:group

chown     username(賬戶名稱)           file|dir       ##更改檔案或目錄的所有者(類似於讓檔案的歸屬易主,相當於建立檔案時指定)
chown     username{.,:}groupname    file|dir       ##更改檔案的所有者和所屬組---->推薦":"來隔開
chown     -R username                           dir          ##更改目錄(針對)本身及裡面所有內容的所有人(username)
chgrp      -R groupname(組名)              dir          ##更改目錄(針對)本身及裡面所有內容的所有組(groupname)

說明：一旦屬性改變，因為許可權是相對於檔案(目錄)所有者和所屬組而言，屬性的改變結果是------>擁有許可權去操作檔案或目錄

測試：------>監控命令：watch -n 1 ls -lR /mnt

(2)改變檔案普通許可權

許可權：rw-r--r--

u：檔案所有人對檔案可以讀寫(前三個)
g：檔案組成員對檔案可讀(中間三個含義)
o：其他人對檔案可讀---->好好體會(其他人是相對於該使用者組的人，不是相對於該使用者的人)
u優先匹配，g次優先，o當{u、g}不匹配時匹配

說明：這裡暫時不討論檔案和目錄的許可權意義，僅討論許可權的修改

細化：cp 和 mv的許可權說明(後續)

更該許可權的方式：數字型別和符號型別

  1)數字型別改變檔案的許可權(二進位制---常用)

語法：chmod 【-R(目錄遞迴許可權修改)】三位數字(順序對應ugo許可權修改) 檔案或目錄

說明1：【..】表示非必須的引數，這裡主要是針對目錄裡面內容的修改

說明2：許可權與數字的影射關係(r--->4；w-->2；x-->1)---->每一位(u\g\o)的許可權是三個數字的類加和

舉例：775------>(4+2+1)(4+2+1)(4+0+1)------>(u=rwx)(g=rwx)(o=r-x)

需求：檔案的許可權改變成所有人所屬組其他人都是隻讀

測試：chmod 444 filename

  2)符號型別改變檔案的許可權

語法：chmod 【-R】 {u,g,o,a}  {+,-,=}  {rwx} file|dir

特殊說明：a(表示三者)、+(表示新增許可權)、-(表示去掉許可權)、=(表示設定)

需求1：想讓一個使用者擁有檔案的執行權，但是卻不知道該檔案原本的許可權，就可以利用此

測試：chmod a+x filename------>前提是有進入該目錄的許可權，即目錄的許可權是x

需求2：讓檔案所有者有讀寫的許可權，檔案所屬組和其他人只有讀的許可權

測試(簡寫形式)：chmod u=rw,go=r filename

等價形式(原生)：chmod u=rw-,g=r--,o=r-- filename

注意1：ugr以逗號隔開

檔案所屬組概念：是以檔案所屬使用者所在的使用者組(主)

理解上：覆蓋原來的許可權

注意2：對於-如果其本身就沒有許可權則無效，對於+如果其本身就有該許可權則無效

補充：

chmod u-x              file1        ##file1擁有者去掉x許可權
chmod g+w            file1        ##file1擁有組新增w許可權
chmod u-x,g+w      file1        ##file1擁有者去掉x權，file1擁有組新增w許可權
chmod ugo-r          file2        ##file2的使用者組其他人去掉r許可權
chmod ug+x,o-r     file3        ##file3使用者和組新增x許可權，其他人去掉r許可權
chmod a+(-){r|w|x} file4        ##file4使用者和使用者組其他組全部進行相應的修改

(3)目錄和檔案許可權的意義

引入：上面做了那麼多操作，我們已經初步掌握了修改檔案屬性和許可權的操作，但是對於檔案的和目錄的rwx你真正瞭解的含義嗎？而檔案和目錄的許可權又有哪些區別呢？

分兩步走：許可權對檔案的重要性以及許可權對目錄的重要性

1）許可權對檔案的重要性

   檔案的種類：一般文字檔案、資料庫的檔案、二進位制的可執行檔案(指令碼檔案--程式)等

   我們知道檔案存在的目的：主要是儲存資料的,儲存資料後總得檢視(正確不),有時是不是還得修改,有的檔案還需要被系統執行。

注意：系統肯定會盡最大的努力保護系統的穩定性,即對於自定義的檔案總是限制其執行許可權,以免導致檔案執行導致系統崩潰，這也是umask系統對檔案許可權限制的由來(後續再講)！

 r(read)：可以讀取此檔案的內容------>常用命令{cat,less,more,head,tail等}------前提：得進入檔案所在的目錄中

 w(write)：對檔案內容的操作(編輯、寫入、新增、修改)----->注意：不包含刪除檔案----->著眼點(檔案的內容)

 x(execute)：該檔案具有能被系統執行的許可權

 x細化：一個檔案是否具有執行能力不是通過"副檔名"來判斷的，要區別於Windows

 判斷Linux下檔案是否能被執行：看否具有的"x"許可權來決定的，跟檔名沒有絕對的關係

 說明：雖然二者沒有必然的聯絡，但為了見名知意，通常都以檔案的字尾名來表明檔案相應的型別,例如：.{c,java,php,py}等

2）許可權對目錄的重要性

引入：我們知道檔案的主要作用是存放資料，那目錄的主要作用是幹什麼的？------>

目錄的主要作用：展示目錄內容的，那目錄的主要內容是什麼呢？------>

目錄的主要內容是記錄檔名(目錄)的列表

分析：rwx對目錄的影響

r(read contents in directory)：表示有讀取目錄結構列表的許可權(即：可以查詢目錄下檔案和目錄的資訊)------>相應的命令 ls

w(modify contents in directory)：表示具有更改('編輯')目錄內容的許可權，即目錄內容發生變化，那麼內容發生變化的情況如下：

1）新建檔案和目錄(是在當前目錄下，不包含當前目錄下在子目錄中新建檔案和目錄,如果要完成後者，看子目錄的許可權了)

2）刪除已存在的檔案和目錄(注意：不管子目錄下是否有內容也會一併幹掉,需要遞迴刪除嗎？)----->稍後實驗測試下--->

3）重新命名已存在的檔案或目錄----->這個不好理解

4）移動該目錄的檔案和目錄------> mv

思考：目錄內容發生變化的含義？？？

x(access directory)：表示的是使用者是否能進入該目錄，使該目錄成為工作目錄---->相關命令(cd )

舉例：小明對某個檔案具有可執行的許可權，但是對檔案所屬的目錄沒有執行許可權，無法進入，只能望而興嘆！

換句話說：對檔案操作的前提是進入檔案

思考：檔案或目錄的許可權下可以幹什麼？------->儘可能利用一些許可權來完成目標需求！

(4)系統預設許可權的設定

需求上分析：從系統安全形度來說，開放權力越少，系統安全性越高，所以系統設定新建檔案或目錄會預設減掉一些許可權

說明：不同的使用者登陸下預設的許可權不同

(1)超級使用者(本來許可權比較大，系統會制約的狠些)：
umask值預設是0022(減去的許可權),建立的目錄的許可權(755),建立檔案的許可權[644，預設滿許可權是(666)]

(2)普通使用者(本來許可權比較小，系統會制約的一般)：
umask值預設是0002(減去的許可權),建立的目錄的許可權(775),建立檔案的許可權[664，預設滿許可權是(666)]

共性：系統分配檔案的預設滿許可權是666(剪掉了執行權，最大限度的保證了系統的安全性！)

執行流程：先判斷型別(是檔案還是目錄)----->再根據使用者的級別(一般還是超級)減去相應的umask----->得到檔案或目錄的最終許可權

umask含義：使用者預設減去的許可權(umask的注意事項！！！！！！！)

需求1：檢視使用者的umask的系統預設剪掉的許可權------>umask

需求2：臨時設定(更改)使用者的umask ------>umask 077------>特點：只當前shell中生效

需求3：永久設定方式(不建議)------>修改配置檔案------>vim /etc/bashrc        ##shell指令碼

：set nu------>：70行顯示如下的資訊------>修改配置檔案------>：wq儲存退出

 70     if [ $UID -gt 199 ] && [ "`id -gn`" = "`id -un`" ]; then
 71        umask 002    ##普通使用者umask
 72     else
 73        umask 077    ##超級使用者umask                                                                      
 74     fi

同時修改配置檔案：vim /etc/profile (系統配置檔案)--->第59行

 59   if [ $UID -gt 199 ] && [ "`id -gn`" = "`id -un`" ]; then
 60       umask 002       ##普通使用者umask
 61   else
 62       umask 077       ##超級使用者umask                                                                                         
 63   fi

注意：以上兩個配置檔案的umask設定值必須保持一致，否則

設定立即生效：source /etc/bashrc、source /etc/profile

注意：在root下修改配置檔案

(5)特殊許可權

引入：我們發現 /tmp 以及 /usr/bin/passwd的許可權有些奇怪？

測試1：ls -ld /tmp

     結果：drwxrwxrwt. 16 root root 4096 Jul 30 03:24 /tmp--------------------------------------------->目錄上

測試2：ls -l /usr/bin/passwd

     結果：-rwsr-xr-x. 1 root root 27832 Jan 30  2014 /usr/bin/passwd------------------------------->檔案上

思考：不是隻有r、w、x嗎？這些特殊許可權的(s、t)的含義是什麼?

明確：這兩個許可權的意義與系統的帳號以及系統的程序有關，後續會討論！

情景模擬：Linux系統下所有的賬戶的密碼都記錄在/etc/passwd這個檔案中------1>這個檔案的許可權是 -r---------1 root root------2>意思：這個檔案僅有root可讀且僅有root使用者可以強制寫入------3>思考：一般賬戶能否自行修改自己的密碼？

發現：當然可以修改密碼------>思考：內在機理呢？為什麼沒有衝突呢？

原因：SUID的功能------>引出：什麼是SUID?

概念：當s標誌出現在檔案(限定1)所有者(限定2)的x許可權中(限定3)時,是冒險位，此時就被稱為Set UID，簡稱SUID的特殊許可權！

疑問：SUID許可權對於一個檔案的特殊功能是什麼？基本上SUID有這樣的限制和功能：

**************************************************************************************************

(1)SUID許可權僅對二進位制程式(具有s屬性的命令)有效；------>什麼叫做二進位制程式？

(2)執行者對於該程式需要有x的可執行許可權；---->才能開啟此命令(注意：暫時還不能用此命令幹活)

(3)本許可權(SUID)僅在執行過程中(run-time)生效；---->什麼叫做執行過程中？

(4)執行者具有該程式所有者(owner----user)的許可權(類似於繼承許可權)<------具備的功能

**************************************************************************************************

案例分析(來自上面的情景模擬)：命令------>passwd /tmp

素材：

drwxrwxrwt. 16 root root 4096 Jul 30 03:24 /tmp

-rwsr-xr-x. 1 root root 27832 Jan 30  2014 /usr/bin/passwd

(1)首先/etc/passwd是一個二進位制程式---->SUID許可權對此二進位制檔案有效------>滿足第一個條件

(2)執行者(student)對於該程式(passwd)有x的可執行許可權(判斷：student屬於其他人,即對應o的屬性有x)------>滿足第二個條件

(3)student在執行的過程中會臨時(暫時)的獲取root的許可權(相當於此時是root使用者登陸)---->對照該檔案的root許可權----->student使用者具有w許可權(可以修改此檔案)

注意：SUID僅作用於二進位制程式，不能夠在shell script 中，且SUID對目錄無效。

SUID的目的就是：讓本來沒有相應許可權的使用者執行這個程式時，可以訪問他沒有許可權訪問的資源。

設定方式：
chmod u+s file
知識點：suid=4
chmod 4xxx file

----------------------

SGID的概念：當s標示在使用者組的x使則稱之為Set GID,簡稱SGID#強制位

特點：針對檔案和目錄來設定

(1)針對檔案功能如下：

    1)SGID屬性對二進位制程式(具有SGID的許可權)有效；------->要不然還無法在二進位制程式中賦予SGID屬性

    2)程式執行者對於該程式來說具備x許可權；首先判斷與程式所屬者是不是同一組(1),是的話看g許可權,(2)不是的話看其他人的許可權o

    3)執行者(其它使用者)在(用這個SGID許可權的命令)執行的過程中將會獲得該程式使用者組(group)的支援！<-具備的功能

舉例：用 /usr/bin/locate 這個程式(二進位制命令)去ll查詢 /var/lib/mlocate/mlocate.db這個檔案

/usr/bin/locate許可權和屬性說明：                          -rwx--s--x 1 root slocate------>SGID許可權(二進位制程式)

/var/lib/mlocate/mlocate.db屬性和許可權的說明：-rw-r-----  1  root slocate------>

命令：locate  /var/lib/mlocate/mlocate.db

結果：student獲取了locate使用者組的支援(相當於是slocate使用者組的使用者登陸),該使用者組(slocate)對mlocate.db許可權是r--,即能夠讀取mlocate.db。

過程分析：省略

(2)針對目錄功能如下(常見)：

    1)使用者若對此目錄具有r和w的許可權(6)，該使用者能夠進入此目錄；------>前提是檢視目錄的許可權來判斷

    2)使用者在此目錄下的有效使用者組(effective group)將會變成該目錄的使用者組；不修改使用者組預設還是使用者<----結果(臨時的嗎？)

            id studnet ------>檢視使用者進入該目錄後(前提)，有效使用者組是否改變(進入前和進入後對比)！

    3)若使用者在此目錄下具有w的許可權(表明可以建立檔案)，則使用者所建立的檔案的使用者組與此目錄的使用者組相同

模擬場景：/tmp/hello/ ------>目錄的許可權： rw-r-srw- root root  -------->使用者是student(預設id student---> student student)

分析：student對此hello目錄具有rw的許可權(others判斷)------>student可以進入/hello目錄(雖然此目錄)----> id student------>

------>student root (有效使用者組由studnet變成root)------>表明student此時也是root組的成員------>具有root組的屬性(看目錄中root組

具備對目錄的屬性操作)------>看root組對目錄是否有write許可權(是否可以建立)

有效使用者組：表示使用者此時此刻所在的使用者組是什麼；有些同學會問“難道使用者所在的使用者組還會來回來去的變麼？”。答案是肯定的。這都是newgrp命令搞得鬼，它可以幫助使用者轉換到不同的使用者組。比如newgrp group123，就可以讓使用者轉換到group123使用者組了。請注意：這種轉換的背後原理是“建立一個新的子shell”，恢復到原來使用者組的方法是 用exit或ctrl-D來登出當前的shell。好了，說結論吧：有效使用者組就是用newgrp命令所切換到的使用者組。（當然，如果你一次也沒有使用newgrp命令，那麼有效使用者組就是初始使用者組嘍）當然，你可以用groups命令來列出當前使用者所支援的所有使用者組。（在有些系統中，第一個列出的就是有效使用者組，但有些系統並不這麼做）還有一點應該注意，就是當你建立一個檔案時，此檔案的所屬使用者組就是建立人當前的有效使用者組。

思考：如何檢視使用者的有效使用者組？

應用場景：專案開發中，涉及到使用者組許可權的問題！

說明：條件苛刻，只有在特定的環境下才生效！

思考：強制寫入的前提！

-----------------------------------------------------

SBIT(Sticky Bit)目前只針對目錄有效，針對others來設定，表示粘滯位，對目錄的作用：

(1)當用戶對目錄具有x,w許可權,即具有寫入的許可權；---->x(表示進入目錄)，w(操作目錄的內容)

(2)當用戶在此目錄下建立檔案或者目錄時，僅有自己和root使用者有權利刪除該檔案；

命令：ls -ld /tmp/------>student使用者執行

結果：drwxrwxrwt. 16 root root 4096 Jul 30 08:50 /tmp/

分析：最具有代表的就是/tmp目錄，任何人都可以在/tmp內增加、修改檔案（因為許可權全是rwx），但僅有該檔案/目錄建立者與

root能夠刪除自己的目錄或檔案。

小結：SUID/SGID/SBIT------>針對檔案(f)所有者(u)、檔案(f)或目錄(d)的所屬使用者組(g)、目錄(d)的其它組(o)有效

補充：SUID(4<--->s)/SGID(2<-->s)/SBIT(1<-->t)的許可權設定，原來的許可權是3位---->現在需要四位,首位是三者的特殊許可權的累加和

4755的等價形式(數字)<------>u=rwxs,g=r-x,o=r-x(符號)

1755的等價形式<------>u=rwx,g=r-x,o=r-t

實驗：chmod 7666 test；ll test----->此時u、g、o都沒有x的可執行許可權標示？7------sst

現象：大寫T和S出現的原因？------>代表空的意思

原因：SUID表示該檔案在執行的時候具有檔案擁有者的許可權,但是檔案擁有者都無法執行了，哪裡來的許可權給其他人使用！

回顧：這也就解釋了umask為什麼是4位，第一位是特殊許可權！

------------------------------------------------

acl：access control list

作用：指定特殊使用者對特殊檔案有特殊許可權，涉及到貼上位

drwxrwx---+ 2 root root 17 Jul 18 01:39 /westos/
      ^
   表示/westos目錄時有許可權列表

getfacl  /westos/

# file: westos/        ##檔名稱
# owner: root        ##檔案所有人
# group: root        ##檔案所有組
user::rwx        ##擁有者許可權
user:student:rwx    ##特殊使用者許可權
group::---        ##組許可權
mask::rwx        ##許可權掩碼
other::---        ##其他人許可權

注意：當檔案上有許可權列表時，ls -l 能看到的許可權是假的

2設定acl列表

###設定##
setfacl -m <u|g>:<username|groupname>:許可權    檔案|目錄
-m    #設定
u    #使用者
g    #組

##刪除列表中的使用者或者組####
setfacl -x <u|g>:<username|groupname>    檔案|目錄

##關閉列表
setfacl -b 檔案|目錄    

###acl mask值###

1.mask    許可權掩碼
mask用來標實能夠賦予使用者最大許可權
當用chmod改變檔案普通許可權時可能會被破壞
修復

setfacl -m student:rwx 檔名稱

####acl 預設許可權######

acl:access control list(訪問控制列表)

需求1：某個"目錄"對於student可寫，並且目錄中新建的子目錄對student也可寫，就要設定預設預設許可權

注意：預設許可權只對目錄中新建立的(檔案或者目錄)生效，對已經建立的檔案無效,對於"目錄本身"也無效

setfacl -m d:u:student:rwx  /westos（表示root使用者下特定目錄,當studnet使用者時給與它賦予的VIP許可權）

需求2：關閉對某個使用者的VIP

setfacl -b file(root登陸下修改)

注意：必須是在root使用者的授權下

需求3：檢視訪問修改後的列表(root下)

getfacl 檔名(前提是設定了！)

-----------------------------------------------------------------

####6.特殊許可權####
1.suid    ##冒險位

說明：針對二進位制可執行檔案
特點：檔案內記錄的程式產生的程序的所有人為檔案所有人和程序發起人身份無關

需求1：
設定方式：
chmod u+s file
suid=4
chmod 4xxx file

2.sgid    ##強制位

(1)對檔案:

特點：只針對二進位制可執行檔案，任何人執行二進位制檔案程式時程式產生的程序的所有組都是檔案的所有組和程式發起人組的身份無關

(2)對目錄:

當目錄有sgid許可權後，目錄中新建的所有檔案的所有組,都自動歸屬到目錄的所有組之中,和檔案建立者所在的組無關實驗
設定方式：

chmod g+s file|dir
sgid=2
chmod 2xxx file|dir
    
3.sticky    ##粘制位
t許可權：
特點：只針對與目錄,當一個目錄上有t許可權，那麼目錄中的檔案只能被檔案的擁有者刪除，即使檔案所屬的目錄是滿許可權！

設定方式：
chmod  o+t direcotry
t=1
chmod 1777 direcotry

###end###