Linux文件权限和ACL管理命令和技巧#

文件权限和ACL概述#

文件权限是Linux系统中保护文件和目录安全的重要机制，它控制着用户对文件和目录的访问权限。ACL（Access Control List，访问控制列表）是对传统文件权限的扩展，允许更细粒度的权限控制。本文将介绍Linux系统中常用的文件权限和ACL管理命令和技巧，帮助系统管理员更高效地管理文件权限和访问控制。

传统文件权限#

文件权限的表示#

Linux系统中，每个文件和目录都有9个权限位，分为3组，每组3位，分别表示所有者（owner）、所属组（group）和其他用户（others）的权限。

r（读取权限）：允许读取文件内容或列出目录内容
w（写入权限）：允许修改文件内容或在目录中创建、删除文件
x（执行权限）：允许执行文件或进入目录

文件权限的数字表示#

文件权限可以用数字表示，每个权限对应一个值：

r：4
w：2
x：1

将每组权限的值相加，得到一个三位数的数字，例如：

755：所有者有rwx权限，所属组和其他用户有rx权限
644：所有者有rw权限，所属组和其他用户有r权限
700：所有者有rwx权限，所属组和其他用户没有权限

文件权限的查看#

1
# 查看文件权限
2
ls -l file.txt
3

4
# 查看目录权限
5
ls -ld directory/
6

7
# 查看详细权限（包括ACL）
8
ls -le file.txt
9

10
# 查看所有文件和目录的权限
11
ls -la directory/

文件权限的修改#

chmod命令#

chmod命令用于修改文件和目录的权限。

1
# 使用符号模式修改权限
2
chmod u+r file.txt  # 给所有者添加读取权限
3
chmod g-w file.txt  # 移除所属组的写入权限
4
chmod o+x file.txt  # 给其他用户添加执行权限
5
chmod a+r file.txt  # 给所有用户添加读取权限
6
chmod u=rwx,g=rx,o=r file.txt  # 设置所有者为rwx，所属组为rx，其他用户为r
7
chmod +x file.txt  # 给所有用户添加执行权限
8
chmod -w file.txt  # 移除所有用户的写入权限
9

10
# 使用数字模式修改权限
11
chmod 755 file.txt  # 设置权限为rwxr-xr-x
12
chmod 644 file.txt  # 设置权限为rw-r--r--
13
chmod 700 file.txt  # 设置权限为rwx------
14

15
# 递归修改目录权限
16
chmod -R 755 directory/  # 递归设置目录及其内容的权限为rwxr-xr-x
17
chmod -R +x directory/  # 递归给目录及其内容添加执行权限
18

19
# 修改目录的执行权限（不影响文件）
20
find directory/ -type d -exec chmod +x {} \;

chown命令#

chown命令用于修改文件和目录的所有者。

1
# 修改文件所有者
2
chown username file.txt
3

4
# 修改文件所有者和所属组
5
chown username:group file.txt
6

7
# 递归修改目录所有者
8
chown -R username directory/
9

10
# 递归修改目录所有者和所属组
11
chown -R username:group directory/
12

13
# 只修改所属组（使用chgrp命令更简单）
14
chown :group file.txt

chgrp命令#

chgrp命令用于修改文件和目录的所属组。

1
# 修改文件所属组
2
chgrp group file.txt
3

4
# 递归修改目录所属组
5
chgrp -R group directory/
6

7
# 使用参考文件的所属组
8
chgrp --reference=reference_file file.txt

特殊权限#

SUID权限#

SUID（Set User ID）权限允许用户以文件所有者的身份执行文件，常用于需要特权的命令，如passwd。

1
# 设置SUID权限
2
chmod u+s file.txt
3
chmod 4755 file.txt  # 数字表示，4表示SUID
4

5
# 移除SUID权限
6
chmod u-s file.txt
7
chmod 0755 file.txt
8

9
# 查看SUID文件
10
find / -perm -4000 -type f 2>/dev/null

SGID权限#

SGID（Set Group ID）权限允许用户以文件所属组的身份执行文件，或在目录中创建的文件继承目录的所属组。

1
# 设置SGID权限
2
chmod g+s file.txt
3
chmod 2755 file.txt  # 数字表示，2表示SGID
4

5
# 移除SGID权限
6
chmod g-s file.txt
7
chmod 0755 file.txt
8

9
# 查看SGID文件
10
find / -perm -2000 -type f 2>/dev/null
11

12
# 查看SGID目录
13
find / -perm -2000 -type d 2>/dev/null

Sticky Bit权限#

Sticky Bit权限用于目录，确保只有文件所有者、目录所有者或root用户可以删除目录中的文件，常用于/tmp目录。

1
# 设置Sticky Bit权限
2
chmod +t directory/
3
chmod 1777 directory/  # 数字表示，1表示Sticky Bit
4

5
# 移除Sticky Bit权限
6
chmod -t directory/
7
chmod 0777 directory/
8

9
# 查看设置了Sticky Bit的目录
10
find / -perm -1000 -type d 2>/dev/null

ACL（访问控制列表）#

ACL的概念#

ACL是对传统文件权限的扩展，允许为特定用户或组设置更细粒度的权限，而不仅限于所有者、所属组和其他用户。

ACL的安装#

1
# 检查系统是否支持ACL
2
grep ACL /boot/config-$(uname -r)
3

4
# 安装ACL工具（Debian/Ubuntu）
5
sudo apt install -y acl
6

7
# 安装ACL工具（RHEL/CentOS）
8
sudo yum install -y acl
9

10
# 挂载文件系统时启用ACL
11
# 编辑/etc/fstab文件，添加acl选项
12
# /dev/sda1 / ext4 defaults,acl 0 1
13

14
# 重新挂载文件系统以启用ACL
15
sudo mount -o remount,acl /

ACL的基本操作#

getfacl命令#

getfacl命令用于查看文件和目录的ACL。

1
# 查看文件的ACL
2
getfacl file.txt
3

4
# 查看目录的ACL
5
getfacl directory/
6

7
# 递归查看目录及其内容的ACL
8
getfacl -R directory/
9

10
# 查看ACL并忽略默认ACL
11
getfacl -n file.txt
12

13
# 查看ACL并以机器可读格式输出
14
getfacl -p file.txt

setfacl命令#

setfacl命令用于设置文件和目录的ACL。

1
# 给特定用户添加权限
2
setfacl -m u:username:rwx file.txt
3

4
# 给特定组添加权限
5
setfacl -m g:group:rx file.txt
6

7
# 给其他用户设置权限
8
setfacl -m o::r file.txt
9

10
# 移除特定用户的权限
11
setfacl -x u:username file.txt
12

13
# 移除特定组的权限
14
setfacl -x g:group file.txt
15

16
# 移除所有ACL
17
setfacl -b file.txt
18

19
# 递归设置目录及其内容的ACL
20
setfacl -R -m u:username:rwx directory/
21

22
# 仅设置目录的ACL，不影响内容
23
setfacl -m u:username:rwx directory/
24

25
# 设置默认ACL（仅对目录有效）
26
setfacl -m d:u:username:rwx directory/
27

28
# 递归设置默认ACL
29
setfacl -R -m d:u:username:rwx directory/
30

31
# 复制ACL从一个文件到另一个文件
32
getfacl source.txt | setfacl --set-file=- destination.txt
33

34
# 备份ACL
35
getfacl -R directory/ > acl-backup.txt
36

37
# 恢复ACL
38
setfacl --restore=acl-backup.txt

ACL的优先级#

ACL的优先级高于传统文件权限，当设置了ACL时，系统会优先使用ACL中的权限设置。

ACL的默认值#

对于目录，可以设置默认ACL，新创建的文件和子目录会继承这些默认ACL。

1
# 设置目录的默认ACL
2
setfacl -m d:u:username:rwx,d:g:group:rx,d:o::r directory/
3

4
# 查看目录的默认ACL
5
getfacl directory/
6

7
# 验证默认ACL是否生效
8
mkdir directory/subdirectory/
9
touch directory/file.txt
10
getfacl directory/subdirectory/
11
getfacl directory/file.txt

文件权限管理最佳实践#

最小权限原则#

遵循最小权限原则，只授予用户完成任务所需的最小权限，避免过度授权。

1
# 为普通文件设置合理的权限
2
chmod 644 file.txt
3

4
# 为可执行文件设置合理的权限
5
chmod 755 script.sh
6

7
# 为目录设置合理的权限
8
chmod 755 directory/
9

10
# 为敏感文件设置严格的权限
11
chmod 600 password.txt
12
chmod 600 private.key

权限继承#

合理设置目录权限，确保新创建的文件和子目录继承正确的权限。

1
# 设置目录的SGID权限，使子目录继承所属组
2
chmod g+s directory/
3

4
# 设置目录的默认ACL，使新创建的文件和子目录继承ACL
5
setfacl -m d:u:username:rwx,d:g:group:rx,d:o::r directory/

权限审计#

定期审计文件权限，发现和修复权限问题。

1
# 查找权限过于宽松的文件
2
find / -type f -perm -002 2>/dev/null  # 其他用户可写
3
find / -type f -perm -022 2>/dev/null  # 所属组和其他用户可写
4

5
# 查找权限过于严格的文件
6
find / -type f -perm -700 -user root 2>/dev/null  # 只有root可访问
7

8
# 查找SUID/SGID文件
9
find / -perm -4000 -type f 2>/dev/null  # SUID
10
find / -perm -2000 -type f 2>/dev/null  # SGID
11

12
# 查找没有所有者的文件
13
find / -nouser 2>/dev/null
14

15
# 查找没有所属组的文件
16
find / -nogroup 2>/dev/null

权限备份和恢复#

定期备份文件权限，以便在权限丢失时恢复。

1
# 备份文件权限
2
getfacl -R directory/ > acl-backup.txt
3

4
# 恢复文件权限
5
setfacl --restore=acl-backup.txt
6

7
# 使用chmod备份和恢复权限
8
ls -la directory/ > permissions-backup.txt
9
# 从备份文件恢复权限（需要编写脚本）

特殊文件和目录的权限#

系统文件和目录#

1
# 系统配置文件
2
chmod 644 /etc/passwd
3
chmod 600 /etc/shadow
4
chmod 644 /etc/group
5
chmod 600 /etc/gshadow
6

7
# 系统命令
8
chmod 755 /bin/*
9
chmod 755 /usr/bin/*
10

11
# 系统库文件
12
chmod 644 /lib/*
13
chmod 644 /usr/lib/*
14

15
# 系统日志目录
16
chmod 755 /var/log/
17
chmod 644 /var/log/*

用户主目录#

1
# 用户主目录
2
chmod 700 /home/username/
3

4
# 用户配置文件
5
chmod 600 /home/username/.bashrc
6
chmod 600 /home/username/.profile
7
chmod 600 /home/username/.ssh/
8
chmod 600 /home/username/.ssh/authorized_keys
9
chmod 600 /home/username/.ssh/id_rsa
10
chmod 644 /home/username/.ssh/id_rsa.pub

Web服务器文件和目录#

1
# Web服务器根目录
2
chmod 755 /var/www/html/
3

4
# Web服务器配置文件
5
chmod 644 /etc/apache2/apache2.conf
6
chmod 644 /etc/nginx/nginx.conf
7

8
# Web应用文件
9
chmod 644 /var/www/html/*.html
10
chmod 644 /var/www/html/*.css
11
chmod 644 /var/www/html/*.js
12
chmod 755 /var/www/html/cgi-bin/
13
chmod 755 /var/www/html/cgi-bin/*.cgi

数据库文件和目录#

1
# 数据库数据目录
2
chmod 700 /var/lib/mysql/
3
chmod 700 /var/lib/postgresql/
4

5
# 数据库配置文件
6
chmod 644 /etc/mysql/my.cnf
7
chmod 644 /etc/postgresql/postgresql.conf
8

9
# 数据库备份文件
10
chmod 600 /backup/mysql/
11
chmod 600 /backup/postgresql/

权限问题的排查和解决#

权限拒绝错误#

症状：用户尝试访问文件或目录时，收到”Permission denied”错误。

解决方案：

检查文件或目录的权限
检查用户是否有适当的权限
检查ACL设置
检查文件系统挂载选项（如nosuid、noexec等）

1
# 检查文件权限
2
ls -l file.txt
3

4
# 检查用户所属的组
5
groups username
6

7
# 检查ACL
8
getfacl file.txt
9

10
# 检查文件系统挂载选项
11
mount | grep $(df -P file.txt | tail -1 | awk '{print $1}')

SUID/SGID权限问题#

症状：设置了SUID/SGID权限的文件无法正常工作。

解决方案：

检查文件是否有执行权限
检查文件系统是否挂载了nosuid选项
检查SELinux或AppArmor是否限制了权限

1
# 检查文件权限
2
ls -l file.txt
3

4
# 检查文件系统挂载选项
5
mount | grep $(df -P file.txt | tail -1 | awk '{print $1}')
6

7
# 检查SELinux状态
8
sestatus
9

10
# 检查AppArmor状态
11
sudo apparmor_status

ACL继承问题#

症状：新创建的文件和目录没有继承预期的ACL。

解决方案：

检查目录是否设置了默认ACL
检查文件系统是否支持ACL
检查文件系统是否挂载了acl选项

1
# 检查目录的默认ACL
2
getfacl directory/
3

4
# 检查文件系统是否支持ACL
5
grep ACL /boot/config-$(uname -r)
6

7
# 检查文件系统挂载选项
8
mount | grep $(df -P directory/ | tail -1 | awk '{print $1}')

权限备份和恢复问题#

症状：无法恢复文件权限。

解决方案：

检查备份文件是否完整
检查文件系统是否支持ACL
检查用户是否有适当的权限

1
# 检查备份文件
2
cat acl-backup.txt
3

4
# 检查文件系统是否支持ACL
5
grep ACL /boot/config-$(uname -r)
6

7
# 检查用户权限
8
whoami
9
groups

高级权限管理#

权限管理脚本#

1
#!/bin/bash
2

3
# 权限管理脚本
4

5
# 备份权限
6
backup_acl() {
7
    local directory=$1
8
    local backup_file=$2
9
    getfacl -R "$directory" > "$backup_file"
10
    echo "ACL backup created: $backup_file"
11
}
12

13
# 恢复权限
14
restore_acl() {
15
    local backup_file=$1
16
    setfacl --restore="$backup_file"
17
    echo "ACL restored from: $backup_file"
18
}
19

20
# 设置Web服务器权限
21
set_web_permissions() {
22
    local directory=$1
23
    local user=$2
24
    chown -R "$user":www-data "$directory"
25
    find "$directory" -type d -exec chmod 755 {} \;
26
    find "$directory" -type f -exec chmod 644 {} \;
27
    find "$directory" -name "*.php" -o -name "*.cgi" | xargs chmod 755
28
    echo "Web permissions set for: $directory"
29
}
30

31
# 设置数据库权限
32
set_db_permissions() {
33
    local directory=$1
34
    local user=$2
35
    chown -R "$user":mysql "$directory"
36
    find "$directory" -type d -exec chmod 700 {} \;
37
    find "$directory" -type f -exec chmod 600 {} \;
38
    echo "Database permissions set for: $directory"
39
}
40

41
# 主函数
42
main() {
43
    case $1 in
44
        backup)
45
            backup_acl "$2" "$3"
46
            ;;
47
        restore)
48
            restore_acl "$2"
49
            ;;
50
        web)
51
            set_web_permissions "$2" "$3"
52
            ;;
53
        db)
54
            set_db_permissions "$2" "$3"
55
            ;;
56
        *)
57
            echo "Usage: $0 {backup|restore|web|db} [arguments]"
58
            echo "Backup: $0 backup <directory> <backup_file>"
59
            echo "Restore: $0 restore <backup_file>"
60
            echo "Web: $0 web <directory> <user>"
61
            echo "DB: $0 db <directory> <user>"
62
            ;;
63
    esac
64
}
65

66
# 执行主函数
67
main "$@"

权限审计工具#

安装和使用lynis#

Lynis是一个开源的安全审计工具，可以检查系统配置和权限设置。

1
# 安装Lynis（Debian/Ubuntu）
2
sudo apt install -y lynis
3

4
# 安装Lynis（RHEL/CentOS）
5
sudo yum install -y epel-release
6
sudo yum install -y lynis
7

8
# 运行Lynis审计
9
sudo lynis audit system
10

11
# 查看Lynis报告
12
sudo lynis show details
13

14
# 查看Lynis建议
15
sudo lynis show suggestions

安装和使用tripwire#

Tripwire是一个开源的文件完整性监控工具，可以检测文件权限和内容的变化。

1
# 安装Tripwire（Debian/Ubuntu）
2
sudo apt install -y tripwire
3

4
# 安装Tripwire（RHEL/CentOS）
5
sudo yum install -y tripwire
6

7
# 初始化Tripwire
8
sudo tripwire-setup-keyfiles
9

10
# 生成Tripwire策略
11
sudo tripwire --init
12

13
# 运行Tripwire检查
14
sudo tripwire --check
15

16
# 查看Tripwire报告
17
sudo tripwire --print-report

总结#

本文介绍了Linux系统中常用的文件权限和ACL管理命令和技巧，包括传统文件权限的管理、特殊权限的设置、ACL的使用以及权限管理的最佳实践等方面的内容。通过掌握这些命令和技巧，系统管理员可以更高效地管理文件权限和访问控制，提高系统的安全性和可靠性。

文件权限和访问控制是Linux系统安全的重要组成部分，需要系统管理员认真对待。在实际工作中，系统管理员应该遵循最小权限原则，合理设置文件权限，定期审计权限设置，及时发现和解决权限问题，确保系统的安全运行。

练习#

使用chmod命令修改文件和目录的权限，设置不同的权限组合。
使用chown和chgrp命令修改文件和目录的所有者和所属组。
设置文件的SUID、SGID和Sticky Bit权限，观察其效果。
安装和使用ACL工具，设置文件和目录的ACL。
为目录设置默认ACL，验证新创建的文件和子目录是否继承这些ACL。
备份和恢复文件的ACL设置。
编写一个权限管理脚本，实现批量设置文件权限的功能。
使用Lynis或Tripwire工具审计系统的权限设置。
排查和解决常见的权限问题，如权限拒绝错误、ACL继承问题等。
制定一个文件权限管理策略，确保系统的安全性和可靠性。

溪谷回声

让逻辑与诗意在此并存

Linux文件权限和ACL管理命令和技巧

Linux文件权限和ACL管理命令和技巧#

文件权限和ACL概述#

传统文件权限#

文件权限的表示#

文件权限的数字表示#

文件权限的查看#

文件权限的修改#

chmod命令#

chown命令#

chgrp命令#

特殊权限#

SUID权限#

SGID权限#

Sticky Bit权限#

ACL（访问控制列表）#

ACL的概念#

ACL的安装#

ACL的基本操作#

getfacl命令#

setfacl命令#

ACL的优先级#

ACL的默认值#

文件权限管理最佳实践#

最小权限原则#

权限继承#

权限审计#

权限备份和恢复#

特殊文件和目录的权限#

系统文件和目录#

用户主目录#

Web服务器文件和目录#

数据库文件和目录#

权限问题的排查和解决#

权限拒绝错误#

SUID/SGID权限问题#

ACL继承问题#

权限备份和恢复问题#

高级权限管理#

权限管理脚本#

权限审计工具#

安装和使用lynis#

安装和使用tripwire#

总结#

练习#

支持与分享

评论区

目录