在 CentOS 系统中，权限管理是操作系统的核心功能之一，确保不同用户和进程对文件、目录以及设备的访问被合理控制。

权限系统主要包括传统的 Unix 权限模型、特殊权限（SetUID、SetGID、Sticky 位）和更精细的访问控制列表（ACL）。下面将详细介绍 CentOS 系统中的权限配置及其相关机制。

drwxr-xr-x   2 root             root            6 10月 11 2023 test
-rwxr-xr-x   1 root             root          862 5月  20 2022 all.sh

---

1. 基本权限模型

1.1 文件权限概述

在 Linux 系统（包括 CentOS）中，每个文件或目录都有三类用户类型的权限：

• 文件所有者（Owner）：创建文件的用户，通常默认是该文件的所有者。
• 所属组（Group）：文件所有者所在的组，组内所有成员共享该文件的权限。
• 其他用户（Others）：系统中不属于文件所有者或组的其他用户。

每个文件的权限分为三种操作：

• 读权限（r）：允许查看文件内容，或列出目录的内容。
• 写权限（w）：允许修改文件内容，或在目录中创建、删除文件。
• 执行权限（x）：允许执行文件（如脚本、二进制程序），或进入某个目录。

1.2 权限表示

权限以两种方式表示：

• 符号模式：使用字母 rwx 表示每种权限。例如：

  rwxr-xr--
  

  • 前三位：文件所有者的权限（rwx）。
  • 中三位：文件所属组的权限（r-x）。
  • 后三位：其他用户的权限（r--）。

• 八进制模式：权限也可以用数字表示，每个权限位转换为一个数字。

  • 读权限（r）：4
  • 写权限（w）：2
  • 执行权限（x）：1
  • 无权限（-）：0

  例如，rwxr-xr-- 的数字形式为 755。

1.3 查看文件权限

使用 ls -l 命令可以查看文件或目录的权限。

ll /path/to/file

输出示例：

-rwxr-xr--  1 user group 4096 Sep 22 10:30 filename

• -rwxr-xr--：文件权限
• user：文件所有者
• group：文件所属组

2. 修改文件权限

使用 chmod 命令

chmod 用来更改文件或目录的权限。

• 符号模式修改：

  chmod u+rwx,g+rx,o-r /path/to/file
  

  • u：所有者（User）
  • g：组（Group）
  • o：其他用户（Others）
  • +：添加权限
  • -：去除权限

• 八进制模式修改：

  chmod 755 /path/to/file  # 所有者有 rwx 权限，组和其他用户有 rx 权限
  

递归修改权限

对于目录及其子目录和文件，使用 -R 参数递归修改权限：

chmod -R 755 /path/to/directory
chmod -R u+rwx,g+rx,o-r /path/to/file

---

3. 文件所有权配置

文件所有权涉及文件的所有者（用户）和所属组。通过更改文件的所有权，可以控制谁能够访问和修改文件。

3.1 修改文件的所有者和所属组

使用 chown 命令

chown 用于更改文件的所有者和组：

chown user:group /path/to/file

• user：新的所有者
• group：新的所属组

如果只更改所属组，可以省略用户部分：

chown :group /path/to/file

递归更改所有权

对目录及其所有子目录和文件进行所有权的递归修改：

chown -R user:group /path/to/directory

注：chown修改仅针对当前已有的文件，后期新建的文件所属仍为创建者，想要永久生效，修改SetGID，如下

---

4. 特殊权限

特殊权限可以为文件和目录配置额外的安全措施。

4.1 SetUID

• SetUID（Set User ID）：当文件具有 SetUID 位时，执行该文件的用户将临时获得文件所有者的权限。这通常用于程序（如 passwd）在执行时需要具有 root 权限。

  设置 SetUID 位：

  chmod u+s /path/to/file
  

4.2 SetGID

• SetGID（Set Group ID）：当文件具有 SetGID 位时，执行该文件的用户将临时获得文件所属组的权限。对于目录，SetGID 位确保新建文件和子目录继承其父目录的组。即，后期新建的文件都属于当前组
  设置 SetGID 位：

  chmod g+s /path/to/directory
  

4.3 Sticky 位

• Sticky 位 通常用于目录，确保只有文件所有者或 root 用户可以删除或重命名该目录中的文件。Sticky 位常见于 /tmp 目录，确保所有用户可以创建文件但不能删除其他用户的文件。

设置 Sticky 位：

chmod +t /path/to/directory

4.4 查看特殊权限

使用 ls -l 命令可以查看特殊权限：

• SetUID 位：文件权限显示为 -rwsr-xr-x
• SetGID 位：文件权限显示为 -rwxr-sr-x
• Sticky 位：目录权限显示为 drwxrwxrwt ，若是Others位权限没有“x”,即r - -，则目录权限显示为“-rwxr-xr-T”

---

5. 访问控制列表 (ACL) （权限后出现“+”）

ACL（Access Control List）提供比标准 rwx 权限更细粒度的控制，允许你为文件或目录分配特定用户或组的访问权限。可以为文件设置多个用户和组的权限，而不仅仅局限于文件拥有者、组和其他用户。

5.1 作用：

• 细粒度权限控制: 允许为每个用户和组设置单独的权限，扩展了传统的 Linux 权限模型。例如，你可以为用户 user1 设置 rw 权限，而给 user2 仅设置读权限。

• 更灵活的访问控制: 标准权限模型只能为文件的所有者、组和其他用户设置权限，而 ACL 则可以为多个用户或组精确设置不同的权限。

• 继承权限: 在目录上设置的 ACL 可以被子目录和文件继承，简化了大规模的权限管理。

• 为目录设置默认 ACL（影响新建文件和目录）：

5.2 为用户添加权限

setfacl 命令用于设置文件和目录的访问控制列表（ACL），提供比传统权限更细粒度的控制。以下是一些常用参数：

-m: 修改 ACL。用于添加或修改某个用户或组的权限。
-x: 删除 ACL。用于移除特定用户或组的权限。
-b: 删除所有 ACL。将文件的 ACL 设置为默认权限，仅保留标准权限。
-k: 删除默认 ACL。仅移除目录的默认 ACL，而保留用户或组的 ACL。
-d: 设置默认 ACL。用于目录，以便新创建的文件和子目录继承这些 ACL。
-R: 递归地应用 ACL 到目录及其所有子文件和子目录。
-n: 直接使用名称而不解析，以避免在无法解析用户或组时出错。

使用 setfacl 命令修改 ACL。例如，给用户 Bess 添加读写执行权限：

setfacl -m u:Bess:rwx 文件名

权限后出现“+”

使用 getfacl 命令查看文件或目录的 ACL。

# file: test.tar
# owner: root
# group: root
user::rwx
user:Bess:rwx      # 用户 Bess 的权限
group::r-x
mask::rwx
other::r-x

5.3 为用户组添加权限

setfacl -m g:groupname:rx 文件名

5.4 删除 ACL 权限：

删除用户ACL权限
setfacl -x u:Bess  文件名

删除用户组ACL权限
setfacl -x  g:groupname  文件名

---

6. 默认权限设置 (umask)

• umask（用户文件创建掩码）用于设置新创建文件和目录的默认权限。它通过限制文件的最大权限，确保文件在创建时不被赋予过高的权限。
• umask 是一个会话级别的设置，无法直接针对特定文件或目录进行配置。
• 系统会根据 umask 值“减去”部分权限。

6.1 基本概念

• 默认权限:

  • 新创建的文件通常默认为 666（可读可写）权限。
  • 新创建的目录默认为 777（可读、可写、可执行）权限。

• umask 的作用:

  • umask 通过从默认权限中减去 umask 值，来决定新文件和目录的最终权限。

• umask 值的计算
  umask 值是以八进制形式表示的，通常包含三个数字：

  • 第一个数字（用户的掩码）
  • 第二个数字（组的掩码）
  • 第三个数字（其他用户的掩码）

例如，如果 umask 设置为 022，则：

• 新文件的权限将为 644（666 - 022），即可读可写，但不可执行。
• 新目录的权限将为 755（777 - 022），即可读可写可执行。

6.2 配置 umask

1. 临时设置:
   临时设置的 umask 仅在当前 shell 会话或命令上下文中有效。一旦退出该会话或执行完该命令，umask 设置将恢复为系统默认值或用户的配置文件中的设置。
   在终端中直接输入 umask 命令。例如：

   umask 027
   

2. 永久设置:
   希望特定用户在每次登录时自动应用相同的文件权限设置，可以在用户的 shell 配置文件（如 ~/.bashrc 或 ~/.bash_profile）中添加 umask。这确保每次该用户登录时都能保持一致的权限策略。

   • • 对于系统级别，可以在用户的 shell 配置文件中（如 /etc/profile 或 /etc/bashrc 中设置）添加：

   umask 027
   

6.1 查看和设置 umask

• 查看当前 umask：

  umask
  

• 设置 umask：

  umask 0022  # 设置新建文件的默认权限为 755（目录）或 644（文件）
  

6.2 永久设置 umask

可以将 umask 写入用户的配置文件（如 ~/.bashrc 或 ~/.bash_profile），以确保每次登录时生效：

echo "umask 0022" >> ~/.bashrc
source ~/.bashrc

7. SELinux强制访问控制 (MAC) 机制 （权限后出现“.”）

在CentOS系统中，SELinux（Security-Enhanced Linux）的配置涉及多个方面，包括查看状态、修改模式、管理策略等。

7.1 查看SELinux状态

要查看SELinux的当前状态，可以使用sestatus命令。该命令将显示SELinux的开关状态、工作模式以及加载的策略等信息。

sestatus

输出将包含SELinux是否启用、当前模式（Enforcing、Permissive或Disabled）、加载的策略类型等详细信息。

7.2 修改SELinux模式

SELinux有三种模式：Enforcing（强制执行策略）、Permissive（警告但不阻止操作）和Disabled（禁用）。

① 临时修改模式：

使用setenforce命令可以临时更改SELinux的模式。

要将SELinux设置为Enforcing模式：
sudo setenforce 1

要将SELinux设置为Permissive模式：
sudo setenforce 0
    
请注意，这些更改在系统重启后会失效。

② 永久修改模式：

要永久更改SELinux的模式，需要编辑/etc/selinux/config文件。

找到SELINUX=一行，并将其值改为 enforcing、permissive或disabled。

要将SELinux设置为Permissive模式：
SELINUX=permissive

保存并关闭文件后，重新启动计算机以使更改生效。

7.3 管理SELinux策略

SELinux通过安全上下文来标识和控制进程及数据的访问权限。可以使用以下命令查看和管理安全上下文：

使用ls -Z命令查看文件或目录的安全上下文信息。

使用ps -eZ命令查看进程的安全上下文信息。

使用chcon命令临时修改文件或进程的安全上下文。

例如，要将某个文件的安全上下文更改为system_u:object_r:admin_home_t:s0，可以使用以下命令：
sudo chcon -t admin_home_t /path/to/file

请注意，这种更改是临时的，不会在系统重启后保留。

要进行持久化修改，需要编辑SELinux策略文件或使用semanage、audit2allow等工具生成并应用新的SELinux策略规则。

7.4 注意事项

在修改SELinux配置之前，建议备份原始配置文件，以便在出现问题时能够恢复。
更改SELinux模式或策略可能会影响系统的安全性和稳定性，因此应谨慎进行。
如果不熟悉SELinux的配置和管理，建议咨询经验丰富的系统管理员或参考官方文档。

觉得有用，点赞再走呗~