原帖由 WHITLACK 于 2009-9-28 08:48 发表
针对某个文件,如何设置权限,可以禁止删除?
文件权限的r-w-x好像不能禁止删除的啊,
谢谢指教!
1:使用粘滞位可以做到,下面是介绍.
强制位与冒险位、粘滞位
针对u,g,o,分别可设 set uid,set gid,及sticky bit(粘滞位)。
强制位与冒险位、粘滞位添加在执行权限的位置上。如果该位置上原已有执行权限,则强制位与冒险位以小写字母s或t的方式表示;否则,以大写字母表示,大写字母S、T表示为空。(因为文件本身就不具备执行权限,那就没有权限给其他人使用了,所以为空。)
set uid与set gid在u和g的x位置上各采用一个s,sticky使用一个t。
suid: 意味着如果某个用户对属于自己的程序(只适用于二进制程序且对目录无效)设置了这种权限,那么其他用户在执行这程序时,就会暂时具有该文件拥有者的权限,完成之后恢复对应的权限。 对于shell脚本无效,因为shell脚本是将很多二进制执行文件调用而已,所以suid的权限部分还是要看shell脚本调用进来的程序设置,而不是shell脚本本身。
例如password命令
[root@node1 ~]# ll /usr/bin/passwd
-rwsr-xr-x 1 root root 22960 Jul 17 2006 /usr/bin/passwd
[root@node1 ~]#
sgid: 可以用在两个方面:
文件:如果sgid设置在二进制文件上,则不论用户是谁,执行该程序的时候,它的有效用户组将会变成该程序的用户组所有者。
目录:如果sgid是设置在A目录上,那么则该A目录内所建立的文件或目录的用户组将会是A目录的用户组。如tmp目录。
sticky Bit: 当前只针对目录有效,对文件无效。默认情况下,如果一个目录上有w和x权限,则任何人可以在此目录中建立与删除文件。但是如果在该目录上设置了sticky Bit,、那么在该目录中创建的文件或目录,只有文件的拥有者与系统管理员(root)才有权限删除该文件。
强制位与冒险位、粘滞位对应的权限数字为:
suid:4
sgid:2
sticky Bit: 1
2:使用chattr命令
功能介绍
设置文件隐藏属性,使用权限超级用户(chattr changes the file attributes on a Linux second extended file system.)。
语法格式
chattr [-RV] [-+=AacDdijsSu] [-v version] 文件或目录
参数
-R:递归处理所有的文件及子目录。
-V:详细显示修改内容,并打印输出。
-:取消某个特殊参数。
+:增加某个特殊参数。
= :指定特定的参数。
A:Atime,告诉系统不要修改对这个文件的最后访问时间。
S:Sync,当应用程序对这个文件执行了写操作,使系统立刻把修改的结果写到磁盘。
s:当文件设置了s参数时,它将会彻底从这个硬盘空间中删除掉,它的数据块会用0填写。
a:Append Only,系统只允许在这个文件之后增加数据,而不能删除这个文件。如果目录具有这个属性,系统将只允许在这个目录下建立文件,而不允许删除任何文件,也不允许修改目录下原有的文件。只有root用户可以设置这个属性。
i:Immutable,系统不允许对这个文件进行任何的修改,包括删除、修改、设置连接(可以设置软链接),也无法增加数据。如果目录具有这个属性,那么任何的进程都不能修改目录之下的文件,不允许建立和删除文件。
-j:当ext3格式文件系统挂载的时候使用了参数"data=ordered" or "data=writeback" options时,设置j属性将会使文件在写入时先记录在journal中;但是,当文件系统设置参数为data=journalled时,由于已经设置了日志,那么设置无效。
D:当应用程序对某个目录执行了写操作,使系统立刻把修改的结果写到磁盘。
d:如果一个文件设置了d参数,那么当dump程序运行的时候将忽略归该文件的dump。
c:Compress,系统以透明的方式压缩这个文件。从这个文件读取时,返回的是解压之后的数据;而向这个文件中写入数据时,数据首先被压缩之后才写入磁盘。
u:Undelete,当一个应用程序请求删除这个文件时,系统会保留其数据块以便以后能够恢复删除这个文件。
说明
chattr 命令的作用很大,其中一些功能是由Linux内核版本来支持的,如果Linux内核版本低于2.2,那么许多功能不能实现。另外,通过chattr命令修改属性能够提高系统的安全性,但是它并不适合所有的目录。chattr命令不能保护/、/dev、/tmp、/var目录。
例如1:
[root@node1 mnt]# chattr +a test
[root@node1 mnt]# cat /etc/init.d/httpd > test
-bash: test: Operation not permitted
[root@node1 mnt]# rm -rf test
rm: cannot remove `test': Operation not permitted
[root@node1 mnt]# mv test test.bak
mv: cannot move `test' to `test.bak': Operation not permitted
[root@node1 mnt]#
例如2:
[root@node1 mnt]# chattr +i redhat
[root@node1 mnt]# cat /etc/init.d/httpd > redhat
-bash: redhat: Permission denied
[root@node1 mnt]# rm -rf redhat
rm: cannot remove `redhat': Operation not permitted
[root@node1 mnt]# mv redhat hh
mv: cannot move `redhat' to `hh': Operation not permitted
[root@node1 mnt]# ln redhat nn
ln: creating hard link `nn' to `redhat': Operation not permitted
[root@node1 mnt]# ln -s redhat jack
[root@node1 mnt]# ls -l jack
lrwxrwxrwx 1 root root 6 May 13 08:01 jack -> redhat
[root@node1 mnt]#
例如3:
[root@node1 mnt]# chattr +a duck
[root@node1 mnt]# cd duck/
[root@node1 duck]# touch girl
[root@node1 duck]# ls
girl
[root@node1 duck]# rm -rf girl
rm: cannot remove `girl': Operation not permitted
[root@node1 duck]# cat /etc/init.d/httpd > girl
-bash: girl: Operation not permitted
[root@node1 duck]# mv girl dd
mv: cannot move `girl' to `dd': Operation not permitted
[root@node1 duck]#
例如4:
[root@node1 mnt]# chattr +i duck
[root@node1 mnt]# cd duck
[root@node1 duck]# ls
girl
[root@node1 duck]# touch mm
touch: cannot touch `mm': Permission denied
[root@node1 duck]# rm -rf girl
rm: cannot remove `girl': Permission denied
[root@node1 duck]# mv girl mm
mv: cannot move `girl' to `mm': Permission denied
[root@node1 duck]# cat /etc/init.d/httpd > girl
-bash: girl: Operation not permitted
##################################################
希望可以满足你的要求!
