Linux分区怎样进行权限设置

Linux分区权限设置指南

在Linux系统中，分区权限设置是保障数据安全的核心环节，需结合基础权限、特殊权限、ACL（访问控制列表）及挂载选项等多维度管理。以下是具体操作流程及注意事项：

一、基础权限设置（chmod/chown/chgrp）

基础权限控制用户（owner）、所属组（group）、其他用户（others）对文件/目录的访问，分为读（r，4）、写（w，2）、执行（x，1）三类，可通过符号模式或数字模式修改。

1. 查看权限与所有权

使用ls -l命令查看分区内文件/目录的权限及归属（如-rw-r--r-- 1 root root 4096 Jan 1 12:34 file）：

• 第1位：文件类型（-=普通文件，d=目录）；
• 第2-4位：所有者权限（rw-=可读可写）；
• 第5-7位：所属组权限（r--=只读）；
• 第8-10位：其他用户权限（r--=只读）；
• 第2列：所有者（root）；
• 第3列：所属组（root）。

2. 修改权限（chmod）

• 符号模式：通过u/g/o/a（用户类别）、+/-/=（操作）、r/w/x（权限）组合设置。
  示例：
  • 给所有者添加执行权限：chmod u+x script.sh；
  • 移除组写权限：chmod g-w data.txt；
  • 递归设置目录及子内容权限（谨慎使用）：chmod -R 755 /webapps/（目录设为rwxr-xr-x，避免敏感文件过度开放）。
• 数字模式：用三位八进制数表示三类权限（如7=4+2+1=rwx，6=4+2=rw-）。
  示例：
  • 所有者可读可写可执行，组和其他用户可读可执行：chmod 755 /bin/bash；
  • 所有者可读可写，组和其他用户只读：chmod 644 /etc/passwd。

3. 修改所有权（chown/chgrp）

• chown：修改所有者（及可选所属组），需root权限。
  示例：
  • 修改所有者：chown root /mnt/data；
  • 同时修改所有者和所属组：chown root:developers /mnt/data。
• chgrp：仅修改所属组（无需root权限，但需是目标组成员）。
  示例：chgrp developers /mnt/data。

二、特殊权限设置（SUID/SGID/粘滞位）

特殊权限用于扩展基础权限功能，需通过chmod命令设置（八进制模式首位表示特殊权限）。

1. SUID（Set User ID）

• 作用：文件执行时以所有者权限运行（如/usr/bin/passwd以root权限修改密码）。
• 设置方法：chmod u+s file（如chmod 4755 /usr/bin/passwd，首位4表示SUID）。

2. SGID（Set Group ID）

• 作用：
  • 对文件：执行时以所属组权限运行；
  • 对目录：目录内新建文件继承父目录的组（如/var/www目录下文件均属www-data组）。
• 设置方法：chmod g+s dir（如chmod 2755 /var/www，首位2表示SGID）。

3. 粘滞位（Sticky Bit）

• 作用：仅文件所有者或目录所有者可删除/重命名目录内的文件（如/tmp目录）。
• 设置方法：chmod +t dir（如chmod 1777 /tmp，末位1表示粘滞位）。

三、ACL（访问控制列表）设置

ACL提供更细粒度的权限控制，允许为单个用户或组设置权限（超越基础权限的u/g/o限制）。

1. 开启分区ACL

• 临时开启：mount -o remount,acl /（重新挂载分区并启用ACL）；
• 永久开启：编辑/etc/fstab文件，在对应分区选项后添加acl（如UUID=c2ca6f57-b15c-43ea-bca0-f239083d8bd2 / ext4 defaults,acl 1 2），然后执行mount -o remount /使设置生效。

2. 设置与查看ACL

• 设置ACL：
  • 给用户添加权限：setfacl -m u:username:rwx /mnt/data（用户username对/mnt/data有rwx权限）；
  • 给组添加权限：setfacl -m g:groupname:r-x /mnt/data（组groupname对/mnt/data有r-x权限）。
• 查看ACL：getfacl /mnt/data（显示文件/目录的ACL规则，若有+标志则表示存在ACL）。

四、挂载选项设置

挂载时通过选项限制分区权限，增强安全性（需修改/etc/fstab或使用mount命令临时设置）。

1. 常用安全选项

• nosuid：禁止执行设置了SUID/SGID位的程序（防止恶意程序提权）；
• nodev：禁止挂载设备文件（防止非法设备访问）；
• noexec：禁止执行分区内的程序（如备份分区，防止攻击者上传并执行恶意脚本）。

2. 示例

• 临时挂载：mount -o nosuid,nodev,noexec /dev/sdb1 /mnt/backup；
• 永久挂载：编辑/etc/fstab，在对应分区选项后添加nosuid,nodev,noexec（如UUID=1234-5678 /mnt/backup ext4 defaults,nosuid,nodev,noexec 1 2），然后执行mount -o remount /mnt/backup使设置生效。

五、注意事项

• 避免过度开放权限：不要随意使用chmod -R 777，这会导致所有用户可读可写可执行，增加安全风险；
• 定期检查权限：使用ls -l或getfacl查看权限设置，及时修复异常；
• 备份重要数据：修改权限前备份关键数据，防止误操作导致数据丢失；
• 结合加密使用：对于敏感分区（如财务数据），可使用LUKS等加密工具（如cryptsetup luksFormat /dev/sdb1），进一步提升安全性。