银河麒麟系统中普通用户为何无法删除自己创建的文件？

一、现象定位：为什么“自己的文件删不掉”？

在银河麒麟V10/V11系统中，普通用户执行 rm -f myfile.txt 却报错 Permission denied，是高频误判场景。根本原因在于：Linux 文件删除操作本质是对父目录的元数据修改（从目录项中移除dentry），而非对文件inode的操作。因此，决定性权限是目录的 w（写）与 x（执行/搜索）位——文件自身权限完全无关。

二、核心原理：Linux 删除操作的底层语义

• 写权限（w）：允许修改目录内容（增删改文件名条目）
• 执行权限（x）：允许进入该目录、访问其子项（无x则无法解析路径）
• 粘滞位（t）：如 /tmp（drwxrwxrwt），仅允许文件所有者、目录所有者或root删除文件
• 即使 ls -l myfile.txt 显示 -rw-r--r-- 且属主为当前用户，若 ls -ld /path/to/dir 返回 dr-xr-xr-x，删除必然失败

三、银河麒麟特有排查矩阵

四、深度诊断流程图

flowchart TD
    A[用户执行 rm file] --> B{父目录是否可写可执行？}
    B -->|否| C[修正目录权限：chmod u+wx /dir]
    B -->|是| D{是否在 /tmp 或粘滞位目录？}
    D -->|是| E[检查文件属主：ls -l file]
    E --> F{属主是否为当前用户？}
    F -->|否| G[需root或属主操作]
    F -->|是| H{是否有进程占用？}
    H -->|是| I[lsof + fuser 定位并释放]
    H -->|否| J{文件系统是否只读？}
    J -->|是| K[mount -o remount,rw /mountpoint]
    J -->|否| L[检查SELinux/AppArmor]

五、银河麒麟专属解决方案集

1. 快速修复目录权限：sudo chmod u+w /problematic/dir（慎用于系统目录，优先使用 chown $USER:$USER /dir 后 chmod 755 /dir）
2. 绕过粘滞位限制：在 /tmp 中创建用户专属子目录 mkdir ~/tmp && chmod 700 ~/tmp，将临时文件定向至此
3. SELinux 临时放行：sudo setsebool -P allow_user_tmp_write 1（Kylin V11 内置布尔值）
4. 进程占用终结指令：lsof +D /path/to/dir 2>/dev/null | awk '$4~/[0-9]+[uw]/ {print $2}' | xargs -r kill -9
5. 只读文件系统恢复：先 sudo dmesg | tail -20 排查硬件错误，再执行 sudo mount -o remount,rw $(df . | tail -1 | awk '{print $1}')

六、生产环境加固建议

针对银河麒麟政务/金融场景，建议在Ansible Playbook中嵌入如下防护性检查：

- name: Validate delete-capable directory permissions
  ansible.builtin.stat:
    path: "{{ target_dir }}"
  register: dir_stat
- name: Fail if directory lacks user write+execute
  ansible.builtin.fail:
    msg: "Directory {{ target_dir }} missing u+wx, violates Kylin security baseline"
  when: not (dir_stat.stat.mode | int(8) & 0o300)

同时，在/etc/fstab中为关键数据分区显式添加 relatime,errors=remount-ro 而非盲目启用 noexec —— 银河麒麟内核对挂载选项敏感度高于通用Linux发行版。