标签:
目录和文件拥有:读r、写w、执行x权限。
// 使用 ls -l命令查看当前目录的文件权限信息
#ll
-rw-r--r-- 1 root root 161 Mar 20 20:39 test.txt // test文件所有者拥有读写权限、所属组和其他用户拥有读权限
drw-r--r-- 1 root root 248 Mar 23 21:03 download
r :读取文件内容(cat、more、head、tail)
w:编辑、新增、修改文件内容(vi、echo),但不包含删除文件
x:可执行
对文件来讲:最高权限是执行权限(x),所以文件要少赋予执行权限。
r:可以查询目录下文件名(ls)。
w: 具有修改目录结构的权限。如新建文件和目录,删除此目录下文件和目录,重命名此目录下文件和目录,剪切此目录下文件或目录。(touch、rm、mv、cp)。
x:可以进入目录(cd)。
对目录来讲:最高权限是写权限(w),所以目录要少赋予写权限。
注:0没有任何权限,5(rx)可以查看和进入,7(rwx)拥有最高权限;1、4、6权限对目录没有意义。
分配文件基本权限时,核心原则:在最小权限情况下能够实现要求即可!
/*使用[u、g、o、a][+、-、=]来设置文件或目录的权限[r、w、x]
u:user 所有者
g:group 所属组
o:other 其他
a:all 所有用户,包括所有者、所属组、其他
+:增加权限
-:减少权限
=:设置权限
*/
// 给test的拥有者u,文件增加某权限
#chmod u+x,g+r test
#chmod a+w test
#chmod u-x test
#chmod g=rwx test
/*使用数字设置文件或目录的权限
rwx在Linux下分别对应十进制4、2、1 即3bit二进制的111
*/
// 设置dir目录的所有者拥有所有权限,所属组和其他用户拥有读和执行的权限
#chmod 755 dir/
格式:chown newUser 文件名
让其他人拥有最高权限的最佳做法是使用chown更改文件的所有者。
// 同时改变文件的所有者和所属组
chown user:group 文件名
格式:chgrp newUser 文件名
注:linux创建文件时,默认其所有者为当前用户、其所属组为与当前用户名相同的组。
/* 用例
*1 当前用户创建一个test目录
*2 创建新的用户xm,并让他拥有test目录的所有权限
*3 让组用户可以拥有查看权限
*4 其他人没有这个目录的任何权限
*/
// 创建test目录
#mkdir test
// 添加用户xm和密码
#useradd xm
#passwd xm
// 创建用户user1、user2
#useradd user1
#useradd user2
// 创建user组
#groupadd user
// 把user1、user2添加到user组
#gpasswd -a user1 user
#gpasswd -a user2 user
// 更改test目录的所有者和组
#chown xm:user test
// 更改test目录权限
#chmod 750 user
#umask
0022 // 第一位0是特殊权限
临时修改
umask 0033
永久修改
vi /etc/profile
文件默认不能建立为执行文件,必须手工赋予执行权限
所以文件默认权限最大为666
默认权限需要换算成字母再相减
建立文件之后的默认权限,为666减去umask值
例如:
666 - 022(umask值)
-rw-rw-rw- 减去 —–w–w- 等于 -rw-r–r–
666 - 033(umask值)
-rw-rw-rw- 减去 —–wx-wx 等于 -rw-r–r– (注:空减去某权限仍为空)
目录默认权限最大为777
默认权限需要换算成字母再相减
建立文件后的默认权限,为777减去umask值
Linux基本权限管理中是分为用户所有者、所属组和其他人,如果有人想拥有和基本权限中任何权限都不一样的时候,基本权限无法满足这种需求,这时候可以考虑使用ACL权限。
例如:
Linux中有一个test目录,它的所有者为xiaoming,拥有所有权限;文件夹所在组stu,也拥有所有权限;其他人没有任何权限。但是,要给一个新用户xiaowang对test目录拥有读和执行权限时,基本权限满足无法分配需求。
ACL权限用来解决用户身份不够的情况。windows系统给文件分配权限时,不用考虑文件的所有者和所属组,可以给任何用户分配相应的权限;ACL权限和windows系统一样,可以分配任何用户相应的权限而不考虑文件所有者和所属组的权限,这解决基本权限无法分配复杂权限的问题。
// 查看分区ACL权限是否开启
// df 查看分区情况
// dumpe2fs命令是查询指定分区详细文件系统信息命令;-h仅显示超级块中信息,而不显示磁盘块组的详细信息
#dumpe2fs -h /dev/sda5
// 临时挂载 根分区/ 的ACL权限
#mount -o remount,acl /
// 永久开启分区ACL权限
#vi /etc/fstab
// defaults权限默认包括挂载ACL权限,如果没有ACL权限,在defaults后添加即可
UUID=6634633e-001d-43ba-8fab-202f1df93339 / ext4 defaults,barrier=0,acl 1 1
//重新挂载文件系统或重启动系统,使修改生效
#mount -o remount /
// 查看acl权限
#getfacl 文件名
// 设置acl权限
setfacl [option] 文件名
options:
-m 设定acl权限
给用户赋予文件(或目录)acl权限,使用"u:用户名:权限"格式
例子:给用户lw赋予文件test读执行权限:setfacl -m u:lw:rx test
给组分配acl权限使用"g:组名:权限"格式
-x 删除指定的acl权限
-b 删除所有的acl权限
-d 设定默认的acl权限
-k 删除默认的acl权限
-R 递归设定acl权限
// 解决上面提到的问题
#useradd xiaoming
#groupadd stu
#mkdir /home/test
#chmod 770 /home/test
#chown xiaoming:stu /home/test
#useradd xiaowang
// 设置acl权限
#setfacl -m u:xiaowang:rx /home/test
// 查看acl权限
#getfacl /home/test
# file: /home/test
# owner: xiaoming
# group: stu
user::rwx
user:xiaowang:r-x
group::rwx
mask:rwx //????
other::---
mask是用来指定最大有效权限的。如果我给用户赋予了ACL权限,是需要和mask的权限“相与”才能得到用户的真正权限。
user::xiangwang:r-x
mask::rwx
// xiaowang的权限与mask值相与,得到xiaowang的真实权限
// r-x 与 rwx得到有效权限r-x
// 删除指定用户的acl权限
#setfacl -x u:用户名 文件名
// 删除指定用户组的acl权限
#setfacl -x g:组名 文件名
// 删除指定文件的所有的acl权限
#setfacl -b 文件名
递归是父目录在设定ACL权限时,当前所有的子文件和子目录也拥有相同的ACL权限。递归ACL权限赋予文件会报错。
// 格式:setfacl -m u:用户名:权限 -R 目录名
#cd test
#touch file1
#touch file2
// 赋予用户lw拥有test目和test目录下文件的rx权限
// 使用 -R 参数设置递归权限,lw用户对file1和file2文件拥有了x权限,造成了权限溢出
#setfacl -m u:lw:rx -R test/
#touch file3 // 新建file3,没有acl权限
#getfacl file3
默认ACL权限的作用是如果给父目录设定了默认ACL权限,那么父目录中所有新建的子文件都会继承父目录的ACL权限。
// 格式:setfacl -m d:u:用户名:权限 -R 目录名
root把本来只能超级用户执行的命令赋予普通用户执行。
sudo的操作对象是系统命令。
// 查看sudo配置文件
//man 5 sudoers查看配置文件详细
#visudo // 实际修改的是/etc/sudoers文件
// 用户名 被管理主机的地址=(可使用的身份) 授权命令(绝对路径)
root ALL=(ALL) ALL
// 组名 被管理主机的地址=(可使用的身份) 授权命令(绝对路径)
%wheel ALL=(ALL) ALL
// 普通用户不能执行shutdown命令
#visudo
/* 编辑/etc/sudoers文件
1 增加user1 ALL=(ALL) /sbin/shutdown -r now配置。
注:命令写的越简单,user1用户得到的权限越大,命令写的越详细,user1用户得到的权限就越小;系统命令要写成绝对路径,以兼容其他版本。
2 保存退出
*/
// 登陆普通用户账号user1,执行系统命令
#su - user1
$sudo -l // 要求输入user1密码,才能查看可执行的系统命令
$sudo /sbin/shutdown -h now // 执行关机命令不被允许
$sudo /sbin/shutdown -r now //执行重启命令
// 给普通用户执行添加用户和密码的权限
# visudo
// 添加 user1 ALL=/usr/sbin/useradd 配置
// 添加 user1 ALL=/usr/bin/passwd 配置注:这使user1可以更改root的密码
// user1 ALL=/usr/bin/passwd [A-Za-z]*, !/usr/binpasswd "", !/usr/bin/passwd root,则user1无法更改root密码
// 添加 user1 ALL=/bin/vi 注:这使user1可以编辑/etc/shadow文件,更改root用户等密码
只有可执行的二进制程序才能设定SUID权限
命令执行者要对该程序拥有x(执行)权限
命令这行者在执行改程序时获得该程序文件属主的身份
SetUID权限只在该程序执行过程中有效,也就是说身份改变只在程序执行过程中有效;如passwd命令,其他用户都可以使用passwd更改自己的密码
/*设置SetUID权限,4代表设置SUID、2代表SetGID、1代表stickyBIT
u+s :代表给文件加上SUID权限
g+s :代表给目录加上SGID权限
o+s :代表给文件加上STICKBIT权限
*/
#ll
-rwxr-xr-x .... test
#chmod 4755 test // 或chmod u+s test
-rwsr-xr-x ... test
// 若文件没有执行权限,但设置SUID时,执行位显示大S,这没有意义。
// 取消SUID权限
#chmod u-s test
#chmod 0755 test
关键目录应严格控制写权限,比如”/”、”/usr” 等
用户的密码设置要严格最受密码三原则
对系统中默认应该具有SUID权限的文件作以列表,定时检查有没有这之外的文件被设置了SUID权限
不能对vi等编辑器赋予SUID权限,这样vi就能编辑/etc/shadow文件而更改root密码。
只有可执行的二进制程序才能设置SGID权限
命令执行者要对该程序拥有x(执行)权限
命令执行在执行程序的时候,组身份升级为改程序文件的属组
SetGID权限同样只在改程序执行过程中有效,也就是说组身份改变只在程序执行过称重有效。注:与SUID作用相似
// locate命令
#ll /usr/bin/locate
-rwx--s--x 1 root slocate ... /usr/bin/locate
// locate 搜索数据库/var/lib/mlocate.db
#ll /var/lib/mlocate.db
-rw-r----- 1 root slocate ... /var/lib/mlocate.db // 普通用户时没有权限搜索这个数据库
// locate属于slocate组且设置了SGID权限,slocate组拥有对mlocate.db读的权限,所以普通用户使用locate时组身份自动升级为slocate组则可以使用locate命令查询mlocate.db数据库。命令结束后,用户user身份返回user组身份。
普通用户必须对此目录拥有r和x权限,才能进入此目录
普通用户在此目录中的有效组会变成此目录的属组
若普通用户对此目录拥有w权限时,新建的文件的默认属组是这个目录的属组
// 在root用户在/tmp目录创建test目录,并更改目录权限为777
#cd /tmp
#mkdir test
#ll
drwxr-xr-x 2 root root ... test
#chmod 777 test
#ll
drwxrwxrwx 2 root root ... test
// user用户在/tmp/test目录创建file1
$cd /tmp/test
$touch file1
$ll
-rw-rw-r-- 1 user user ... file1
// root用户更改test目录为2777即设置SGID
#chmod 2777 test
#ll
drwxrwsrwx 2 root root ... test
// user用户在/tmp/test目录创建file2
$touch file2
$ll
-rw-rw-r-- 1 user user ... file1
-rw-rw-r-- 1 user root... file2 // 新建file2文件所属组为root组
// 设置SGID权限
#chmod 2755 test/
#chmod g+s test/
// 取消SGID权限
#chmod 0755 test/
#chmod g-s test/
黏着位目前只针对目录有效
普通用户对目录拥有w和x权限,若普通用户可以拥有此目录的w权限
如果该目录没有黏着位,普通用户因为拥有所有权限,可以删除该目录所有的文件,包括其他用户建立的文件;该目录赋予黏着位后,普通用户就算拥有目录的w权限,也只能删除自己建立的文件,不能删除其他用户建立的文件。
如/tmp 目录即拥有黏着位
// 设置黏着位
#chmod o+t dir
#chmod 1777 dir
// 取消黏着位
#chmod o-t dir
#chmod 0777 dir
chattr [+-=] [option] 文件名或目录名
+ : 增加权限
- :删除权限
=:等于某权限
options:
i:如果对文件设置i属性,那么不允许对文件进行删除,改名,也不能添加和修改数据;如果对目录设置i属性,那么只能修改目录下文件的数据,但不允许建立和删除文件。
a:如果对文件设置a属性,那么只能在文件中增加数据,但不能删除也不嗯呢该修改数据;如果对目录设置a属性,那么只允许在目录中建立和修改文件,但不允许删除。注:不允许使用vi增加文件数据,因为无法判断vi是增加还是修改或删除文件数据,所以只能使用echo data>> file来追加数据。
chattr对文件或目录都生效
#chattr +i file
#lsattr file
----i-------e- file
#vim abc // 不允许修改
#rm -rf file //不允许删除
// 删除i属性
#chattr -i file
标签:
原文地址:http://blog.csdn.net/renwotao2009/article/details/50995946