重生之我要当云原生大师(五)控制对文件的访问

目录

一、解释一下Linux中的文件权限是如何工作的?

二、什么是rwx权限,他们分别代表什么?

三、如何递归的修改一个目录及其子目录的权限?

四、如何将一个新用户添加到某个组?为什么要这样做?

五、简述umask的作用。

六、如何创建一个新用户并为其分配特定的文件访问权限?

七、什么是SUID、SGID、Sticky Bit,他们分别有什么作用?

八、当你发现某个用户无法访问某个文件,你会如何排查和解决问题?

九、如何查看某个文件的权限?


解答:

一、解释一下Linux中的文件权限是如何工作的?

1. 文件权限的底层存储

在 Linux 中,每个文件或目录的权限信息都存储在其 inode 中。inode 是文件系统中的一个数据结构,用于存储文件的元数据(metadata),包括:

  • 文件类型(普通文件、目录、符号链接等)。
  • 文件权限(rwx 权限、特殊权限等)。
  • 文件所有者(UID)和所属组(GID)。
  • 文件大小、时间戳(创建时间、修改时间等)。
  • 文件数据块的存储位置。

当你使用 ls -l 查看文件权限时,实际上是从文件的 inode 中读取这些信息。


2. 权限检查的流程

当用户尝试访问一个文件或目录时,Linux 内核会按照以下步骤检查权限:

步骤 1:确定用户身份

  • 内核会检查当前进程的用户 ID(UID)和组 ID(GID)。
  • 如果用户是 root(UID 为 0),则默认拥有所有权限(除非受到 SELinux 或 AppArmor 等安全模块的限制)。

步骤 2:匹配权限层次

内核会依次检查文件的权限层次,按照以下顺序:

  1. 文件所有者
    • 如果当前用户的 UID 与文件所有者的 UID 匹配,则应用文件所有者的权限。
  2. 文件所属组
    • 如果当前用户的 GID 与文件所属组的 GID 匹配,则应用文件所属组的权限。
  3. 其他用户
    • 如果当前用户既不是文件所有者,也不在文件所属组中,则应用其他用户的权限。

步骤 3:检查具体权限

  • 根据匹配的权限层次,内核会检查用户是否具有所需的权限(读、写、执行)。
  • 如果权限不足,内核会拒绝访问,并返回 Permission denied 错误。

3. 权限的实际作用

对文件:

  • 读(r)
    • 允许用户读取文件内容。
    • 底层实现:内核会检查用户是否有读权限,如果有,则允许用户调用 read() 系统调用读取文件内容。
  • 写(w)
    • 允许用户修改文件内容。
    • 底层实现:内核会检查用户是否有写权限,如果有,则允许用户调用 write() 系统调用修改文件内容。
  • 执行(x)
    • 允许用户将文件作为程序或脚本执行。
    • 底层实现:内核会检查用户是否有执行权限,如果有,则允许用户调用 execve() 系统调用执行文件。

对目录:

  • 读(r)
    • 允许用户列出目录中的文件。
    • 底层实现:内核会检查用户是否有读权限,如果有,则允许用户调用 getdents() 系统调用读取目录内容。
  • 写(w)
    • 允许用户在目录中创建、删除或重命名文件。
    • 底层实现:内核会检查用户是否有写权限,如果有,则允许用户调用 unlink()、rename() 等系统调用修改目录内容。
  • 执行(x)
    • 允许用户进入目录或访问目录中的文件。
    • 底层实现:内核会检查用户是否有执行权限,如果有,则允许用户调用 open() 系统调用访问目录中的文件。

4. 特殊权限的工作原理

SUID(Set User ID):

  • 当文件设置了 SUID 位时,无论谁执行该文件,进程都会以文件所有者的权限运行。
  • 底层实现:内核在执行文件时,会将进程的 有效用户 ID(EUID) 设置为文件所有者的 UID。
  • 示例:/usr/bin/passwd 文件通常设置了 SUID 位,以便普通用户可以修改自己的密码(需要访问 /etc/shadow 文件)。

SGID(Set Group ID):

  • 当文件设置了 SGID 位时,无论谁执行该文件,进程都会以文件所属组的权限运行。
  • 对于目录,新创建的文件会继承目录的组。
  • 底层实现:内核在执行文件时,会将进程的 有效组 ID(EGID) 设置为文件所属组的 GID。

Sticky Bit

  • 当目录设置了 Sticky Bit 时,只有文件所有者或 root 用户可以删除或重命名目录中的文件。
  • 底层实现:内核在检查删除或重命名操作时,会额外验证用户是否是文件所有者或 root。

5. 权限与文件系统的关系

文件权限的实现依赖于文件系统的支持。常见的 Linux 文件系统(如 ext4、XFS、Btrfs 等)都支持标准的 Unix 文件权限机制。此外,一些高级文件系统(如 ZFS)还支持更细粒度的访问控制列表(ACL)。


6. 权限与安全模块的关系

Linux 内核还支持一些安全模块(如 SELinux、AppArmor),它们可以在标准文件权限的基础上提供更细粒度的访问控制。例如:

  • SELinux 可以为每个文件和进程定义安全上下文,进一步限制访问。
  • AppArmor 可以为每个应用程序定义访问规则,限制其可以访问的文件和资源。

总结

Linux 文件权限的工作原理可以概括为:

  1. 权限信息存储在文件的 inode 中。
  2. 内核根据用户的 UID 和 GID 匹配权限层次(所有者、组、其他用户)。
  3. 内核检查用户是否具有所需的权限(读、写、执行)。
  4. 特殊权限(SUID、SGID、Sticky Bit)会修改进程的权限或限制操作。
  5. 文件系统和安全模块可以进一步增强权限控制。

通过这种机制,Linux 实现了灵活而强大的文件访问控制。

二、什么是rwx权限,他们分别代表什么?

文件权限的表示

文件权限由三组权限组成,每组权限包含三个字符,分别表示读(r)、**写(w)执行(x)**权限。权限可以用两种方式表示:

   1.符号表示法:例如 rwxr-xr—

   2.数字表示法:例如755

1. 符号表示法

  • 每组权限由三个字符组成,顺序为:rwx(读、写、执行)。
  • 如果某个权限被禁用,则用 - 表示。
  • 例如:rwxr-xr-- 表示:
    • 文件所有者:rwx(读、写、执行)。
    • 文件所属组:r-x(读、执行)。
    • 其他用户:r--(仅读)。

2. 数字表示法

  • 每组权限用一个数字表示,数字的值是以下权限值的和:
    • 4:读权限(r)。
    • 2:写权限(w)。
    • 1:执行权限(x)。
  • 例如:
    • 7 = 4 + 2 + 1,表示 rwx。
    • 5 = 4 + 1,表示 r-x。
    • 0 表示没有任何权限(---)。
  • 例如:755 表示:
    • 文件所有者:7(rwx)。
    • 文件所属组:5(r-x)。
    • 其他用户:5(r-x)。

文件权限的作用

  1. 对文件的权限

读(r):允许用户查看文件内容。

写(w):允许用户修改文件内容

执行(x):允许用户将文件作为程序或脚本执行。

   2.对目录的权限:

     读(r):允许用户列出目录中的内容(ll或ls)

     写(w):允许用户在目录中创建、删除或重命名文件

     执行(x):允许用户进入目录(如cd)

三、如何递归的修改一个目录及其子目录的权限?

使用 chmod -R 权限 目录名

-R递归的修改权限 权限可以是符号也可以是数字

目录名:要修改的目标目录。

例如:递归设置目录及其内容的权限为 755

chmod -R 755 /path/to/directory

四、如何将一个新用户添加到某个组?为什么要这样做?

1. 如何将用户添加到组

方法 1:使用 usermod 命令

usermod 命令用于修改用户属性,包括将用户添加到组。

语法

sudo usermod -aG 组名 用户名

  • -a:表示追加(append),确保用户被添加到组而不影响其现有的其他组。
  • -G:指定要添加的组。
  • 组名:目标组的名称。
  • 用户名:要添加到组的用户名。

示例
将用户 john 添加到组 developers:

sudo usermod -aG developers john

方法 2:使用 gpasswd 命令

gpasswd 命令用于管理组,可以将用户添加到组或从组中移除。

语法

sudo gpasswd -a 用户名 组名
  • -a:表示添加用户到组。

示例
将用户 john 添加到组 developers:

sudo gpasswd -a john developers

方法 3:直接编辑 /etc/group 文件

你可以手动编辑 /etc/group 文件来将用户添加到组。

  1. 打开 /etc/group 文件:
sudo vim /etc/group
  1. 找到目标组,例如:

developers:x:1001:

  1. 在组行的末尾添加用户名,例如:

developers:x:1001:john

  1. 保存并退出。

2. 为什么要将用户添加到组

原因 1:管理文件访问权限

  • 在 Linux 中,文件和目录的权限分为三类:所有者、组和其他用户。
  • 通过将用户添加到组,可以更方便地管理用户对共享资源的访问权限。
  • 例如,如果一个目录的权限设置为 770(所有者:rwx,组:rwx,其他用户:---),只有目录的所有者和组成员可以访问该目录。

原因 2:简化权限管理

  • 当多个用户需要访问相同的资源时,可以将这些用户添加到同一个组,然后为组设置权限,而不需要为每个用户单独设置权限。
  • 例如,在一个开发团队中,所有开发者可能需要访问同一个项目目录。将开发者添加到 developers 组,然后为组设置权限,可以简化权限管理。

原因 3:支持特殊权限

  • 某些特殊权限(如 SGID)依赖于组权限。
    • 当目录设置了 SGID 位时,新创建的文件会继承目录的组。
    • 如果用户不在组中,则无法利用这些特殊权限。

原因 4:支持共享资源

  • 在共享环境中(如服务器或开发环境),组可以用于管理共享资源(如数据库、应用程序、文件等)。
  • 例如,将用户添加到 www-data 组,可以允许用户访问 Web 服务器的文件。

原因 5:符合最小权限原则

  • 将用户添加到组可以确保用户仅获得必要的权限,而不是过度授权。
  • 这符合安全最佳实践中的最小权限原则,有助于减少安全风险。

五、讲述umask的作用。

1.什么是umask?

   unask是一个掩码,用于屏蔽新创建的文件或目录的权限

   他是一个8进制的值,通常用三位数字表示

   会影响文件或目录的最终权限

2.umask的工作原理?

   在设置umask后,相当与屏蔽默认权限中对应的权限位。

2.umask 的作用

1. 控制文件权限

  • umask 决定了新创建文件的默认权限。
  • 例如,如果 umask 是 022,则新创建的文件权限为 644(rw-r--r--),即所有者可以读写,组和其他用户只能读。

2. 控制目录权限

  • umask 也决定了新创建目录的默认权限。
  • 例如,如果 umask 是 022,则新创建的目录权限为 755(rwxr-xr-x),即所有者可以读、写、执行,组和其他用户可以读和执行。

3. 增强安全性

  • 通过设置合理的 umask 值,可以防止新创建的文件或目录被未授权的用户访问或修改。
  • 例如,设置 umask 为 077 可以确保新创建的文件和目录只能由所有者访问。

4. 适应多用户环境

  • 在多用户环境中,umask 可以帮助管理员控制用户创建文件或目录的权限,避免权限过于宽松导致的安全问题。

六、如何创建一个新用户并为其分配特定的文件访问权限?

1.创建新用户

   使用useradd或adduser命令创建新用户

方法 1:使用 useradd 命令

sudo useradd -m 用户名
  • -m:创建用户的主目录(通常位于 /home/用户名)。
  • 示例:
sudo useradd -m john

方法 2:使用 adduser 命令(交互式)

sudo adduser 用户名
  • adduser 是一个交互式工具,会提示你设置密码和其他信息。
  • 示例:
sudo adduser john

2. 为用户设置密码

使用 passwd 命令为新用户设置密码:

sudo passwd 用户名

  • 示例:
sudo passwd john

3.为用户分配特定的文件访问权限:

   方法:1.直接修改文件或目录的权限

         2.将用户添加到组,然后为组设置权限

总结

  1. 使用 useradd 或 adduser 创建新用户。
  2. 使用 passwd 为用户设置密码。
  3. 通过直接修改权限或将用户添加到组的方式,为用户分配文件访问权限。
  4. 使用 chmod、chown 和 usermod 等命令管理权限。
  5. 验证权限设置是否正确。

七、什么是SUID、SGID、Sticky Bit,他们分别有什么作用?

   特殊权限是除了用户、组和其他类型之外的第四种权限类型。特殊权限提供额外的访问功能,超出了基本权限的范畴。

权限

对文件的影响

对目录的影响

u+s(suid)

以拥有的文件的用户身份,而不是以运行文件的用户执行文件

无影响

g+s(sgid)

以拥有文件的组的身份执行文件

目录中创建的文件的组的所有者与目录的组的所有者相匹配

O+t(sticky)

无影响

对目录具有写入访问权限的用户仅可删除其所有的文件,而无法删除或强制保存其他用户所拥有的文件。

八、当你发现某个用户无法访问某个文件,你会如何排查和解决问题?

1. 确认问题

  • 与用户确认具体的错误信息(如 Permission denied)。
  • 确认用户尝试的操作(读取、写入、执行等)。

2. 检查文件权限

使用 ls -l 命令查看文件的权限、所有者和所属组:

ls -l 文件名

输出示例:

-rw-r--r-- 1 root root 4096 Oct 10 12:34 文件名

  • 第一列 -rw-r--r-- 表示文件权限。
  • root root 表示文件的所有者和所属组。

分析权限:

  • 所有者权限:文件所有者(root)可以读写文件。
  • 组权限:组成员(root)可以读文件。
  • 其他用户权限:其他用户(包括当前用户)只能读文件。

如果用户没有访问权限,可能是因为:

  1. 用户不是文件的所有者。
  2. 用户不在文件的所属组中。
  3. 文件的权限没有为其他用户开放。

3. 检查用户身份

使用 id 命令查看用户的 UID、GID 和所属组:

id 用户名

输出示例:

uid=1001(john) gid=1001(john) groups=1001(john),1002(developers)

  • 确认用户是否属于文件的所属组。
  • 如果用户不在组中,可以将其添加到组(见下文)。

4. 检查文件所有权

如果文件的所有者或所属组不正确,可以使用 chown 和 chgrp 命令修改:

  • 修改文件所有者:

sudo chown 新所有者 文件名

  • 修改文件所属组:

sudo chgrp 新组 文件名

  • 同时修改所有者和组:

sudo chown 新所有者:新组 文件名


5. 检查文件权限

如果文件的权限不足,可以使用 chmod 命令修改权限:

  • 为所有者、组或其他用户添加权限:

sudo chmod u+rw 文件名  # 为所有者添加读写权限

sudo chmod g+r 文件名   # 为组添加读权限

sudo chmod o+r 文件名   # 为其他用户添加读权限

  • 使用数字模式设置权限:

sudo chmod 644 文件名  # 所有者:读写,组和其他用户:只读


6. 检查父目录权限

如果用户无法访问文件所在的目录,也会导致无法访问文件。使用 ls -ld 检查目录权限:

ls -ld 目录名

输出示例:

drwxr-xr-x 2 root root 4096 Oct 10 12:34 目录名

  • 确保用户对目录有执行权限(x),否则无法进入目录。
  • 如果需要,使用 chmod 修改目录权限:

sudo chmod o+x 目录名  # 为其他用户添加执行权限


7. 检查文件系统挂载选项

如果文件位于特殊挂载的文件系统(如 NFS、tmpfs 等),可能需要检查挂载选项:

  • 使用 mount 命令查看挂载选项:

mount | grep 挂载点

  • 确保挂载选项没有限制用户访问(如 noexec、nosuid、ro 等)。

8. 检查 SELinux 或 AppArmor

如果系统启用了 SELinux 或 AppArmor,可能会限制用户访问文件。

检查 SELinux:

  1. 使用 ls -Z 查看文件的 SELinux 上下文:

ls -Z 文件名

输出示例:

-rw-r--r--. root root system_u:object_r:httpd_sys_content_t:s0 文件名

  1. 如果 SELinux 限制了访问,可以使用 chcon 修改上下文:

sudo chcon -t 上下文 文件名

  1. 如果需要临时禁用 SELinux,可以修改 /etc/selinux/config 文件,将 SELINUX 设置为 permissive 或 disabled。

检查 AppArmor:

  1. 使用 aa-status 查看 AppArmor 的状态:

sudo aa-status

  1. 如果 AppArmor 限制了访问,可以调整配置文件或禁用相关规则。

9. 检查磁盘配额

如果用户的磁盘配额已满,可能会导致无法创建或修改文件。使用 quota 命令检查配额:

quota -u 用户名


10. 检查文件是否被锁定

如果文件被其他进程锁定,可能会导致无法访问。使用 lsof 命令检查文件是否被占用:

sudo lsof 文件名


11. 总结排查步骤

  1. 确认用户的操作和错误信息。
  2. 检查文件的权限、所有者和所属组。
  3. 检查用户的身份和所属组。
  4. 检查父目录的权限。
  5. 检查文件系统挂载选项。
  6. 检查 SELinux 或 AppArmor 的限制。
  7. 检查磁盘配额和文件锁定情况。

九、如何查看某个文件的权限?

使用ls -l命令

若要查看目录的权限:使用ls -ld命令

后续问题将在SELinux给出

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值