linux权限管理

linux权限管理

Linux系统一般将文件可存/取访问的身份分为3个类别：owner（拥有者）、group（和所有者同组的用户）、
others（其他人，除了所有者，除了同组的用户以及除了超级管理员），
且3种身份各有read（读）、write（写）、execute（执行）等权限。

1.在Linux中分别有读、写、执行权限：

读权限：

　　对于目录来说，读权限影响用户是否能够列出目录结构

　　对于文件来说，读权限影响用户是否可以查看文件内容

 

写权限：

　　对目录来说，写权限影响用户是否可以在文件夹下“创建/删除/复制到/移动到”文档

　　对于文件来说，写权限影响用户是否可以编辑文件内容

 

执行权限：

　　对于目录来说：执行权限影响用户是否可以执行cd操作

　　对于文件来说，特别脚本文件。执行权限影响文件是否可以运行。

2.身份介绍

Owner身份（文件所有者，默认为文档的创建者）

Group身份（与文件所有者同组的用户）

Others身份（其他人，相对于所有者与同组用户）

3. Linux权限介绍

十位字符表示含义：

　　第1位：表示文档类型，取值常见的有“d表示文件夹”、“-表示文件”、“l表示软连接”、“s表示套接字”、“c表示字符设备”、“b表示块状设备”等等；

　　第2-4位：表示文档所有者的权限情况，第2位表示读权限的情况，取值有r、-；第3位表示写权限的情况，w表示可写，-表示不可写，第4位表示执行权限的情况，取值有x、-。

　　第5-7位：表示与所有者同在一个组的用户的权限情况，第5位表示读权限的情况，取值有r、-；第6位表示写权限的情况，w表示可写，-表示不可写，第7位表示执行权限的情况，取值有x、-。

　　第8-10位：表示除了上面的前2部分的用户之外的其他用户的权限情况，第8位表示读权限的情况，取值有r、-；第9位表示写权限的情况，w表示可写，-表示不可写，第10位表示执行权限的情况，取值有x、-。

4.权限设置

语法：#chmod 选项 权限模式 文档

注意事项：

常用选项：

-R：递归设置权限 （当文档类型为文件夹的时候）

权限模式：就是该文档需要设置的权限信息

文档：可以是文件，也可以是文件夹，可以是相对路径也可以是绝对路径。

注意点：如果想要给文档设置权限，操作者要么是root用户，要么就是文档的所有者。

5、字母形式

给谁设置：

u：表示所有者身份owner（user）

g：表示给所有者同组用户设置（group）

o：表示others，给其他用户设置权限

a：表示all，给所有人（包含ugo部分）设置权限

如果在设置权限的时候不指定给谁设置，则默认给所有用户设置

6.权限分配方式：

+：表示给具体的用户新增权限（相对当前）

-：表示删除用户的权限（相对当前）

=：表示将权限设置成具体的值（注重结果）【赋值】

eg:
    [root@ken ~]# chmod u+x,g+rw,o+r anaconda-ks.cfg

7.数字形式

经常会在一些技术性的网页上看到类似于#chmod  777  a.txt  这样的一个权限，这种形式称之为数字形式权限（777）。
 
读：r        4

写：w       2

执行：x    1

没有任何权限：0   对应---
eg:
[root@ken ~ ]# chmod 754 anaconda-ks.cfg

8、chown

作用：更改文档的所属用户（change owner）

语法：#chown  -R  新的username 文档路径

 

-R：表示选项  文件不需要-R

目录需要加-R

如果你要对目录进行操作，加参数  -R



案例：

chown user:group filename   比如：chown hr:san a.txt  把文件的属主和属组改为hr,san

chown user filename  比如：chown san a.txt  把文件的属主改为san用户

chown :group filename  比如： chown :miao a.txt   把文件的属组改为miao这个组

chown user: filename 比如：chown san: a.txt  自动继承这个用户所有的组

chgrp hr filename 比如： chgrp hr f.txt  

-R ：递归（目录下的所有内容都更改，否则只修改目录）

9.文件的特殊权限

suid  sgid和文件扩展权限ACL
其实文件与目录设置不止这些，还有所谓的特殊权限。由于特殊权限会拥有一些“特权”.

1)特殊权限：suid sgid

1、SUID（set uid设置用户ID）：限定：只能设置在二进制可执行程序上面。对目录设置无效

功能：程序运行时的权限从执行者变更成程序所有者的权限



2、SGID：限定：既可以给二进制可执行程序设置，也可以对目录设置

功能：在设置了SGID权限的目录下建立文件时，新创建的文件的所属组会，继承上级目录的所属组


u+s或u=4

g+s或g=2

SUID属性一般用在可执行文件上，当用户执行该文件时，会临时拥有该执行文件的所有者权限。使用”ls -l” 或者”ll” 命令浏览文件时，如果可执行文件所有者权限的第三位是一个小写的”s”，就表明该执行文件拥有SUID属性。

 例如现在普通用户不能查看/etc/shadow文件

[root@ken ~]# su - ken
Last login: Wed Feb 27 22:26:26 CST 2019 on pts/0
  [ken@ken ~]$ cat /etc/shadow
  cat: /etc/shadow: Permission denied

现在赋予文件passwd特殊权限suid

[root@ken ~]# chmod u+s `which cat`
[root@ken ~]# ls -l `which cat`
-rwsr-xr-x. 1 root root 27832 Jun 10  2014 /usr/bin/cat


再次切换普通用户执行cat,可以发现可以查看该文件了

复制代码
[ken@ken ~]$ cat /etc/shadow
root:$6$9XC/lEl96ujGI9c8$E55wvS9amcKFj7/0HmblYg0j28FHwfymL.mQliqQNSElicrQKkZLurkSvVAv6NXM/KiJWFYV8NAh8imLiFedb/::0:99999:7:::
bin:*:17632:0:99999:7:::
daemon:*:17632:0:99999:7:::
adm:*:17632:0:99999:7:::
lp:*:17632:0:99999:7:::
sync:*:17632:0:99999:7:::
shutdown:*:17632:0:99999:7:::
halt:*:17632:0:99999:7:::
mail:*:17632:0:99999:7:::
operator:*:17632:0:99999:7:::
games:*:17632:0:99999:7:::
ftp:*:17632:0:99999:7:::
复制代码


SGID

限定：既可以给二进制可执行程序设置，也可以给目录设置。

功能：在设置了SGID权限的目录下建立文件时，新创建的文件的所属组会继承上级目录的权限。

复制代码
[root@ken ~]# mkdir test1
[root@ken ~]# ls -ld test1
drwxr-xr-x 2 root root 6 Feb 27 22:38 test1
[root@ken ~]# chmod g+s test1
[root@ken ~]# chown :ken test1
[root@ken ~]# touch test1/test.txt
[root@ken ~]# ls -ls test1/test.txt
0 -rw-r--r-- 1 root ken 0 Feb 27 22:40 test1/test.txt
复制代码


SBIT
 
对于设置sbit权限的文件，用户只能删除自己创建的文件，无法删除其他用户的文件

对目录/tmp添加sbit权限，删除文件的时候显示拒绝操作

复制代码
[root@ken ~]# chmod o+t /tmp
[root@ken ~]# useradd t1
[root@ken ~]# useradd t2
[root@ken ~]# su - t1
Last login: Thu Mar 14 14:04:37 CST 2019 on pts/1
[t1@ken ~]$ touch /tmp/t1
[t1@ken ~]$ exit
logout
[root@ken ~]# su - t2
Last login: Thu Mar 14 14:03:59 CST 2019 on pts/1
[t2@ken ~]$ touch /tmp/t2
[t2@ken ~]$ rm -rf /tmp/t1
rm: cannot remove ‘/tmp/t1’: Operation not permitted
复制代码
 

去掉sbit权限之后，再次删除即可

[root@ken ~]# chmod o-t /tmp
[root@ken ~]# su - t2
Last login: Fri Mar 15 12:49:54 CST 2019 on pts/4
[t2@ken ~]$ rm -rf /tmp/t1


文件扩展权限ACL
 

扩展ACL  ：access control list

例：设置用户ken对文件a.txt拥有的rwx权限 ，ken不属于a.txt的所属主和组，ken是other。怎么做？

[root@ken ~]# setfacl -m u:ken:rwx a.txt
-m表示设置的意思

查看扩展权限getfacl

复制代码
[root@ken ~]# getfacl a.txt
# file: a.txt
# owner: root
# group: root
user::rw-
user:ken:rwx
group::r--
mask::rwx
other::r--
复制代码
 

去除权限

[root@ken ~]#  setfacl -R -m u:ken:rw- testdirectory/    #-R一定要在-m前面，表示目录下所有文件
[root@ken ~]#  setfacl -x u:ken /tmp/a.txt          # 去掉单个权限
[root@ken ~]#  setfacl -b  /tmp/a.txt              # 去掉所有acl权限

10.实战sudo

Sudo配置文件：/etc/sudoers

该文件默认只读，不允许修改，因此不能直接修改。


a. 配置sudo文件请使用“#visudo”，打开之后其使用方法和vim一致


b. 配置普通用户的权限



Root表示用户名，如果是用户组，则可以写成“%组名”

ALL：表示允许登录的主机（地址白名单）

(ALL)：表示以谁的身份执行，ALL表示root身份

ALL：表示当前用户可以执行的命令，多个命令可以使用“,”分割



案例：创建ken用户，本身ken用户不能添加用户，要求使用sudo配置，将其设置为可以添加用户。

[root@ken ~]# su - ken
Last login: Wed Feb 27 22:34:04 CST 2019 on pts/0
[ken@ken ~]$ useradd test
-bash: /usr/sbin/useradd: Permission denied

修改sudo文件


注意：在写sudo规则的时候不建议写直接形式的命令，而是写命令的完整路径。

路径可以使用which命令来查看

语法：#which 指令名称



在添加好对应的规则之后就可以切换用户，切换到普通用户ken，再去执行：

 

此时要想使用刚才的规则，则以以下命令进行：

#sudo 需要执行的指令

复制代码
[root@ken ~]# su - ken
Last login: Wed Feb 27 22:51:26 CST 2019 on pts/0
[ken@ken ~]$ useradd  test            #需要加上sudo
-bash: /usr/sbin/useradd: Permission denied
[ken@ken ~]$ sudo useradd test1

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

[sudo] password for ken: 
复制代码
 

在输入sudo指令之后需要输入当前的用户密码进行确认的操作（不是root用户密码），输入之后在接下来5分钟内再次执行sudo指令不需要密码。