Linux下权限的设定
1查看及读取权限信息
查看属性
| 指令 | 作用 |
|---|---|
| ls -l filename | 查看文件属性 |
| ls -ld dirname | 查看目录属性 |
| ls -lR dir | 显示目录下的文件和子目录下的文件属性 |
文件属性各字段的理解
ls -l file 所显示属性的意义—共八类—matadate ,每一类用1byte记录,最后的名称每一个字符占用一个字节
1 类型
| - | 普通文件 |
|---|---|
| d | 目录 |
| l | link软连接 |
| b | block块设备文件 |
| c | 字符设备 /dev/pts/0 |
| s | socket套接字 |
| p | 管道符 |
2 文件权限 :从前到后每三个字符分别代表:u拥有者、g组成员、o(other),三个字符分别代表r-只读、w-写、x-执行 ,’ - '表示关闭,缺失,无此功能
3.SELinux Context :内核级防火墙
4 文件硬链接个数 :
硬链接:内容被系统记录的次数,多个文件内容对应一个节点
软连接:一个文件对应多个节点
ln / ln -s 创建硬链接/软链接(目录中子目录的个数)
5 文件拥有者
6 文件拥有组
7 文件大小:与文件内容有关,注意每个单词后面/n也算一个字符
8 文件最后一次被修改的时间
9 文件名称
目录属性各字段的理解
4:代表目录中子目录和文件个数,注意子目录中内容不管
7: 目录中文件与子目录元数据大小:隐藏目录 “.” "…"大小为6,再加上文件元数据大小(所显示属性的意义—共八类—matadate ,每一类用1byte记录,最后的名称每一个字符占用一个字节。)注意,子目录中内容不计算。
2文件的拥有者及拥有组
- 文件的拥有者及拥有组
Linux 是个多用户多任务的系统 , 常常会有多人同时使用同一主机来进行工 作 , 为了考虑每个人的隐私权以及每个人喜好的工作环境, 对用户进行分类
| u | 文件拥有者 (user) |
|---|---|
| g | 文件所属组 (group) |
| o | 其他人 (other) |
2.更改文件拥有者及拥有组的方法
注意:文件拥有者及拥有组只有超级用户root可以修改
对于文件
| 指令 | 作用 |
|---|---|
| # chown username file | 修改文件的拥有者 |
| #chgrp groupname file | 修改文件拥有组 |
| # chown username:groupname file | 都修改 |
对于目录
| 指令 | 作用 |
|---|---|
| # chown -R username dir | 修改目录的拥有者 |
| #chgrp -R groupname file | 修改目录拥有组 |
| # chown username:groupname dir | 都修改 |
3文件权限的理解
1.文件权限读取
# ls -l file 查看文件属性
# ls -ld dir 查看目录属性
# ls -lR dir 查看目录中内容属性,子目录属性,子目录内容属性
# ls -l dir 查看目录中内容属性
| u | 文件拥有者对文件的权限 |
|---|---|
| g | 文件拥有组对文件的权限 |
| o | 其他人对于文件的权限 |
2.权限类型
| - | 权限 关闭 |
|---|---|
| r 查看权限 | 1.对于文件可查看文件中的内 容 2.对于目录可列出目录中的文件名称 |
| w可写权限 | 1.对于文件可更改文件记录的内容2.对于目录可创建删除文件,对文件重命名,移动文件位置 |
| x执行权权限 | 1.对于文件可用文件名称调用文件内记录的程序2.对于目录可进入目录 |
注意:1.文件建立与删除与目录属性w有关
2.目录必须同时有r+x权限才可以浏览目录中文件或子目录列表及属性
文件r权限效果
文件w权限效果
文件x权限效果
目录r权限效果
目录w权限效果
目录x权限效果
4.文件权限设定方式
1.字符方式设定权限
chmod <u|g|o|a><+|-|=><r|w|x> 目标
#chmod +r,a+w,+x xzt
#chmod u+r,g-w,o+x,xzt
#chmod u=r--,g=-w-,o=--x xzt
#chmod -R ugo=空格 +~ 递归修改,空格代表空权限---
2.数字设定方式(效率高一些)
# time chmod u-x,g-wx,o=--x /etc/ -R 查看命令执行花费时间
r=4,w=2,x=1
chmod 数字 TAG
| — | 0 |
|---|---|
| –x | 1 |
| -w- | 2 |
| -wx | 3 |
| r– | 4 |
| r-x | 5 |
| rw- | 6 |
| rwx | 7 |
#chmod -R 000 +~
#chmod 755 +~ 目录初始权限
#chmod 644 +~ 文件初始权限
注意:目录不开放x权限就无法进去目录,一般都会开放。
3.权限复制
#chmod --reference=xzt wd 把xzt属性复制给wd
注意:这里的目标文件和源文件都要存在,chmod无法新建
#cp -p xzt wd把xzt属性复制给wd,同时xzt内容也会覆盖给wd
注意:目标文件可以不存在,cp 可以新建,当文件存在时,内容会被覆盖源文件内容
5系统预留权限阀值
1.对于权限预留阀值的理解
资源存在意义在于共享,权限开放越大, 共享效果越明显,但是安全性越差
对于系统安全而言,开放权利越小,系 统越安全
在系统中开放应开放的权利,保留不安 全的权利以确保系统功能性及安全性
| root | 普通 |
|---|---|
| 文件644rw- r-- r– | 文件664rw- rw- r– |
| 目录755rwx r-x r-x | 目录775rwx rwx r-x |
2.权限预留阀值设定
#umask 查看预留
#umask 033 在shell中临时设定
永久设定
# vim /etc/bashrc
# vim /etc/profile
#source /etc/bashrc
#source /etc/profile
6特殊权限
1.STICKYID粘滞位:对于目录:表示当目录上有 STICKYID 的权限时 , 所有用户在该目录下均可创 建文件 , 但只有文件拥有者和 root 用户可以删除该目录下的文件
#chmod o+t dir
实验
root # mkdir /mnt/public 建立公共目录
root # chmod 777 /mnt/public 开启所有权限都可以建立文件
xzt #touch /mnt/public/xztfile 建立文件
wd #touch /mnt/public/wdfile 建立文件
root # chmod o+t /mnt/public 开启粘滞位特殊权限
wd # rm -rf /mnt/public/xztfile 无法删除
2.SGID强制位:针对目录 : 目录新建文件的所属组与该目录的所有组保持一致
#chmod g+s dir
实验
root # watch -n 1 ls -lR /mnt/public
root # chmod 777 /mnt/public 开启所有权限
root # chgrp westos /mnt/public 更改目录所有组
root #chmod g+s /mnt/public 开启强制位
student # mkdir -p /mnt/public/file 建立文件所有组和目录一致
SGID强制位:针对二进制可执行文件 : 该命令发起的程序是以该命令所有组的身份去执行
#chmod g+s file
3.SUID冒险位: 只针对于二进制可执行文件 , 使用拥有SUID权限的文件发其中记录的程序时以 文件拥有者的身份去执行
#chmod u+s file
实验
root # which cat 查看cat可执行文件存放位置
root # ls -l /bin/cat 查看属性
root #watch -n 1 "ps ax o user,group,comm|grep cat"监控进程
student # /bin/cat 未开启时查看执行身份
root #chmod g+s /bin/cat 开启强制位
student # /bin/cat 查看开启强制位时执行身份
root #chmod u+s /bin/cat 开启冒险位
student # /bin/ca t查看开启冒险位时执行身份
注意:SUID冒险位与visudo提升权力区别:SUID使任何人执行文件时都可以提升权力,但visudo只能使特定用户提升权力。
7.ACL权限列表
传统的权限仅有三种身份 (owner,group,othe) 搭配三种权限 (r,w,x), 并没有办法单纯的针对 某一个使用者或某一个群组来设置特定的权 限需求 , 此时就得要使用ACL( 文件访问控制 列表 ,Access Control List) 这个机制
#getfacl file 查看acl查看权限列表
#setfacl -m u:username:rwx file 设定特定用户特定权限
#setfacl -m g:groupname:rwx file 设定特点组的acl权限
#setfacl -x u:username file 删除特定用户特定权限
#setfacl -x u:username file 删除特定组特定权限
#setfacl -b file 关闭权限列表
注意:开启acl权限后#ls -l file 显示的权限不是真实权限,需要用#getfacl file 查看,其中g权限代表的是mask权限,更改时#chmod g+rwx file会同时改变mask默认权限和g的effective权限,因此#setfacl -m g::rwx filelai更改g权限,#setfacl -m m:rwx file更改mask权限。
2.facl权限匹配顺序
资源拥有者(user)>特殊指定用户(acluser)>权力开放多的拥有组、特殊指定组(group/aclgroup)>其他用户(other)
执行人身份和文件所有者所有组以及文件的权限加粗样式相对应,根据匹配顺序得到是否有权利。
实验一:user和acluser权限匹配比较
实验二:aclgroup和group权限匹配比较
证明:aclgroup和group谁开放的权限多就匹配谁
3.facl的mask阀值
“+”开启权限列表以后,此时#ls -l file显示的不是文件真实权限,其中g的那一栏代表的是mask值,mask值位指定用户或者用户组可以生效的最大权限,mask值对acl用户,acl用户组,普通组生效。
#chmod g-rwx file 不会改变group而是mask值
#setfacl -m g::rwx file 更改普通组group权限
#setfacl -m m:rwx file 设定mask值
4facl的default权限
只对目录设定,并且只对目录中新出现的目录或文件生效而对目录本身以及目录中原有文件不生效,开启后,目录中新建的文件目录会自动复制default列表。
#setfacl -m d:u:xzt:rwx dir 开启默认权限列表
#setfacl -m d:g:xzt:rwx dir 开启默认权限列表
#setfacl -k dir 关闭default默认权限列表
#setfacl -R -m u:xzt:rwx dir 对目录中已有的文件子目录递归生效特殊权限
5对root也能限制的特殊权限
#chattr +a file 对文件只能增加数据(echo》)不能删除或者修改数据
#chattr +a dir 对目录只能添加文件,不能删除
#chattr +i file 对文件不能增加删除或者修改数据
#chattr +i dir 对目录不能添加删除重命名文件,但可以更改文件中内容
#lsattr -d file/di r查看目录本身特殊属性
#lsattr -a dir 查看目录中内容特殊属性
2875
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
