Linux文件权限管理

Thedaii

已于 2022-07-09 14:30:58 修改

阅读量647

点赞数

文章标签： linux 服务器 centos

于 2022-07-08 17:04:36 首次发布

本文链接：https://blog.csdn.net/dcx20010828/article/details/125679891

版权

文章目录

前言
一、基本权限
二、设置权限
三、更改权限
四、权限掩码umask
五、高级权限
六、sudo放开所有命令使用权
扩展(文件属性chattr)

前言

我们linux服务器上有严格的权限等级，如果权限过高导致误操作会增加服务器的风险。所以对于了解linux系统中的各种权限及要给用户，服务等分配合理的权限十分重要

环境：centos7

一、基本权限

文件权限设置：可以赋于某个用户或组能够以何种方式访问某个文件
在这里插入图片描述

权限对象：

属主------->u
属组------->g
其他人------>o

基本权限类型：

读(read)：r ---->4
写(write)：w ---->2
执行: x(exec) ----->1

随堂测试

rwx 	 rw- 	 r--       alice hr file1.txt
属主权限 属组权限 其他人权限 属主 属组 文件
前提条件：jack属于hr组

一 alice对file1.txt文件有什么权限？
二 jack对file1.txt文件有什么权限？
a. jack是所有者吗？
b. jack属于hr组吗？
三 tom对file1.txt文件有什么权限？
a. tom是所有者吗？
b. tom属于hr组吗？
c. tom为其他人吗？

答案

一、alice是文件的拥有者，根据题目的rwx它具有可读，可写，可执行文件
二、jack属于hr，而hr是文件的所属组，所以jack有rw权限具有可读，可写权限
a、jack不是所有者
b、jack属于hr组
三、tom不是所有者也不是文件的所属组里面，所以他的权限对应其他人的权限，为r有可读的权限
a、tom不是所有者
b、tom不属于hr组
c、tom是其他人

二、设置权限

chown:改变文件或目录的所属主以及所属组
chmod:为文件或目录设置访问权限

chown(更改文件的属主(所有者)、属组 (所属组))

[root@linux-server ~]# chown alice.hr file1.txt //修改属主、属组
[root@linux-server ~]# chown tom file1.txt //修改属主
[root@linux-server ~]# chown .it file1.txt //只改属组
[root@linux-server ~]# chown -R alice.hr dir1 //递归修改---针对目录

三、更改权限

1、使用符号

在这里插入图片描述

权限对象：

属主------->u
属组------->g
其他人------>o
所有人------>a

赋值符：

+ 添加某个权限。 
- 取消某个权限。 
= 赋予给定权限并取消其他所有权限(如果有的话)

权限类型：

r------->可读
w------->可写
x------>可执行

实例

[root@linux-server ~]# chmod u+x file1.txt //属主增加执行
[root@linux-server ~]# chmod a=rwx file1.txt //所有人等于读写执行
[root@linux-server ~]# chmod a=- file1.txt //所有人都没有权限
[root@linux-server ~]# chmod ug=rw,o=r file1.txt //属主属组等于读写，其他人只读
[root@linux-server ~]# ll
-rw-rw-r--. 1 tom it 0 Nov 1 15:30 file1.txt

2、使用数字

操作同上，权限类型用数字标识

4------->可读(r)
2------->可写(w)
1------->可执行(x)

实例

[root@linux-server ~]# chmod 644 file1.txt
[root@linux-server ~]# ll file1.txt
-rw-r--r--. 1 tom it 0 Nov 1 15:30 file1.txt
[root@linux-server ~]# chmod 755 file1.txt
[root@linux-server ~]# ll
-rwxr-xr-x 1 root root 0 Jul 23 22:40 file1.txt
[root@linux-server ~]# chmod 521 file1.txt
[root@linux-server ~]# ll
-r-x-w---x 1 root root 0 Jul 23 22:40 file1.txt

3、r、w、x权限对文件和目录的意义

在这里插入图片描述
对文件：

r----cat
w ---vi、vim
x ---- bash /dir/file

对目录：

r ---ls
w -----touch、rm
x ---- cd

四、权限掩码umask

控制用户创建文件和目录的默认权限

#查看umask
[root@qfedu.com ~]#umask
0022 root账户默认
0002 普通用户默认

#root用户默认最高权限
目录777 文件666

使用默认权限-umask就是得到了权限

计算规则

如果对应位上为偶数：最终权限就是这个偶数值。
如果上面的对应为上有奇数，就对应位+1。

就按照上面的umask=023为例，在计算其他用户权限的时候6-3=3 ，6是读写，3是写和执行
其实应该是读写权限减去写权限的得到读权限的，相当于我们多减去了一个执行权限。所以结果加1。

[root@hadoop100 opt]# touch test.txt
[root@hadoop100 opt]# ll -d test.txt
-rw-r--r-- 1 root root 0 7月   8 16:42 test.txt

五、高级权限

高级权限 suid,sgid,sticky

1、高级权限的类型

suid ==== 4 提权 （只对二进制命令文件生效，其他不管用）
sgid ==== 2 组继承 （只能对目录设置）
sticky == 1 (t权限) 权限控制

2、设置特殊权限

字符—语法：

chmod u+s file
chmod g+s dir
chmod o+t dir

数字

chmod 4777 file
chmod 2770 dir
chmod 1770 dir

suid

普通用户通过suid提权 <针对文件>
在进程文件（二进制，可执行的命令文件）上增加suid权限

[root@linux-server ~]# chmod u+s /usr/bin/cat
[root@linux-server ~]# chmod u+s /usr/bin/rm
[root@linux-server ~]# su - alice
Last login: Wed Nov 6 17:40:40 CST 2019 on pts/0
[alice@linux-server ~]$ cat /root/file1.txt
123
[alice@linux-server ~]$ rm -rf /root/file1.txt

sgid

把s放到文件的所属用户组的x位置上的话，就是SGID。那么SGID的功能是什么呢？和SUID一样，只是SGID是获得该程序所属用户组的权限。

SGID主要用在目录上，如果用户在此目录下具有w权限的话，使用者在此目录下建立新文件，则创建的这个文件的群组与此目录的群组相同

[root@linux-server ~]# mkdir /opt/dir1 #创建目录
[root@linux-server ~]# groupadd hr #创建一个组
[root@linux-server ~]# chmod 775 /opt/dir1/ #设置权限
[root@linux-server ~]# ll -d /opt/dir1/
drwxrwxr-x. 2 root root 6 Nov 6 21:26 /opt/dir1/
[root@linux-server ~]# chown .hr /opt/dir1/ #设置属组
[root@linux-server ~]# chmod g+s /opt/dir1/ #设置sgid
[root@linux-server ~]# ll -d /opt/dir1/
drwxrwsr-x. 2 root hr 6 Nov 6 21:26 /opt/dir1/
[root@linux-server ~]# touch /opt/dir1/a.txt
[root@linux-server ~]# ll /opt/dir1/a.txt
-rw-r--r--. 1 root hr 0 Nov 6 21:33 /opt/dir1/a.txt

[root@linux-server ~]# chmod o+w /opt/dir1/ -R
[root@linux-server ~]# su - alice
Last login: Wed Nov 6 21:34:59 CST 2019 on pts/2
[alice@linux-server ~]$ touch /opt/dir1/b.txt
[alice@linux-server ~]$ ll /opt/dir1/b.txt
-rw-rw-r--. 1 alice hr 0 Nov 6 21:35 /opt/dir1/b.txt

Sticky Bit

这个就是针对others来设置的了，和上面两个一样，只是功能不同而已。
SBIT（Sticky Bit）目前只针对目录有效，对于目录的作用是：当用户在该目录下建立文件或目录时，仅有自己与 root才有权力删除。

[root@linux-server ~]# cd /home/
[root@linux-server home]# mkdir dir2
[root@linux-server home]# chmod 757 dir2/
[root@linux-server home]# chmod o+t dir2/
[root@linux-server home]# ll -d dir2/
drwxr-xrwt. 2 root root 52 Oct 31 16:49 dir2/
[root@linux-server home]# useradd jack #创建用户
[root@linux-server home]# su - alice
Last login: Wed Nov 6 21:48:12 CST 2019 on pts/2
[alice@linux-server ~]$ touch /home/dir2/alice.txt #用户alice创建文件
[alice@linux-server ~]$ exit
logout
[root@linux-server home]# su - jack
Last login: Wed Nov 6 21:48:36 CST 2019 on pts/2
[jack@linux-server ~]$ touch /home/dir2/jack.txt #用户jack创建文件
[jack@linux-server ~]$ rm -rf /home/dir2/alice.txt
rm: cannot remove ‘/home/dir2/alice.txt’: Operation not permitted
测试jack删除alice创建的文件，无法删除

目前两种给普通用户提权手段

sudo: 有针对性，例如针对某个用户以能够以root的身份执行某些命令。
suid: 基本针对所有用户，任何用户在执行有suid权限的程序时（例如/usr/bin/rm），都是以root身份在执行。

六、sudo放开所有命令使用权

[root@linux-server ~]# visudo
91 ## Allow root to run any commands anywhere
92 root ALL=(ALL) ALL
93 jack ALL=(ALL) NOPASSWD:ALL
94 alice ALL=(ALL) NOPASSWD:/usr/bin/mkdir, /usr/bin/rm,
/usr/bin/touch
95
96 ## Allows members of the 'sys' group to run networking, software,
测试：
[root@linux-server ~]# su - alice
Last login: Fri Jul 24 00:52:13 CST 2020 on pts/1
[alice@linux-server ~]$ touch /file
touch: cannot touch ‘/file’: Permission denied
[alice@linux-server ~]$ sudo touch /file

扩展(文件属性chattr)

文件属性的添加与查看

i：即Immutable，系统不允许对这个文件进行任何的修改
a：即Append Only，系统只允许在这个文件之后追加数据，不允许任何覆盖或截断这个文件
A：即Atime，告诉系统不要修改对这个文件的最后访问时间

[root@linux-server ~]# touch file1 file2 file3
1.查看文件属性
[root@linux-server ~]# lsattr file1 file2 file3
---------------- file1
---------------- file2
---------------- file3
2.设置权限
[root@linux-server ~]# chattr +a file1 #不允许修改，只允许追加
[root@linux-server ~]# chattr +i file2 #不允许做任何操作
[root@linux-server ~]# chattr +A file3
[root@linux-server ~]# lsattr file1 file2 file3
-----a---------- file1
----i----------- file2
-------A-------- file3

测试

[root@linux-server ~]# echo 111 > file1 #覆盖，只允许追加
-bash: file1: Operation not permitted
[root@linux-server ~]# rm -rf file1 #不能删除
rm: cannot remove ‘file1’: Operation not permitted
[root@linux-server ~]# echo 111 >> file1 #追加
[root@linux-server ~]# echo 111 > file2
-bash: file2: Permission denied
[root@linux-server ~]# echo 111 >> file2
-bash: file2: Permission denied
[root@linux-server ~]# rm -rf file2
rm: cannot remove ‘file2’: Operation not permitted
[root@linux-server ~]# mv file2 file4
mv: cannot move ‘file2’ to ‘file4’: Operation not permitted
取消权限
[root@linux-server ~]# chattr -a file1
[root@linux-server ~]# chattr -i file2