1、权限简介
操作系统中每个文件都拥有特定的权限、所属用户和所属组。权限是操作系统用来限制资源访问的机制,在Linux中权限一般分为读(readable)、写(writable)和执行(excutable),分为三组。分别对应文件的属主(owner),属组(group)和其他用户(other),通过这样的机制来限制哪些用户、哪些组可以对特定的文件进行什么样的操作。
2、文件和目录权限的区别
对文件和目录而言,读写执行表示不同的意义
对文件
| r | 可以使用cat查看文件的内容 |
| w | 可以修改文件的内容 |
| x | 可以将其运行为二进制文件 |
对目录
| r | 可以查看目录下列表 |
| w | 可以创建和删除目录下文件 |
| x | 可以使用cd进入目录 |
注:文件的x权限一般关闭,防止可执行的二进制病毒文件自动运行
目录的x权限一般开启,否则r和w权限将失去意义
3、权限的控制
<1>修改文件的属主属组
chown [OPTION]... FILE...
-R:递归修改文件的属主属组
chgrp [OPTION]... FILE...
[root@centos7 testdir]# touch f1 f2 [root@centos7 testdir]# ll total 0 -rw-r--r--. 1 root root 0 Aug 4 13:22 f1 -rw-r--r--. 1 root root 0 Aug 4 13:22 f2 [root@centos7 testdir]# chown zhao:zhao f1 [root@centos7 testdir]# chown :zhao f2 [root@centos7 testdir]# touch f3 [root@centos7 testdir]# chgrp zhao f3 [root@centos7 testdir]# ll total 0 -rw-r--r--. 1 zhao zhao 0 Aug 4 13:22 f1 -rw-r--r--. 1 root zhao 0 Aug 4 13:22 f2 -rw-r--r--. 1 root zhao 0 Aug 4 13:23 f3
<2>修改文件的权限属性
●chmod [OPTION]... MODE[,MODE]... FILE...
-R:递归修改文件的权限
下面是三种修改权限的方法:
赋权表示法:操作一类用户的所有权限位(augo)
授权表示法:操作一类用户的一个权限位(augo)
数字表示法:用数字的形式表示权限
[root@centos7 testdir]# touch f1 [root@centos7 testdir]# ll f1 -rw-r--r--. 1 root root 0 Aug 4 14:13 f1 [root@centos7 testdir]# chmod o=rw f1 [root@centos7 testdir]# ll f1 -rw-r--rw-. 1 root root 0 Aug 4 14:13 f1 [root@centos7 testdir]# chmod o+x f1 [root@centos7 testdir]# ll f1 -rw-r--rwx. 1 root root 0 Aug 4 14:13 f1 [root@centos7 testdir]# chmod 644 f1 [root@centos7 testdir]# ll f1 -rw-r--r--. 1 root root 0 Aug 4 14:13 f1
chmod [OPTION]... --reference=RFILE FILE...
[root@centos7 testdir]# ll total 0 -rw-r--r--. 1 root root 0 Aug 4 14:13 f1 -rw-rw-r--. 1 root root 0 Aug 4 14:18 f2 [root@centos7 testdir]# chmod --reference=f1 f2 [root@centos7 testdir]# ll total 0 -rw-r--r--. 1 root root 0 Aug 4 14:13 f1 -rw-r--r--. 1 root root 0 Aug 4 14:18 f2 [root@centos7 testdir]#
●chgrp [GROUPNAME]...
修改文件的属组
●chown [OWNER][:[GROUP]] FILE...
修改文件的属主和属组
●chattr [FILE]
设置文件的特定属性
-i:不能删除,改名,修改文件
-a:只能增加
-A:锁定文件的访问时间
lsattr [FILE]
显示特定属性
[root@centos7 testdir]# chattr +i f1 [root@centos7 testdir]# rm -f f1 rm: cannot remove ‘f1’: Operation not permitted [root@centos7 testdir]# echo f1 > f1 -bash: f1: Permission denied [root@centos7 testdir]# mv f1 f2 mv: cannot move ‘f1’ to ‘f2’: Operation not permitted [root@centos7 testdir]# chattr -i f1 [root@centos7 testdir]# chattr +a f1 [root@centos7 testdir]# lsattr f1 -----a---------- f1 [root@centos7 testdir]# echo f1 > f1 -bash: f1: Operation not permitted [root@centos7 testdir]# echo f1 >> f1 [root@centos7 testdir]# cat f1 f1
3、三种特殊权限及其意义
在谈特殊权限之前,我们先需要了解一下安全上下文
安全上下文:计算机上的二进制文件一旦运行为程序,必定是以某个用户的身份在运行。如果此身份与某个被访问的资源属主一致,则应用资源属主权限;与属组一致,应用属组权限;与其他用户一致,应用其他用户权限。换言之,用户的访问权限,取决于发起此进程的用户。但是SUID、SGID这俩类特殊权限将与上述观点不一致。用户运行某程序时,如果程序拥有SUID权限,那么,此进程运行为程序时,用户将应用程序的属主权限去访问文件。SGID同理。
三种权限的应用范围:
| SUID | 作用在二进制文件上 |
| SGID | 作用在二进制文件上 |
| *SGID | 也可以作用在目录上 |
| SBIT | 作用在目录上 |
下面详细分析三种权限的应用
<1>SUID作用在二进制文件上时。作用:应用程序应用拥有SUID权限的二进制的属主权限。
[root@localhost /tmp]#ll /bin/nano -rwxr-xr-x. 1 root root 205904 Jun 10 2014 /bin/nano [root@localhost /tmp]#chmod u+s /bin/nano ######添加suid权限 [root@centos7 testdir]# ll /bin/nano -rwsr-xr-x. 1 root root 205904 Jun 10 2014 /bin/nano [root@centos7 testdir]# ll /etc/shadow -r--------. 1 root root 3933 Aug 4 18:34 /etc/shadow [root@centos7 testdir]# su zhao [zhao@centos7 testdir]$ nano /etc/shadow #####只列出一个 qi:!!:17017:0:99999:7::: #######将俩个感叹号去掉,取消锁定--->qi::17017:0:99999:7::: [zhao@centos7 testdir]$ su qi [qi@centos7 testdir]$
注:危险操作,切勿模仿
<2>SGID作用在二进制文件上时。作用:发起者拥有存在SGID权限的二进制文件的属组权限,效果同SUID,此处不作举例。
<3>SBIT作用在目录上时。作用:如果临时用户对目录有写和执行权限,对目录下的文件有读权限,虽然不能修改别人的文件,却可以查看别人的文件和删除别人的文件。删除功能显然是不合理的。SBIT的存在可以避免这种情况的发生。
示例:在/testdir下,要求临时用户可以创建、查看和删除自己的文件,能查看别人的文件,但不能删除和修改别人的文件。
[root@centos7 testdir]# su user1 [user1@centos7 /testdir]$ touch f1 [user1@centos7 /testdir]$ chmod g-w f1 [user1@centos7 /testdir]$ su Password: [root@centos7 testdir]# su user2 [user2@centos7 /testdir]$ touch f2 [user2@centos7 /testdir]$ chmod g-w f2 [user2@centos7 /testdir]$ ll f1 f2 -rw-r--r--. 1 user1 user1 0 Aug 4 20:08 f1 -rw-r--r--. 1 user2 user2 0 Aug 4 20:09 f2 [user2@centos7 /testdir]$ cat f1 [user2@centos7 /testdir]$ su Password: [root@centos7 testdir]# chmod o+t . [root@centos7 testdir]# ll -d . drwxrwxrwt. 2 root it 24 Aug 4 20:09 . [root@centos7 testdir]# su user1 [user1@centos7 /testdir]$ echo content > f2 f2: Permission denied. [user1@centos7 /testdir]$ rm -f f2 rm: cannot remove ‘f2’: Operation not permitted
*SGID作用在目录上时。作用:在此目录下创建文件时,属组将自动属于目录的属组
示例:在/testdir下,创建一个组,要求组内的某些临时用户可以创建、查看和修改自己的文件,也能查看和修改组内其他人的文件,不属于此组的用户对目录下的文件无任何权限。
步骤:▲root添加用户和组g1,并将用户加入组
▲用户创建自己的文件并且把属组改为g1
▲root修改目录的属组和对其他用户的访问权限并且将属组置为SGID权限
[root@centos7 testdir]# useradd user1 [root@centos7 testdir]# useradd user2 [root@centos7 testdir]# groupadd g1 [root@centos7 testdir]# gpasswd -a user1 g1 Adding user user1 to group g1 [root@centos7 testdir]# gpasswd -a user2 g1 Adding user user2 to group g1 [root@centos7 testdir]# su user1 [user1@centos7 testdir]$ touch f1 [user1@centos7 testdir]$ chgrp g1 f1 [user1@centos7 testdir]$ su Password: [root@centos7 testdir]# su user2 [user2@centos7 testdir]$ touch f2 [user2@centos7 testdir]$ chgrp g1 f2 [user2@centos7 testdir]$ su Password: [root@centos7 testdir]# ll f1 f2 -rw-rw-r--. 1 user1 g1 0 Aug 4 20:44 f1 -rw-rw-r--. 1 user2 g1 0 Aug 4 20:45 f2 [root@centos7 testdir]# chgrp g1 . [root@centos7 testdir]# chmod o= . [root@centos7 testdir]# chmod g+s . [root@centos7 testdir]# ll -d . drwxrws---. 2 root g1 24 Aug 4 20:45 .
注意:当用户对某文件所在的目录的父目录无写权限时,即使其对本目录有写和执行权限,对其下的文件有读权限,也是无法删除文件的。
[root@centos7 b]# pwd /tmp/a/b [root@centos7 b]# ls b.txt [root@centos7 b]# chmod o=x ../ [root@centos7 b]# ll -d ../ drwxr-x--x. 3 root root 60 Aug 9 19:58 ../ [root@centos7 b]# su zhao [zhao@centos7 b]$ rm -f b.txt rm: cannot remove ‘b.txt’: Permission denied
4、ACL应用
ACL权限控制主要目的是提供传统的owner,group,other的read,wirte,execute权限之外的具体权限设置,可以针对单一用户或组来设置特定的权限。
<1>查看acl权限
getfacl FILENAME
<2>设置acl权限
语法格式
setfacl [OPTION] [FILENAME|DIRECTORY]
常用选项
| -m | 添加acl规则 |
| -x | 删除acl规则 |
| -M | 从文件中读取acl规则 |
| -X | 从文件中删除acl规则 |
| -m d | 设置默认acl规则,执针对目录有效 |
| -k | 清除默认acl规则 |
| -b | 清除所有的acl规则 |
| -R | 递归设置acl规则 |
[root@localhost /tmp]#setfacl -m d:u:user:rw . #######设置目录acl默认权限 [root@localhost /tmp]#touch f1 [root@localhost /tmp]#ll total 4 -rw-rw-rw-+ 1 root root 0 Aug 14 16:06 f1 ######创建文件自动设置acl [root@localhost /tmp]#setfacl -k . #######删除目录默认acl [root@localhost /tmp]#touch f2 [root@localhost /tmp]#ll total 4 -rw-rw-rw-+ 1 root root 0 Aug 14 16:06 f1 -rw-r--r--. 1 root root 0 Aug 14 16:06 f2 ######创建文件不再有acl [root@localhost /tmp]#setfacl -R -m d:u:user:rw . #####递归设置权限,目录和文件都有acl [root@localhost /tmp]#ll -d . drwxrwxrwt+ 8 root root 4096 Aug 14 16:06 . [root@localhost /tmp]#ll total 8 -rw-rwxrw-+ 1 root root 0 Aug 14 16:06 f1 -rw-rw-r--+ 1 root root 0 Aug 14 16:06 f2
<3>备份和恢复acl
必要性:备份数据时,如果压缩文件,会导致acl的丢失。
第一步:设置目录及目录下文件的acl
[root@centos7 dir]# setfacl -m u:user1:r f1 [root@centos7 dir]# setfacl -m g:user2:r-x . [root@centos7 dir]# getfacl . -R # file: . # owner: root # group: root user::rwx group::r-x group:user2:r-x mask::r-x other::r-x # file: f1 # owner: root # group: root user::rw- user:user1:r-- group::r-- mask::r-- other::r--
第二步:备份这些acl至特定文件
[root@centos7 dir]# getfacl -R . > acl.txt
第三步:清除原有的目录及文件的acl
[root@centos7 dir]# setfacl -b -R . [root@centos7 dir]# getfacl -R . # file: . # owner: root # group: root user::rwx group::r-x other::r-x # file: acl.txt # owner: root # group: root user::rw- group::r-- other::r-- # file: f1 # owner: root # group: root user::rw- group::r-- other::r--
第四步:还原acl
[root@centos7 dir]# setfacl --restore=acl.txt ######还原时不需要递归 [root@centos7 dir]# ll -d . drwxr-xr-x+ 2 root root 80 Aug 5 20:01 . [root@centos7 dir]# getfacl -R . # file: . # owner: root # group: root user::rwx group::r-x group:user2:r-x mask::r-x other::r-x # file: acl.txt # owner: root # group: root user::rw- group::r-- other::r-- # file: f1 # owner: root # group: root user::rw- user:user1:r-- group::r-- mask::r-- other::r--
注意:此处的acl.txt备份在了当前目录,实际操作中不要备份在当前目录下
5、mask和umask
<1>mask
在linux系统上,不同的用户建立不同的文件和目录时,文件和目录会默认拥有不同的权限,这与系统上的umask设置有关系,设置umask变量临时生效,重启失效。且其配置文件保存在/etc/profiile和/etc/bashrc中,若只是对单用户生效,保存在家目录下的.bashrc和.bash_profile文件中即可。
[root@centos7 ~]# umask 0022 [root@centos7 ~]# su user1 [user1@centos7 root]$ umask 0002
计算方法
root用户
对文件 666-022=nnn
对目录 777-022=nnn
普通用户
对文件 666-002=nnn
对目录 777-022=nnn
注意:如果对文件算得的权限位有奇数,要加1,目的在于屏蔽掉文件的执行权限,防止可执行病毒文件对系统的威胁。
<2>umask
umask是对文件或者目录设置acl权限时,所划定的一个最高权限位,其权限等于文件和文件所属目录的属组权限,且大于受acl规则限制的用户或组的权限。
扫一扫
1374
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
