用户授权
1,权力下放
权力下放文件 /etc/sudoers
下放的方式:visudo 100行左右
注意测试的时候sudo 下放的命令
2文件的权限
文件的意义:系统最底层安全设定方法之一,保证文件可以被可用的用户做相应的操作。
文件权限的查看
ls -l file=ll file 查看文件
ls -ls dir=ll -d 查看目录
ll file
ll -d dir
-|rw-rw-r--| 1 | kiosk | kiosk | 0 | jul 21 09:18 | file
1,文件的类型
- 空文件或文本
d 目录
l 软连接
s 套接字
b 块设备
c 字符设备
2,文件权限
rw-|rw-|r--
r对文件:是否可以查看文件中的内容
对目录:是否可以查看目录中有什么子文件或字目录
w对文件:是否可以改变文件里的字符
对目录:是否可以对目录中子目录或子文件的原数据进行更改
x对文件:是否可以通过文件名称调用文件内记录的程序
对目录:是否可以进入目
3,权限的修改
chmod <u|g|o><+|->=<r|w|x> file|dir
chmod u+x file|dir
chmod g-r file|dir
chmod ug-r file|dir
chmod u-r,g+x file|dir
chmod -r file|dir
chmod o=r-x file}dir
rwx也可以用二进制来表示
r-x|r--|--x r=4 w=2 x=1
5 4 1
chmod 541 file|dir
4,umask权力
umask:系统建立文件是默认保留权力
umask 077 临时设定预留系统权限为077
永久更改umask
vim /etc/profile 系统的配置文件
022为普通用户
077为超级用户
vim /etc/bashrc shell配置文件
source /etc/profile 让更改立即生效
source /etc/bashrc
5特殊权限
1,sticky 粘制位 只针对目录生效,当一个目录只有sticky权限时在这个目录中的文件只能被文件的所有者删除
设定方式: chmod o+t dir
chmod 1xxx dir
2,sgid 强制位 对文件只对于二进制可执行文件,当文件上有sgid时任何人执行此文件产生的进程都属于文件的组
目录当目录上有sgid权限时任何在次目录中建立的文件都属于目录的所有组
设定方式: chmod g+s file|dir
chmod 2xxx file|dir
3,suid 冒险位 只针对于2进制可执行文件,当文件上有suid时任何人执行这个文件中的程序产生的进程都属于文件所有人
设定方式: chmod u+s file
chmod 4xxx file
6,acl权限列表
1,作用:让特定的用户对特定的文件拥有特定权限,
2,acl列表查看
-rw-rwxr--+(acl开启)
getfacl 查看acl开启文件的权限
file:file
owner:root
group: root
user::文件人拥有的权限
user:tom:rw- 指定用户的权限
group::r 文件拥有组的权力
mask::r-- 能赋予用户最大权力的伐值
other::r-- 其他人权力
3,acl列表管理
getfacl file
setfacl -m u:username:rxw file 设定username对file拥有rxw权限
setfacl -m g:group:rxw file 设定group组成员对file拥有rxw权限
setfacl -x u:username file从acl列表中删除username
setfacl -b file 关闭file上的acl列表
4,mask值
在权限列表中mask表示能生效的权力值,当用chomd减小开启acl的文件权限时mask值会发生变化
chmod g-w westos
恢复mask值:setfacl -m m:rwx westos
5,acl默认权限设定
acl默认权限只针对目录设定,
acl权限只针对设定完成之后建立的文件或生成的目录生效,而已经存在的文件是不会继承默认权限
setfacl -m d:u:student:rwx /mnt/westos
setfacl -k /mnt/westos
7,改变文件的所有人所有组
chmod chgrp
chmod username file|dir
chmod user.group file|dir
chmod -R usergroup file|dir
chgrp group file|dir
chgrp -R group file|dir