权限管理

本章节目标：

了解权限简介

了解权限管理基础命令

了解遮罩码

了解linux安全上下文与特殊权限

了解文件系统访问控制列表facl

了解sudo

了解管理命令

概念部分：

每个文件针对每个访问者都定义了三种权限：

权限	对应的操作对象	权限说明
r	文件	可读，可以使用类似cat等命令查看文件内容
w	文件	可写，可以编辑或删除此文件
x	文件	可执行，eXacutable，可以在命令提示符下当作命令提交给内核运行
r	目录	可以对此目录执行ls以列出内部的所有文件
w	目录	可以在此目录中创建文件，也可删除此目录中的文件
x	目录	可以使用cd切换进此目录，也可以使用ls -l查看内部文件的详细信息

权限的八进制与十进制转换：

权限	八进制	十进制
—	000	0
–x	001	1
-w-	010	2
-wx	011	3
r–	100	4
r-x	101	5
rw-	110	6
rwx	111	7

遮罩码

为什么文件创建以后默认权限是644？

为什么目录创建以后默认权限是755？

这是由遮罩码umask来控制的。

从名字就能看出来，遮罩码umask是用来隐藏一些权限的。

举例：如果你不想让人家认出你，你会怎么办？

文件最终的权限为：

666-umask

目录最终的权限为：

777-umask

linux安全上下文

前提：进程有属主和属组；文件有属主和属组

任何一个可执行程序文件能不能启动为进程，取决于发起者对程序文件是否拥有可执行权限；

启动为进程后，其进程的属主为发起者，属组为发起者所属的组
进程访问文件时的权限取决于进程的发起者：

进程的发起者是文件的属主时，则应用文件属主权限

进程的发起者是文件的属组时，则应用文件属组权限

应用文件“其它”权限

实验部分

修改权限命令chmod ：

使用格式：chmod MODE file，……

-R  //递归修改权限

[root@sh ~]# ll
总用量 16
-rw-r--r--. 1 root root   54 5月  28 22:23 1
drwxr-xr-x. 3 root root   24 5月  29 23:06 2
-rw-------. 1 root root 1451 5月  22 17:11 anaconda-ks.cfg
-rw-r--r--. 1 root root 5505 5月  29 01:49 man.test.config
-rw-r--r--. 1 root root    0 5月  27 17:30  1
[root@sh ~]# chmod 777 -R 2 
[root@sh ~]# ll
总用量 16
-rw-r--r--. 1 root root   54 5月  28 22:23 1
drwxrwxrwx. 3 root root   24 5月  29 23:06 2
-rw-------. 1 root root 1451 5月  22 17:11 anaconda-ks.cfg
-rw-r--r--. 1 root root 5505 5月  29 01:49 man.test.config
-rw-r--r--. 1 root root    0 5月  27 17:30  1
[root@sh ~]# cd 2
[root@sh 2]# ll
总用量 0
-rwxrwxrwx. 1 root root 0 5月  29 23:06 1
drwxrwxrwx. 2 root root 6 5月  29 23:06 3

//修改某类用户或某些类用户权限：
//u,g,o,a（用户类别）
//chmod 用户类别=MODE file,.....
//chmod 用户类别=MODE,用户类别=MODE file