文件权限管理

最新推荐文章于 2022-06-13 19:59:43 发布

我有一朵花i

最新推荐文章于 2022-06-13 19:59:43 发布

阅读量274

点赞数

分类专栏： Linux基础文章标签： bash linux 开发语言

本文链接：https://blog.csdn.net/m0_51046707/article/details/125238040

版权

Linux基础专栏收录该内容

7 篇文章 0 订阅

订阅专栏

权限管理
基本权限UGO

权限对象：
属主------->u
属组------->g
其他人------>o

基本权限类型：
读(read)：r ---->4
写(write)：w ---->2
执行: x(exec) ----->1

ll
r w x rw- r-- alice hr file1.txt
属主权限属组权限其他人权限属主属组文件

设置权限

chown:改变文件或目录的所属主以及所属组
chmod:为文件或目录设置访问权限

更改文件的属主(所有者)、属组（所属组）

chown：
# chown alice.hr file1.txt  //修改属主、属组
# chown tom  file1.txt  //修改属主
# chown .it file1.txt   //只改属组
# chown -R alice.hr dir1 //递归修改---针对目录

更改权限

使用符号
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-L8UVXG1G-1654948375699)(assets/image-20191101170709941.png)]

# chmod u+x file1.txt     //属主增加执行
# chmod a=rwx file1.txt  //所有人等于读写执行
# chmod a=- file1.txt   //所有人都没有权限
# chmod ug=rw,o=r file1.txt  //属主属组等于读写，其他人只读

使用数组

# chmod 644 file1.txt 
# ll file1.txt 
-rw-r--r--. 1 tom it 0 Nov  1 15:30 file1.txt
# chmod 755 file1.txt
# ll
-rwxr-xr-x  1 root root    0 Jul 23 22:40 file1.txt
# chmod 521 file1.txt
# ll
-r-x-w---x  1 root root    0 Jul 23 22:40 file1.txt

r、w、x权限对文件和目录的意义
在这里插入图片描述

对文件：
r----cat
w —vi、vim
x ---- bash /dir/file
对目录：
r —ls
w -----touch、rm
x ---- cd

高级权限
高级权限 suid,sgid,sticky

高级权限类型

suid ==== 4 提权（只对二进制命令文件生效如ls，其他不管用）
sgid ==== 2 组继承（只能对目录设置）
sticky == 1 (t权限) 权限控制

设置特殊权限

a、字符—语法：
chmod u+s file
chmod g+s dir
chmod o+t dir
b、数字
chmod 4777 file
chmod 2770 dir
chmod 1770 dir这里是引用

案例一

suid   普通用户通过suid提权     <针对文件>
在进程文件（二进制，可执行的命令文件）上增加suid权限
# chmod u+s /usr/bin/cat
# chmod u+s /usr/bin/rm
# su - alice
Last login: Wed Nov  6 17:40:40 CST 2019 on pts/0
[alice@linux-server ~]$ cat /root/file1.txt
123
[alice@linux-server ~]$ rm -rf /root/file1.txt

Set UID

那么这个特殊权限的特殊性的作用是什么呢？
1、SUID权限仅对命令文件(二进制文件)有效；
2、执行者将具有该程序拥有者(owner)的权限。

取消提权

 ll /usr/bin/rm
-rwsr-xr-x. 1 root root 62864 Nov  6  2016 /usr/bin/rm
此时一旦给rm加上suid权限之后，普通用户相当于root用户。(即提权)
# chmod u-s /usr/bin/rm  #取消提权

案例二

首先创建一个用户组，两个用户进行这三个案例操作

Set GID

把s放到文件的所属用户组的x位置上的话，就是SGID。那么SGID的功能是什么呢？和SUID一样，只是SGID是获得该程序所属用户组的权限。
SGID主要用在目录上-----如果用户在此目录下具有w权限的话，使用者在此目录下建立新文件，则创建的这个文件的群组与此目录的群组相同。

案例

[root@linux-server ~]# mkdir /opt/dir1  #创建目录
[root@linux-server ~]# groupadd hr  #创建一个组
[root@linux-server ~]# chmod 775 /opt/dir1/  #设置权限
[root@linux-server ~]# ll -d /opt/dir1/
drwxrwxr-x. 2 root root 6 Nov  6 21:26 /opt/dir1/
[root@linux-server ~]# chown .hr /opt/dir1/  #设置属组
[root@linux-server ~]# chmod g+s /opt/dir1/  #设置sgid
[root@linux-server ~]# ll -d /opt/dir1/
drwxrwsr-x. 2 root hr 6 Nov  6 21:26 /opt/dir1/
[root@linux-server ~]# touch /opt/dir1/a.txt
[root@linux-server ~]# ll /opt/dir1/a.txt
-rw-r--r--. 1 root hr 0 Nov  6 21:33 /opt/dir1/a.txt

[root@linux-server ~]# chmod o+w /opt/dir1/ -R 
[root@linux-server ~]# su - alice
Last login: Wed Nov  6 21:34:59 CST 2019 on pts/2
[alice@linux-server ~]$ touch /opt/dir1/b.txt
[alice@linux-server ~]$ ll /opt/dir1/b.txt
-rw-rw-r--. 1 alice hr 0 Nov  6 21:35 /opt/dir1/b.txt

Sticky Bit

这个就是针对others来设置的了，和上面两个一样，只是功能不同而已。
SBIT（Sticky Bit）目前只针对目录有效，对于目录的作用是：当用户在该目录下建立文件或目录时，仅有自己与 root才有权力删除。

案例

[root@linux-server ~]# cd /home/
[root@linux-server home]# mkdir dir2
[root@linux-server home]# chmod 757 dir2/
[root@linux-server home]# chmod o+t dir2/
[root@linux-server home]# ll -d dir2/
drwxr-xrwt. 2 root root 52 Oct 31 16:49 dir2/
[root@linux-server home]# useradd jack  #创建用户
[root@linux-server home]# su - alice 
Last login: Wed Nov  6 21:48:12 CST 2019 on pts/2
[alice@linux-server ~]$ touch /home/dir2/alice.txt  #用户alice创建文件
[alice@linux-server ~]$ exit
logout
[root@linux-server home]# su - jack 
Last login: Wed Nov  6 21:48:36 CST 2019 on pts/2
[jack@linux-server ~]$ touch /home/dir2/jack.txt   #用户jack创建文件
[jack@linux-server ~]$ rm -rf /home/dir2/alice.txt 
rm: cannot remove ‘/home/dir2/alice.txt’: Operation not permitted
测试jack删除alice创建的文件，无法删除

1.3.目前两种给普通用户提权手段：

sudo: 有针对性，例如针对某个用户以能够以root的身份执行某些命令。
suid: 基本针对所有用户，任何用户在执行有suid权限的程序时（例如/usr/bin/rm），都是以root身份在执行。

案例

放开所有命令使用权

配置解释：
root表示用户名
第一个 ALL 指示允许从任何终端、机器访问 sudo
第二个 (ALL) 指示 sudo 命令被允许以任何用户身份执行
第三个 ALL 表示所有命令都可以作为 root 执行

[root@linux-server ~]# visudo    #打开配置文件
90 ##
91 ## Allow root to run any commands anywhere
92 root    ALL=(ALL)       ALL
93 jack    ALL=(ALL)       NOPASSWD: ALL   #添加内容
94 ## Allows members of the 'sys' group to run networking, software,
测试
[root@linux-server ~]# su - jack
Last login: Wed Nov  6 22:04:46 CST 2019 on pts/2
[jack@linux-server ~]$ sudo mkdir /test1

放开个别命令使用权

[root@linux-server ~]# visudo
     91 ## Allow root to run any commands anywhere
     92 root    ALL=(ALL)       ALL
     93 jack    ALL=(ALL)       NOPASSWD:ALL
     94 alice   ALL=(ALL)       NOPASSWD:/usr/bin/mkdir, /usr/bin/rm, /usr/bin/touch
     95 
     96 ## Allows members of the 'sys' group to run networking, software,
测试：
[root@linux-server ~]# su - alice
Last login: Fri Jul 24 00:52:13 CST 2020 on pts/1
[alice@linux-server ~]$ touch /file
touch: cannot touch ‘/file’: Permission denied
[alice@linux-server ~]$ sudo touch /file