基本权限和归属、查看权限与归属关系、修改权限、权限数字表示、修改归属关系

最新推荐文章于 2024-09-14 19:00:09 发布

WIfks_

最新推荐文章于 2024-09-14 19:00:09 发布

阅读量143

点赞数

文章标签： linux 运维服务器

本文链接：https://blog.csdn.net/m0_52686092/article/details/131041079

版权

本文详细介绍了Linux系统中关于文件和目录的权限管理，包括基本的读写执行权限、用户和组的归属关系、SUID、SGID和Sticky位，以及ACL（AccessControlList）高级权限策略。内容涵盖了创建用户和组、修改权限和归属、设置SUID和SGID权限，以及如何通过ACL为特定用户分配额外权限。通过案例分析，展示了如何实现不同用户对目录和文件的权限控制。

摘要由CSDN通过智能技术生成

Top

NSD ENGINEER DAY01

1 往事回味：长风破浪会有时，直挂云帆济沧海

1.1 创建用户的命令是什么？

useradd

1.2 修改已存在用户的属性命令是什么？

usermod

1.3 非交互式lisi设置密码为123 请写出该命令

echo 123 | passwd --stdin lisi

1.4 请写出存放用户基本信息的配置文件

/etc/passwd

1.5 请写出禁止用户登录系统的解释器程序

/sbin/nologin

1.6 将harry用户加入tedu组，请写出该命令

gpasswd -a harry tedu

1.7 请写出组账号基本信息配置文件

/etc/group

1.8 如何判断一个用户是否存在？

id 用户名

grep 用户名 /etc/passwd

1.9 如何判断一个组是否存在？

grep 组名 /etc/group

1.10 如何判断一个用户是否在users组中？(两种方法）

1).id 用户

2).grep users /etc/group

1.11 /etc/passwd文件第六字段与第七字段，分别表示的含义？

家目录登录解释器

1.12 请写出您熟悉的Linux命令？（至少10条）

ls ; cd ; find ; cat ; grep ; mkdir ; touch ; tar ; bzip2 ; useradd ; usermod ; userdel ; rpm ; yum ; mount ... ...

2 环境的准备：还原快照到“安装系统完成”状态

3 基本权限与归属

读取：允许查看内容-read r
写入：允许修改内容-write w
可执行：允许运行和切换-excute x

对于文本文件：

r读取权限：cat、less、grep、head、tail

w写入权限：vim、> 、 >>

x可执行权限：Shell与Python

对于目录：

r读取权限：ls命令查看目录内容

w写入权限：能够创建、删除、修改等目录的内容

x 执行权限：能够cd切换到此目录下（进入此目录）

归属关系：

所有者(属主)：拥有此文件/目录的用户-user
所属组(属组)：拥有此文件/目录的组-group
其他用户：除所有者、所属组以外的用户-other

例如：zhangsan（所有者） zhangsan(所属组) 1.txt

4 查看数据权限

执行 ls -l或者ls -ld 命令查看

以-开头：文本文件

以d开头：目录

以l开头：快捷方式

[root@localhost ~]# ls -ld /etc/
[root@localhost ~]# ls -l /etc/passwd
[root@localhost ~]# ls -ld /root
[root@localhost ~]# ls -ld /tmp #有附加权限
[root@localhost ~]# ls -l /etc/shadow
[root@localhost ~]# useradd zhangsan
[root@localhost ~]# ls -ld /home/zhangsan

第一个root 是所有者第二个root是所属组；9个位置 rw- r--

r--；/tmp下t.属于附加权限，绿色背景表示特别开放，权限特别大；/root

Linux中判断用户具备的权限：

1. 查看用户，对于该数据所处的身份

2. 查看相应身份的权限位

5 修改权限

•chmod命令

格式：chmod [ugoa] [+-=][rwx] 文件...

•常用命令选项

-R：递归修改权限

[root@localhost ~]# mkdir /nsd10
[root@localhost ~]# ls -ld /nsd10
[root@localhost ~]# chmod u-w /nsd10 #所有者去掉w权限
[root@localhost ~]# ls -ld /nsd10
[root@localhost ~]# chmod u+w /nsd10 #所有者加上w权限
[root@localhost ~]# ls -ld /nsd10
[root@localhost ~]# chmod g+w /nsd10 #所属组加上w权限
[root@localhost ~]# ls -ld /nsd10
[root@localhost ~]# chmod g=r /nsd10 #所属组重新定义权限
[root@localhost ~]# ls -ld /nsd10
[root@localhost ~]# chmod a=rwx /nsd10 #a表示所有人
[root@localhost ~]# ls -ld /nsd10
[root@localhost ~]# chmod u=---,g=rx,o=rwx /nsd10
[root@localhost ~]# ls -ld /nsd10

-R：递归修改权限

[root@localhost ~]# mkdir -p /opt/aa/bb/cc
[root@localhost ~]# chmod -R o=--- /opt/aa
[root@localhost ~]# ls -ld /opt/aa
[root@localhost ~]# ls -ld /opt/aa/bb
[root@localhost ~]# ls -ld /opt/aa/bb/cc

案例：设置基本权限

1）以root身份新建/dir目录，在此目录下新建readme.txt文件

[root@localhost ~]# mkdir /dir
[root@localhost ~]# echo 123456 > /dir/readme.txt
[root@localhost ~]# cat /dir/readme.txt

2）使用户zhangsan能够修改readme.txt文件内容

[root@localhost ~]# chmod o+w /dir/readme.txt

3）使用户zhangsan不可以修改readme.txt文件内容

[root@localhost ~]# chmod o-w /dir/readme.txt

4）使用户zhangsan能够在此目录下创建/删除子目录

[root@localhost ~]# chmod o+w /dir/

5）调整此目录的权限，使任何用户都不能进入，然后测试用户zhangsan是否还能查看readme.txt内容（测试结果是不能，对父目录没有权限）

[root@localhost ~]# chmod a-x /dir/

6）为此目录及其下所有文档设置权限 rwxr-x---

[root@localhost ~]# chmod -R u=rwx,g=rx,o=--- /dir

权限利用数字方式表示

• 权限位的8进制数表示

– r、w、x分别对应4、2、1，后3组分别求和

分组： User权限 Group权限 Other权限

字符： r w x r - x r - x

数字： 4 2 1 4 0 1 4 0 1

求和： 7 5 5

[root@localhost ~]# mkdir /nsd14
[root@localhost ~]# ls -ld /nsd14
[root@localhost ~]# chmod 700 /nsd14
[root@localhost ~]# ls -ld /nsd14
[root@localhost ~]# chmod 007 /nsd14
[root@localhost ~]# ls -ld /nsd14
[root@localhost ~]# chmod 750 /nsd14
[root@localhost ~]# ls -ld /nsd14
[root@localhost ~]# chmod 755 /nsd14
[root@localhost ~]# ls -ld /nsd14

6 修改归属关系

•chown命令

–chown 属主文件...

–chown 属主:属组文件...

–chown :属组文件...

[root@localhost ~]# mkdir /nsd15
[root@localhost ~]# ls -ld /nsd15
[root@localhost ~]# groupadd tmooc #创建组tmooc
[root@localhost ~]# useradd lisi #创建用户lisi
[root@localhost ~]# chown lisi:tmooc /nsd15 #修改所有者与所属组
[root@localhost ~]# ls -ld /nsd15
[root@localhost ~]# chown zhangsan /nsd15 #仅修改所有者
[root@localhost ~]# ls -ld /nsd15
[root@localhost ~]# chown :root /nsd15 #仅修改所属组
[root@localhost ~]# ls -ld /nsd15

•常用命令选项

-R：递归修改归属关系

[root@localhost ~]# mkdir -p /opt/aa/bb/cc
[root@localhost ~]# chown -R zhangsan /opt/aa #递归修改归属关系
[root@localhost ~]# ls -ld /opt/aa
[root@localhost ~]# ls -ld /opt/aa/bb
[root@localhost ~]# ls -ld /opt/aa/bb/cc
[root@localhost ~]# chown -R lisi:tmooc /opt/aa
[root@localhost ~]# ls -ld /opt/aa
[root@localhost ~]# ls -ld /opt/aa/bb
[root@localhost ~]# ls -ld /opt/aa/bb/cc

Linux中判断用户具备的权限：

1.查看用户，对于该数据所处的身份，顺序所有者>所属组>其他人，原则是匹配及停止

2.查看相应身份的权限位

例如：

1.192.168.1.1可以进入

2.所有客户端不可以进入

例如：

1.所有人不能进入

2.牛老师可以进入

案例2：归属关系练习

1）利用root的身份新建/tarena目录，并进一步完成下列操作

[root@localhost ~]# mkdir /tarena

2）将/tarena属主设为gelin01，属组设为tmooc组

[root@localhost ~]# useradd gelin01
[root@localhost ~]# groupadd tmooc
[root@localhost ~]# chown gelin01:tmooc /tarena

3）使用户gelin01对此目录具有rwx权限，除去所有者与所属组之外的用户对此目录无任何权限

[root@localhost ~]# chmod o=--- /tarena

4）使用户gelin02能进入、查看此目录内容

[root@localhost ~]# useradd gelin02
[root@localhost ~]# gpasswd -a gelin02 tmooc

5）将gelin01加入tmooc组，将/tarena目录的权限设为450，测试gelin01用户能否进入此目录(匹配及停止原则，不能进入)

[root@localhost ~]# gpasswd -a gelin01 tmooc
[root@localhost ~]# chmod 450 /tarena

7 ACL策略管理

•文档归属的局限性：

–任何人只属于三种角色：属主、属组、其他人

–针对特殊的人实现更精细的控制

•acl访问策略作用：

–能够对个别用户、个别组设置独立的权限

•setfacl命令

–格式：

setfacl [选项] u:用户名:权限文件...

setfacl [选项] g:组名:权限文件...

•常用命令选项

-m：修改ACL策略

-x：清除指定的ACL策略

-b：清除所有已设置的ACL策略

-R：递归设置ACL策略

[root@localhost ~]# mkdir /nsd19
[root@localhost ~]# chmod 770 /nsd19
[root@localhost ~]# ls -ld /nsd19
[root@localhost ~]# useradd dc
[root@localhost ~]# su - dc
[dc@localhost ~]$ cd /nsd19
-bash: cd: /nsd19: 权限不够
[dc@localhost ~]$ exit
[root@localhost ~]# setfacl -m u:dc:rx /nsd19 #单独赋予dc用户权限
[root@localhost ~]# getfacl /nsd19 #查看ACL策略
[root@localhost ~]# su - dc
[dc@localhost ~]$ cd /nsd19
[dc@localhost ~]$ pwd
[dc@localhost ~]$ exit

其中u代表dc是用户

Linux中判断用户具备的权限：

1.首先查看该用户或者组是否有ACL策略

2.查看用户，对于该数据所处的身份，顺序所有者>所属组>其他人，原则是匹配及停止

3.查看相应身份的权限位

ACL命令的练习：

[root@localhost ~]# mkdir /nsd22
[root@localhost ~]# setfacl -m u:dc:rx /nsd22
[root@localhost ~]# setfacl -m u:zhangsan:rwx /nsd22
[root@localhost ~]# setfacl -m u:lisi:rx /nsd22
[root@localhost ~]# setfacl -m u:gelin01:rwx /nsd22
[root@localhost ~]# getfacl /nsd22
[root@localhost ~]# setfacl -x u:zhangsan /nsd22 #删除指定用户ACL
[root@localhost ~]# getfacl /nsd22
[root@localhost ~]# setfacl -x u:dc /nsd22 #删除指定用户ACL
[root@localhost ~]# getfacl /nsd22
[root@localhost ~]# setfacl -b /nsd22 #清除目录所有ACL策略
[root@localhost ~]# getfacl /nsd22

ACL策略-黑名单的使用（单独拒绝某些用户）

[root@localhost ~]# mkdir /home/public
[root@localhost ~]# chmod 777 /home/public
[root@localhost ~]# setfacl -m u:lisi:--- /home/public
[root@localhost ~]# getfacl /home/public

-R：递归设置ACL策略

[root@localhost ~]# setfacl -Rm u:dc:rwx /opt/aa

8 附加权限(特殊权限)

•粘滞位，Sticky Bit 权限

–占用其他人（Other）的 x 位

–显示为 t 或 T，取决于其他人是否有 x 权限

–适用于目录，用来限制用户滥用写入权

–在设置了t权限的目录下，即使用户有写入权限，也不能删除或改名其他用户文档

[root@localhost ~]# mkdir /nsd26
[root@localhost ~]# chmod 777 /nsd26
[root@localhost ~]# ls -ld /nsd26
[root@localhost ~]# chmod o+t /nsd26
[root@localhost ~]# ls -ld /nsd26

•Set GID权限（SGID权限）影响的是未来

–占用属组（Group）的 x 位

–显示为 s 或 S，取决于属组是否有 x 权限

–对目录有效

–在一个具有SGID权限的目录下，新建的文档会自动继承父目录的属组身份

[root@localhost ~]# mkdir /nsd18
[root@localhost ~]# chown :tmooc /nsd18 #修改所属组
[root@localhost ~]# ls -ld /nsd18
[root@localhost ~]# chmod g+s /nsd18 #赋予SGID特殊权限
[root@localhost ~]# ls -ld /nsd18
[root@localhost ~]# mkdir /nsd18/abc01
[root@localhost ~]# ls -ld /nsd18/abc01
[root@localhost ~]# mkdir /nsd18/abc02
[root@localhost ~]# ls -ld /nsd18/abc02
[root@localhost ~]# touch /nsd18/1.txt
[root@localhost ~]# ls -ld /nsd18/1.txt

9 总结补充内容

请问实现lisi用户可以读取/etc/shadow文件内容，您有几种办法？（至少写出三种以上）

1. 利用其他人身份

chmod o+r /etc/shadow

2. 利用所属组身份

chown :lisi /etc/shadow

chmod g+r /etc/shadow

3. 利用所有者身份

chown lisi /etc/shadow

chmod u+r /etc/shadow

4. 利用ACL策略

setfacl -m u:lisi:r /etc/shadow

附加权限Set UID(SUID)权限（了解）

占用属主（User）的 x 位

显示为 s 或 S，取决于属主是否有 x 权限

仅对可执行的程序有意义

当其他用户执行带SUID标记的程序时，具有此程序属主的身份和相应权限

[root@localhost ~]# which mkdir
/usr/bin/mkdir
[root@localhost ~]# /usr/bin/mkdir /opt/abc01
[root@localhost ~]# ls /opt/
[root@localhost ~]# cp /usr/bin/mkdir /usr/bin/hahadir
[root@localhost ~]# ls -l /usr/bin/hahadir
[root@localhost ~]# /usr/bin/hahadir /opt/abc02
[root@localhost ~]# ls /opt/
[root@localhost ~]# chmod u+s /usr/bin/hahadir
[root@localhost ~]# ls -l /usr/bin/hahadir
[root@localhost ~]# su - zhangsan
[zhangsan@localhost ~]$ /usr/bin/mkdir zs01
[zhangsan@localhost ~]$ ls -l
[zhangsan@localhost ~]$ /usr/bin/hahadir zs02
[zhangsan@localhost ~]$ ls -l

创建目录时，指定目录的权限
[root@localhost ~]# mkdir -m 700 /opt/cbd03
[root@localhost ~]# ls -ld /opt/cbd03
[root@localhost ~]# mkdir -m 777 /opt/cbd04
[root@localhost ~]# ls -ld /opt/cbd04

文件/目录的默认权限

• 新建文件/目录的默认权限

– 一般文件默认均不给 x 执行权限

– 其他取决于 umask(权限掩码) 设置

– 新建目录默认权限为755

– 新建文件默认权限为644

[root@localhost ~]# umask
0022
[root@localhost ~]# umask -S #显示新建目录的默认权限
u=rwx,g=rx,o=rx
[root@nb ~]# mkdir -m 777 /nsd26 #-m无视umask值创建数据指定数据的权限
[root@nb ~]# ls -ld /nsd26

实现natasha用户新建数据，目录权限为700文件为600
[root@nb ~]# useradd natasha
[root@nb ~]# vim /home/natasha/.bashrc #修改家目录配置文件
umask 077 #新增配置，指定权限掩码值
[root@nb ~]# su - natasha
上一次登录：四 2月 23 17:26:16 CST 2023pts/0 上
[natasha@nb ~]$ umask
0077
[natasha@nb ~]$ mkdir abc
[natasha@nb ~]$ ls -ld abc
drwx------. 2 natasha natasha 6 2月 23 17:27 abc
[natasha@nb ~]$ exit

常见故障：递归设置权限错误

[root@nb ~]# mkdir /nsd26
[root@nb ~]# mkdir /nsd26/haha
[root@nb ~]# mkdir /nsd26/xixi
[root@nb ~]# touch /nsd26/1.txt
[root@nb ~]# touch /nsd26/2.txt
[root@nb ~]# chmod -R a=--- /nsd26
[root@nb ~]# ls -ld /nsd26
[root@nb ~]# ls -l /nsd26
[root@nb ~]# find /nsd26 -type d -exec chmod 755 {} \;
[root@nb ~]# ls -l /nsd26
[root@nb ~]# find /nsd26 -type f -exec chmod 644 {} \;
[root@nb ~]# ls -l /nsd26

手动建立用户家目录：

/etc/skel是新建用户时，会以此目录作为模板建立用户家目录

]# useradd natasha
]# rm -rf /home/natasha
]# cp -r /etc/skel /home/natasha
]# chown -R natasha:natasha /home/natasha
]# ls -lA /home/natasha
]# su - natasha
[natasha@localhost ~]$

权限利用数字的方式表示

基本权限：

利用数字4表示读取权限(r)
利用数字2表示写入权限(w)
利用数字1表示执行权限(x)

附加权限：了解

利用数字4表示suid
利用数字2表示sgid
利用数字1表示t

[root@nb ~]# mkdir /nsd35
[root@nb ~]# ls -ld /nsd35
[root@nb ~]# chmod 2755 /nsd35
[root@nb ~]# ls -ld /nsd35
[root@nb ~]# chmod 3755 /nsd35
[root@nb ~]# ls -ld /nsd35

10 案例：设置基本权限

10.1 问题

新建/nsddir1/目录，在该目录下新建文件readme.txt
使用户zhangsan能够在/nsddir1/目录下创建/删除子目录
使用户zhangsan能够修改/nsddir1/readme.txt文件，调整/nsddir1/目录的权限，使任何用户都不能进入该目录，测试用户zhangsan是否还能修/nsddir1/readme.txt文件的内容
将/nsddir1/目录及其下所有内容的权限都设置为 rwxr-x---

10.2 方案

设置基本权限的命令主要是chmod，本实验要分清三个基本权限rwx的意义。用户在访问一个目录或文件时，由设置的访问权限+归属关系共同决定最终权限访问权限。

r 读取：允许查看内容-read
w 写入：允许修改内容-write
x 可执行：允许运行和切换-excute

若对目录有w权限，表示可在该目录下新建/删除/移动文件或子目录。

若对目录有x权限，表示允许cd到该目录下。

10.3 步骤

实现此案例需要按照如下步骤进行。

步骤一：新建/nsddir1/目录，在该目录下新建文件readme.txt

命令操作如下所示：

[root@localhost ~]# mkdir /nsddir1
[root@localhost ~]# ls -ld /nsddir1/ //查看是否创建成功
drwxr-xr-x. 2 root root 4096 2月 26 09:55 /nsddir1/
[root@localhost ~]# touch /nsddir1/readme.txt
[root@localhost ~]# ls -l /nsddir1/readme.txt //查看是否创建成功
-rw-r--r--. 1 root root 0 2月 26 09:56 /nsddir1/readme.txt
[root@localhost ~]#

步骤二：使用户zhangsan能够在/nsddir1/目录下创建/删除子目录（此题考查对目录w权限的理解）

命令操作如下所示：

[root@localhost ~]# id zhangsan //查看zhangsan用户是否存在
id: zhangsan：无此用户
[root@localhost ~]# useradd zhangsan //创建zhangsan用户
[root@localhost ~]# ls -ld /nsddir1/ //查看nsddir1目录的权限
drwxr-xr-x. 2 root root 4096 2月 26 09:56 /nsddir1/

分析：首先看zhangsan对于此目录具备有什么权限，zhangsan很明显属于其他人，权限对应为rx，要想让其能够创建、删除子目录，必须让其具备w权限

[root@localhost ~]# su – zhangsan //切换zhangsan用户测试
[zhangsan@localhost ~]$ mkdir /nsddir1/zhangdir //测试是否有权限创建
mkdir: 无法创建目录"/nsddir1/zhangdir": 权限不够
[zhangsan@localhost ~]$exit
[root@localhost ~]# chmod o+w /nsddir1/ //为其他人添加W权限
[root@localhost ~]# ls -ld /nsddir1/ //查看是否添加成功
drwxr-xrwx. 2 root root 4096 2月 26 09:56 /nsddir1/
[root@localhost ~]# su – zhangsan //再次切换到zhangsan用户测试
[zhangsan@localhost ~]$ mkdir /nsddir1/zhangdir //测试是否有权限创建
[zhangsan@localhost ~]$ ls /nsddir1/ //查看是否创建成功
readme.txt zhangdir
[zhangsan@localhost ~]$

步骤三：使用户zhangsan能够修改/nsddir1/readme.txt文件，调整/nsddir1/目录的权限，使任何用户都不能进入该目录，测试用户zhangsan是否还能修/nsddir1/readme.txt文件的内容。

分析：首先要解决zhangsan用户能够修改readme.txt内容

命令操作如下所示：

[root@localhost ~]# ls -ld /nsddir1/readme.txt //查看readme.txt文件的权限
-rw-r--r--. 1 root root 0 2月 26 09:56 /nsddir1/readme.txt

分析：首先看zhangsan对于此目录具备有什么权限，zhangsan很明显是其他人的权限是r权限，在想如何实现让zhangsan修改其内容，需加w权限

[root@localhost ~]# su – zhangsan //切换zhangsan用户测试
[zhangsan@localhost ~]$ echo 123 > /nsddir1/readme.txt //测试是否有权限写入
-bash: /nsddir1/readme.txt: 权限不够
[zhangsan@localhost ~]$ exit
logout
[root@localhost ~]# chmod o+w /nsddir1/readme.txt //添加w权限
[root@localhost ~]# ls -l /nsddir1/readme.txt //查看是否添加成功
-rw-r--rw-. 1 root root 0 2月 26 09:56 /nsddir1/readme.txt
[root@localhost ~]# su – zhangsan //切换zhangsan用户测试
[zhangsan@localhost ~]$ echo 123 > /nsddir1/readme.txt //测试是否有权限写入
[zhangsan@localhost ~]$ cat /nsddir1/readme.txt //查看写入成功
123

分析： zhangsan能够修改readme.txt内容了。现在设置/nsddir1权限是任何人都不能进入该目录，只需将所有人的x执行权限去掉即可。

命令操作如下所示：

[root@localhost ~]# ls -ld /nsddir1/
drwxr-xr-x. 2 root root 4096 3月 31 11:38 /nsddir1/
[root@localhost ~]# chmod a-x /nsddir1/
[root@localhost ~]# ls -ld /nsddir1/
drw-r--r--. 2 root root 4096 3月 31 11:38 /nsddir1/
[root@localhost ~]# su - zhangsan
[zhangsan@localhost ~]$ cd /nsddir1/
-bash: cd: /nsddir1/: 权限不够
[zhangsan@localhost ~]$ echo 123 > /nsddir1/readme.txt //zhangsan用户无权限修改
-bash: /nsddir1/readme.txt: 权限不够

步骤四：将/nsddir1/目录及其下所有内容的权限都设置为 rwxr-x---（本题主要考察选项-R，依然是利用chmod来完成）

命令操作如下所示：

[root@localhost ~]# chmod -R 750 /nsddir1/ //-R为递归修改
[root@localhost ~]# ls -ld /nsddir1/ //查看目录本身权限是否修改
drwxr-x---. 3 root root 4096 2月 26 16:00 /nsddir1/
[root@localhost ~]# ls -l /nsddir1/ //查看子目录子文件权限是否修改
总用量 8
-rwxr-x---. 1 root root 4 2月 26 16:14 readme.txt
drwxr-x---. 2 zhangsan zhangsan 4096 2月 26 16:00 zhangdir

11 案例：文件/目录的默认权限

11.1 问题

1）以用户root登入，测试umask掩码值

查看当前的umask值
新建目录udir1、文件ufile1，查看默认权限
将umask设为077，再新建目录udir2、文件ufile2，查看默认权限
请把umask值重新设置为022

2）以用户zhangsan登入，查看当前的umask值

3）请问为什么普通用户的家目录权限都是700

11.2 方案

本题的主要目的主要是让大家能够记住并理解umask值的作用，它决定着这个Shell环境创建文件以及目录的默认权限。

11.3 步骤

实现此案例需要按照如下步骤进行。

步骤一：以用户root登入，测试umask掩码值

查看当前的umask值
新建目录udir1、文件ufile1，查看默认权限
将umask设为077，再新建目录udir2、文件ufile2，查看默认权限
请把umask值重新设置为022

命令操作如下所示：

[root@localhost ~]# whoami //确保自己登录身份是root
root
[root@localhost ~]# umask //查看当前umask值，需用最大权限777减去022
0022
[root@localhost ~]# umask –S //另外一种查看方式，-S选项是直接显示默认权限
u=rwx,g=rx,o=rx

分析：查看创建目录以及文件的默认权限，是否与umask一致，注意文件默认安全起见没有赋予x执行权限

[root@localhost ~]# mkdir /udir1 //创建测试目录
[root@localhost ~]# touch /ufile1 //创建测试文件
[root@localhost ~]# ls -ld /udir1/ //查看是否与umask值相符合
drwxr-xr-x. 2 root root 4096 2月 26 16:37 /udir1/
[root@localhost ~]# ls -l /ufile1 //查看是否与umask值相符合
-rw-r--r--. 1 root root 0 2月 26 16:37 /ufile1
[root@localhost ~]# umask 077 //更改umask值
[root@localhost ~]# umask //查看是否修改成功
0077
[root@localhost ~]# umask –S
u=rwx,g=,o=
[root@localhost ~]# mkdir /udir2 //创建测试目录
[root@localhost ~]# touch /ufile2 //创建测试文件
[root@localhost ~]# ls -ld /udir2 //查看是否与umask值相符合
drwx------. 2 root root 4096 2月 26 16:43 /udir2
[root@localhost ~]# ls -l /ufile2 //查看是否与umask值相符合
-rw-------. 1 root root 0 2月 26 16:44 /ufile2
[root@localhost ~]# umask 022 //更改umask值为022
[root@localhost ~]# umask //查看是否修改成功
0022

步骤二：以用户zhangsan登入，查看当前的umask值（本题的目的主要是为了让大家知道管理员与普通用户的默认umask是不同的）

命令操作如下所示：

[root@localhost ~]# umask //查看root的umask值
0022
[root@localhost ~]# su – zhangsan //切换zhangsan用户身份
[zhangsan@localhost ~]$ umask //查看zhangsan的umask值
0002

步骤三：请问为什么普通用户的家目录权限都是700

分析：本题主要考察，useradd这条命令在执行的时候，与那些默认配置文件相关，有两个配置文件分别为/etc/default/useradd、/etc/login.defs。

命令操作如下所示：

[root@localhost ~]# grep -v "^#" /etc/login.defs | grep -v "^$" | grep -i umask
UMASK 077 //此配置文件规定创建用户家目录时，需遵循的umask值

12 案例：设置归属关系

12.1 问题

新建/tarena1目录
将属主设为gelin01，属组设为tarena组
使用户gelin01对此目录具有rwx权限，其他人对此目录无任何权限
使用户gelin02能进入、查看/tarena1文件夹
请将gelin01加入tarena组，并将tarena1目录权限设置为450，测试gelin01用户能否进入该目录

12.2 方案

大家要记得更改归属关系是利用chown命令来完成的，其中要特别注意的是此命令既可以更改所有者，也可以更改所属组。要分清所有者与所属组的位置，并以冒号或者点隔开。

12.3 步骤

实现此案例需要按照如下步骤进行。

步骤一：新建/tarena1目录

命令操作如下所示：

[root@localhost ~]# mkdir /tarena1

步骤二：将属主设为gelin01，属组设为tarena组

命令操作如下所示：

[root@localhost ~]# ls -ld /tarena1/ //想查看归属关系
drwxr-xr-x. 2 root root 4096 2月 26 17:10 /tarena1/
[root@localhost ~]# id gelin01 //检查是否有gelin01用户
id: gelin01：无此用户
[root@localhost ~]# grep tarena /etc/group //检查是否有tarena组
[root@localhost ~]#
[root@localhost ~]# useradd gelin01 //创建用户gelin01
[root@localhost ~]# groupadd tarena //创建组tarena
[root@localhost ~]# id gelin01 //检查是否创建成功
uid=501(gelin01) gid=501(gelin01) 组=501(gelin01)
[root@localhost ~]# grep tarena /etc/group //检查是否创建成功
tarena:x:502:
[root@localhost ~]# chown gelin01:tarena /tarena1/ //更改其归属关系
[root@localhost ~]# ls -ld /tarena1/ //查看是否更改成功
drwxr-xr-x. 2 gelin01 tarena 4096 2月 26 17:10 /tarena1/
[root@localhost ~]#

步骤三：使用户gelin01对此目录具有rwx权限，其他人对此目录无任何权限（更改时需注意对象要弄清，不要弄混）

命令操作如下所示：

[root@localhost ~]# ls -ld /tarena1/ //查看其权限划分情况
drwxr-xr-x. 2 gelin01 tarena 4096 2月 26 17:10 /tarena1/

分析：想要gelin01用户权限为rwx，那么首先看gelin01是属于哪一种归属关系。可以看出是所有者身份。

[root@localhost ~]# chmod u=rwx /tarena1/ //更改所有者权限为rwx
[root@localhost ~]# ls -ld /tarena1/ //查看是否更改成功
drwxr-xr-x. 2 gelin01 tarena 4096 2月 26 17:10 /tarena1/

分析：其他人无任何权限，利用命令chmod o= /tarena1/

[root@localhost ~]# ls -ld /tarena1/ //查看其权限划分情况
drwxr-xr-x. 2 gelin01 tarena 4096 2月 26 17:10 /tarena1/
[root@localhost ~]# chmod o= /tarena1/ //更改权限o没有任何权限
[root@localhost ~]# ls -ld /tarena1/ //查看其权限划分情况
drwxr-x---. 2 gelin01 tarena 4096 2月 26 17:10 /tarena1/
[root@localhost ~]#

步骤四：使用户gelin02能进入、查看/tarena1文件夹

命令操作如下所示：

[root@localhost ~]# ls -ld /tarena1/ //查看其权限划分情况
drwxr-x---. 2 gelin01 tarena 4096 2月 26 17:10 /tarena1/

分析：首先gelin02这个用户对于tarena1目录的归属关系，因属于其他人，如果想让其能够查看必须要有r权限，想要进入必须要有x权限。可能有同学会想到利用chmod o=rx /tarena1 命令来完成此题，但这样做与上题相违背，所以不可。我们可以换一种方式，我们可以看到此目录的所属组具备rx权限，所以我们可以把gelin02加入到tarena组里，才是此题的正解。

[root@localhost ~]# id gelin02 //查看是否有gelin02用户
id: gelin02：无此用户
[root@localhost ~]# useradd gelin02 //创建gelin02用户
[root@localhost ~]# gpasswd -a gelin02 tarena //将gelin02用户加入组tarena
Adding user gelin02 to group tarena
[root@localhost ~]# grep tarena /etc/group //查看是否加入成功
tarena:x:502:gelin02
[root@localhost ~]# su - gelin02 //切换身份测试
[gelin02@localhost ~]$ ls -l /tarena1/ //查看是否具备r权限
总用量 0
[gelin02@localhost ~]$ cd /tarena1/ //查看是否具备x权限
[gelin02@localhost tarena1]$ pwd
/tarena1

步骤五：请将gelin01加入tarena组，并将tarena1目录权限设置为450，测试gelin01用户能否进入该目录

命令操作如下所示：

[root@localhost ~]# grep tarena /etc/group //查看该组成员列表
tarena:x:502:gelin02
[root@localhost ~]# gpasswd -a gelin01 tarena //将gelin01用户加入tarena组
Adding user gelin01 to group tarena
[root@localhost ~]# grep tarena /etc/group //查看该组成员列表是否加入成功
tarena:x:502:gelin02,gelin01
[root@localhost ~]# ls -ld /tarena1/ //查看其权限划分情况
drwxr-x---. 2 gelin01 tarena 4096 2月 26 17:10 /tarena1/
[root@localhost ~]# chmod 450 /tarena1/ //更改权限
[root@localhost ~]# ls -ld /tarena1/ //查看其权限划分情况
dr--r-x---. 2 gelin01 tarena 4096 2月 26 17:10 /tarena1/

分析：此时注意首先归属关系要清楚，gelin01是所有者而gelin01又属于tarena组，那接下来在看所有者权限是只读权限只有一个r权限，而所属组成员所具备的的是rx权限，这个时候我们要想一想了，现在权限发生不一致的情况，那么gelin01具备什么权限呢？是r还是rx。我们可以测试一下。

[root@localhost ~]# su - gelin01 //切换用户身份测试
[gelin01@localhost ~]$ ls /tarena1/ //查看是否具备r权限
[gelin01@localhost ~]$ //可以看到具备r权限
[gelin01@localhost ~]$ cd /tarena1/ //能够切换成功说明是rx，否则是只读r权限
-bash: cd: /tarena1/: 权限不够

分析：很明显不能够切换成功，是只读权限。这里告诉大家Linux对于权限判别的一个优先顺序，是所有者>所属组>其他人，也就是说首先Linux系统判别的是你属于本目录的归属关系的哪一种，首先看你是不是所有者，再看你是不是所属组，最后看你是不是其他人。就拿本题来举例，首先看gelin01是不是所有者，可以看出gelin01是所有者那么权限直接就按照所有者的权限执行，也不会再看后面。也不会所有者权限与所属组权限取交或并，本题目的是让大家记住和体会Linux对于权限判别的一个优先顺序。

13 案例：SUID权限测试

13.1 问题

将mkdir命令复制为/bin/mymd1，添加SUID
以用户zhangsan登入，做下列测试：在其家目录下分别使用mkdir、mymd1命令尝试创建snew01、snew02
查看snew01、snew02权限及归属关系

13.2 方案

SUID是Linux特殊权限的一种，能够用来传递可执行程序所有者的身份及具备所有者的权限。

注意事项：只针对可执行程序文件、可执行程序所有者必须具备可执行权限、显示占用的是所有者的x位置。

13.3 步骤

实现此案例需要按照如下步骤进行。

步骤一：将mkdir命令复制为/bin/mymd1，添加SUID

分析：要想复制mkdir命令程序并改名，首先得找到该命令的绝对路径。可以利用which命令搜索。

[root@localhost ~]# which mkdir //利用which找到mkdir命令的绝对路径
/bin/mkdir
[root@localhost ~]# cp /bin/mkdir /bin/mymd1 //复制并改名
[root@localhost ~]# ls -l /bin/mymd1 //查看是否生成mymd1
-rwxr-xr-x. 1 root root 49384 2月 27 10:34 /bin/mymd1
[root@localhost ~]# chmod u+s /bin/mymd1 //添加SUID权限
[root@localhost ~]# ls -l /bin/mymd1 //查看是否添加成功
-rwsr-xr-x. 1 root root 49384 2月 27 10:34 /bin/mymd1

步骤二：以用户zhangsan登入，做下列测试：在其家目录下分别使用mkdir、mymd1命令尝试创建snew01、snew02

[root@localhost ~]# id zhangsan //查看zhangsan用户是否存在
uid=500(zhangsan) gid=500(zhangsan) 组=500(zhangsan)
[root@localhost ~]# su – zhangsan //切换用户身份测试
[zhangsan@localhost ~]$ ls -l /bin/mkdir //查看mkdir命令程序权限的划分
-rwxr-xr-x. 1 root root 49384 10月 17 2013 /bin/mkdir //可以看到没有SUID
[zhangsan@localhost ~]$ mkdir snew01 //创建测试目录snew01
[zhangsan@localhost ~]$ ls -ld snew01/ //查看snew01权限及归属关系
drwxrwxr-x. 2 zhangsan zhangsan 4096 2月 27 10:40 snew01/ //属主与属组均是zhangsan
[zhangsan@localhost ~]$ ls -l /bin/mymd1 //查看mymd1命令程序权限的划分
-rwsr-xr-x. 1 root root 49384 2月 27 10:34 /bin/mymd1 //可以看到具备SUID
[zhangsan@localhost ~]$ mymd1 snew02 //创建测试目录snew02
[zhangsan@localhost ~]$ ls -ld snew02 //查看snew02权限及归属关系
drwxrwxr-x. 2 root zhangsan 4096 2月 27 10:47 snew02

分析：可以看到归属关系中所有者发生变化，继承了mymd1命令程序的所有者root。

14 案例：SGID权限测试

14.1 问题

创建/nsdpublic目录，将属组改为tarena。
新建子目录nsd01、子文件test01.txt，查看两者的权限及归属。
为此目录添加SGID权限，再新建子目录nsd02、子文件test02.txt。
查看上述子目录及文件的权限及归属。

14.2 方案

SGID是Linux特殊权限的一种，其作用主要体现如下：

1）在一个具有SGID权限的目录下，新建的文档会自动继承此目录的属组身份。

注意事项：对可执行的程序/目录有效、可执行程序所属组必须具备可执行权限、显示占用的是所属组的x位置。

14.3 步骤

实现此案例需要按照如下步骤进行。

步骤一：创建/nsdpublic目录，将属组改为tarena

命令操作如下所示：

[root@localhost ~]# mkdir /nsdpublic //创建测试目录
[root@localhost ~]# ls -ld /nsdpublic/ //查看权限及归属关系
drwxr-xr-x. 2 root root 4096 2月 27 11:27 /nsdpublic/
[root@localhost ~]# grep tarena /etc/group //查看tarena组是否存在
tarena:x:502:gelin02,gelin01
[root@localhost ~]# chown :tarena /nsdpublic/ //更改目录所属组为tarena组
[root@localhost ~]# ls -ld /nsdpublic/ //查看是否修改成功
drwxr-xr-x. 2 root tarena 4096 2月 27 11:27 /nsdpublic/

步骤二：新建子目录nsd01、子文件test01.txt，查看两者的权限及归属

命令操作如下所示：

[root@localhost ~]# mkdir /nsdpublic/nsd01 //在nsdpublic目录下创建nsd01目录
[root@localhost ~]# touch /nsdpublic/test01.txt //在nsdpublic目录下创建测试文件
[root@localhost ~]# ls -l /nsdpublic/ //查看归属关系其属组均为root组
总用量 4
drwxr-xr-x. 2 root root 4096 2月 27 11:49 nsd01
-rw-r--r--. 1 root root 0 2月 27 11:50 test01.txt

步骤三：为此目录添加SGID权限，再新建子目录nsd02、子文件test02.txt

命令操作如下所示：

[root@localhost ~]# chmod g+s /nsdpublic/ //为nsdpublic添加SGID权限
[root@localhost ~]# ls -ld /nsdpublic/ //查看设置成功
drwxr-sr-x. 3 root tarena 4096 2月 27 11:50 /nsdpublic/
[root@localhost ~]# mkdir /nsdpublic/nsd02
[root@localhost ~]# touch /nsdpublic/test02.txt
[root@localhost ~]# ls -l /nsdpublic/
总用量 8
drwxr-xr-x. 2 root root 4096 2月 27 11:49 nsd01
drwxr-sr-x. 2 root tarena 4096 2月 27 11:57 nsd02
-rw-r--r--. 1 root root 0 2月 27 11:50 test01.txt
-rw-r--r--. 1 root tarena 0 2月 27 11:57 test02.txt

分析：可以看到当nsdpublic目录具备SGID权限时，之前创建的nsd01与test01.txt其所属组均为发生变化，但新创建的nsd02与test02.txt两者都继承的所属组身份及权限，其中还需注意的一点是我们也可以看到nsd02子目录也同样继承了SGID权限。

15 案例：Sticky权限测试

15.1 问题

为/tarena/public/目录设权限777，并添加粘滞位t权限
以用户zhangsan登入，在/tarena/public/目录下创建文件zhsfile2
以用户lisi登入，在/tarena/public/目录下创建文件lsfile2
查看文件zhsfile2、lsfile2的权限和归属
尝试删除zhsfile2、lsfile2文件

15.2 方案

Sticky权限是Linux特殊权限的一种，主要用来对公共目录的w权限进行限制。

注意事项：适用于目录，用来限制用户滥用写入权、其他人必须具备可执行权限、显示占用的是其他人的x位置。

15.3 步骤

实现此案例需要按照如下步骤进行。

步骤一：为/tarena/public/目录设权限777，并添加粘滞位

命令操作如下所示：

[root@localhost ~]# mkdir -p /tarena/public //创建多级目录
[root@localhost ~]# ls -R /tarena //递归查看目录结构
/tarena:
public
/tarena/public:
[root@localhost ~]# ls -ld /tarena/public //查看权限的划分情况
drwxr-xr-x. 2 root root 4096 2月 27 14:47 /tarena/public/
[root@localhost ~]# chmod 777 /tarena/public //设置权限为777
[root@localhost ~]# ls -ld /tarena/public //查看设置结果
drwxrwxrwx. 2 root root 4096 2月 27 14:47 /tarena/public/
[root@localhost ~]# chmod o+t /tarena/public //设置特殊权限t权限
[root@localhost ~]# ls -ld /tarena/public //查看设置结果
drwxrwxrwt. 2 root root 4096 2月 27 14:47 /tarena/public/
[root@localhost ~]#

步骤二：以用户zhangsan登入，在/tarena/public/目录下创建文件zhsfile2

命令操作如下所示：

[root@localhost ~]# id zhangsan //查看zhangsan用户是否存在
uid=500(zhangsan) gid=500(zhangsan) 组=500(zhangsan)
[root@localhost ~]# su – zhangsan //切换用户身份测试
[zhangsan@localhost ~]$ touch /tarena/public/zhsfile2
[zhangsan@localhost ~]$ ls -l /tarena/public //测试是否创建成功
总用量 0
-rw-rw-r--. 1 zhangsan zhangsan 0 2月 27 14:57 zhsfile2
[zhangsan@localhost ~]$

步骤三：以用户lisi登入，在/tarena/public/目录下创建文件lsfile2

命令操作如下所示：

[root@localhost ~]# id lisi //查看lisi用户是否存在
uid=503(lisi) gid=504(lisi) 组=504(lisi)
[root@localhost ~]# su – lisi //切换用户身份
[lisi@localhost ~]$ touch /tarena/public/lsfile2
[lisi@localhost ~]$ ls -l /tarena/public //测试是否创建成功
总用量 0
-rw-rw-r--. 1 lisi lisi 0 2月 27 15:03 lsfile2
-rw-rw-r--. 1 zhangsan zhangsan 0 2月 27 14:57 zhsfile2
[lisi@localhost ~]$

步骤四：查看文件zhsfile2、lsfile2的权限和归属

命令操作如下所示：

[lisi@localhost ~]$ ls -l /tarena/public/
总用量 0
-rw-rw-r--. 1 lisi lisi 0 2月 27 15:03 lsfile2
-rw-rw-r--. 1 zhangsan zhangsan 0 2月 27 14:57 zhsfile2
[lisi@localhost ~]$

步骤五：尝试删除zhsfile2、lsfile2文件（以lisi身份）

命令操作如下所示：

[lisi@localhost ~]$ whoami //查看当前用户身份
Lisi
[lisi@localhost ~]$ ls -ld /tarena/public //查看目录权限
drwxrwxrwt. 2 root root 4096 2月 27 15:07 /tarena/public/
[lisi@localhost ~]$ ls -l /tarena/public
总用量 0
-rw-rw-r--. 1 lisi lisi 0 2月 27 15:03 lsfile2
-rw-rw-r--. 1 zhangsan zhangsan 0 2月 27 14:57 zhsfile2
[lisi@localhost ~]$ rm -rf /tarena/public/lsfile2 //删除lisi自己文件
[lisi@localhost ~]$ rm -rf /tarena/public/zhsfile2 //删除其他用户的文件
rm: 无法删除"/tarena/public/zhsfile2": 不允许的操作

16 定义ACL控制策略

16.1 问题

创建账户：mike、john、kaka
创建文件：/data/file1.txt
mike对文件有读写权限，john只有读权限。其他用户没有任何权限
kaka具有与john相同权限
创建lily用户，lily对file1.txt具有读执行权限，其他用户没有任何权限

16.2 方案

并不是所有的分区都支持ACL策略设置，后续会学习怎样让一个分区支持ACL。在安装系统时划分的分区默认是支持ACL策略的，而如果该分区是在安装系统之后创建的默认是不支持的。

ACL策略应用的情况是，当所有者、所属组、其他人三个归属关系，三种身份的权限都不能满足某个用户或组的权限设置。这个时候ACL可以为这个用户或组单独设置权限，使Linux权限划分设置更加灵活。

16.3 步骤

实现此案例需要按照如下步骤进行。

步骤一：创建账户：mike、john、kaka

命令操作如下所示：

[root@localhost ~]# useradd mike
[root@localhost ~]# useradd john
[root@localhost ~]# useradd kaka

步骤二：创建文件：/data/file1.txt

命令操作如下所示：

[root@localhost ~]# touch /data/file1.txt
[root@localhost ~]# ls -l /data/file1.txt
-rw-r--r--. 1 root root 0 2月 27 15:38 /data/file1.txt

步骤三：mike对文件有读写权限，john只有读权限。其他用户没有任何权限

分析：此题涉及到三种不同的权限，我们可以这样来做，让mike来做所有者，让john属于此文件所属组成员，当然其他人就好说了直接设置即可。

命令操作如下所示：

[root@localhost ~]# ls -l /data/file1.txt //查看权限及归属关系
-rw-r--r--. 1 root root 0 2月 27 15:38 /data/file1.txt
[root@localhost ~]# chown mike:john /data/file1.txt //更改所有者与所属组
[root@localhost ~]# ls -l /data/file1.txt //查看更改结果
-rw-r--r--. 1 mike john 0 2月 27 15:38 /data/file1.txt
[root@localhost ~]# chmod o= /data/file1.txt //设置权限，其他人无权限
[root@localhost ~]# ls -l /data/file1.txt //查看呢设置结果
-rw-r-----. 1 mike john 0 2月 27 15:38 /data/file1.txt
[root@localhost ~]#

步骤四：kaka具有与john相同权限

分析：我们可以把kaka加入到john组里面

命令操作如下所示：

[root@localhost ~]# id kaka //查询kaka用户信息
uid=506(kaka) gid=507(kaka) 组=507(kaka)
[root@localhost ~]# gpasswd -a kaka john //将kaka用户加入到john组
Adding user kaka to group john
[root@localhost ~]# id kaka //查询kaka用户信息
uid=506(kaka) gid=507(kaka) 组=507(kaka),506(john)
[root@localhost ~]#

步骤五：创建lily，lily对file1.txt具有读执行权限，其他用户没有任何权限

分析：这个时候就出现基本权限及归属关系不能解决，首先所有者已确定是mike，所属组权限rw所以也不行，最后其他人上面题有要求无任何权限。所以ACL策略就派上用场了。

命令操作如下所示：

[root@localhost ~]# echo 123456 > /data/file1.txt //写入测试文字
[root@localhost ~]# cat /data/file1.txt //管理员测试
123456
[root@localhost ~]# id lily //查询是否存在lily用户
id: lily：无此用户
[root@localhost ~]# useradd lily //创建lily用户
[root@localhost ~]# su – lily //切换用户身份
[lily@localhost ~]$ cat /data/file1.txt //测试在没有设置ACL前lily能否查看
cat: /data/file1.txt: 权限不够
[lily@localhost ~]$ exit //退到root用户身份
logout
[root@localhost ~]# getfacl /data/file1.txt //查看文件ACL策略
getfacl: Removing leading '/' from absolute path names
# file: data/file1.txt
# owner: mike
# group: john
user::rw-
group::r--
other::---
[root@localhost ~]# setfacl -m u:lily:r /data/file1.txt //设置ACL策略
[root@localhost ~]# getfacl /data/file1.txt //查看ACL策略
getfacl: Removing leading '/' from absolute path names
# file: data/file1.txt
# owner: mike
# group: john
user::rw-
user:lily:r--
group::r--
mask::r--
other::---
[root@localhost ~]# su – lily //切换用户
[lily@localhost ~]$ cat /data/file1.txt //测试是否具有r权限
123456

17 课后基础练习：

练习1：chmod权限设置

1）以root用户新建/nsddir/目录，在该目录下新建文件readme.txt

2）使用户zhangsan能够在/nsddir/目录下创建/删除子目录

3）使用户zhangsan能够修改/nsddir/readme.txt文件的容

练习2：chown归属设置

1）新建/tarena1目录

a）将属主设为gelin01，属组设为tarena组

b）使用户gelin01对此目录具有rwx权限，其他人对此目录无任何权限

2）使用户gelin02能进入、查看/tarena1文件夹（提示：将gelin02加入所属组）

3）新建/tarena2目录

a）将属组设为tarena

b）使tarena组的任何用户都能在此目录下创建、删除文件

4）新建/tarena/public目录

a）使任何用户对此目录都有rwx权限

b）拒绝zhangsan进入此目录，对此目录无任何权限（提示ACL黑名单）

练习3:权限设置(参考答案)

1、创建文件夹/data/test,设置目录的访问权限，使所有者和所属组具备读写执行的权限；其他人无任何权限。

[root@A ~]# mkdir -p /data/test
[root@A ~]# chmod 770 /data/test

2、递归修改文件夹/data/test的归属使所有者为zhangsan，所属组为tarena。

[root@A ~]# chown -R zhangsan:tarena /data/test
[root@A ~]# ls -ld /data/test

3、请实现在test目录下，新建的所有子文件或子目录的所属组都会是tarena。

[root@A ~]# chmod g+s /data/test
[root@A ~]# mkdir /data/test/abc
[root@A ~]# ls -ld /data/test/abc

4、为lisi创建ACL访问权限，使得lisi可以查看/etc/shadow文件

[root@A ~]# setfacl -m u:lisi:r /etc/shadow
[root@A ~]# getfacl /etc/shadow

练习4:虚拟机上操作

将文件 /etc/fstab 拷贝为 /var/tmp/fstab，并调整文件 /var/tmp/fstab权限

满足以下要求：

– 此文件的拥有者是 root

– 此文件对任何人都不可执行

– 用户 natasha 能够对此文件可以读和写操作（利用ACL策略）

– 用户 harry 对此文件既不能读，也不能写（利用ACL策略）

练习5:虚拟机上操作

创建一个共用目录 /home/admins，要求如下：

– 此目录的所属组是 adminuser

– adminuser 组的成员对此目录有读写和执行的权限，并且其他用户没有任何权限

– 在此目录中创建的文件，其所属组会自动设置为属于 adminuser 组

答案参考：

练习1：chmod权限设置

1）以root用户新建/nsddir/目录，在该目录下新建文件readme.txt

2）使用户zhangsan能够在/nsddir/目录下创建/删除子目录

3）使用户zhangsan能够修改/nsddir/readme.txt文件的容

[root@A ~]# mdkir /nsddir
[root@A ~]# echo haha >> /nsddir/readme.txt
[root@A ~]# chmod o+w /nsddir
[root@A ~]# su - zhangsan
[zhangsan@A ~]$ mkdir /nsddir/zhangsan
[zhangsan@A ~]$ ls /nsddir
[zhangsan@A ~]$ exit
[root@A ~]# chmod o+w /nsddir/readme.txt
[root@A ~]# su - zhangsan
[zhangsan@A ~]$ echo xixi >> /nsddir/readme.txt
[zhangsan@A ~]$ cat /nsddir/readme.txt
[zhangsan@A ~]$ exit

练习2：chown归属设置

1）新建/tarena1目录

a）将属主设为gelin01，属组设为tarena组

b）使用户gelin01对此目录具有rwx权限，其他人对此目录无任何权限

[root@A ~]# mkdir /tarena1
[root@A ~]# useradd gelin01
[root@A ~]# groupadd tarena
[root@A ~]# chown gelin01:tarena /tarena1
[root@A ~]# ls -ld /tarena1
[root@A ~]# chmod o=--- /tarena1
[root@A ~]# ls -ld /tarena1

2）使用户gelin02能进入、查看/tarena1文件夹（提示：将gelin02加入所属组）

[root@A ~]# useradd gelin02
[root@A ~]# gpasswd -a gelin02 tarena
[root@A ~]# id gelin02
[root@A ~]# su - gelin02
[gelin02@A ~]$ cd /tarena1
[gelin02@A tarena1]$ cd /tarena1
[gelin02@A tarena1]$ ls
[gelin02@A tarena1]$ exit

3）新建/tarena2目录

a）将属组设为tarena

b）使tarena组的任何用户都能在此目录下创建、删除文件

[root@A ~]# mkdir /tarena2
[root@A ~]# chown :tarena /tarena2
[root@A ~]# chmod g+w /tarena2
[root@A ~]# ls -ld /tarena2
[root@A ~]# useradd ceshi
[root@A ~]# gpasswd -a ceshi tarena
[root@A ~]# id ceshi
[root@A ~]# su - ceshi
[ceshi@A ~]$ mkdir /tarena2/ceshi
[ceshi@A ~]$ ls /tarena2
[ceshi@A ~]$ exit

4）新建/tarena/public目录

a）使任何用户对此目录都有rwx权限

b）拒绝zhangsan进入此目录，对此目录无任何权限

[root@A ~]# mkdir /tarena/public
[root@A ~]# chmod 777 /tarena/public
[root@A ~]# ls -ld /tarena/public
[root@A ~]# setfacl -m u:zhangsan:--- /tarena/public
[root@A ~]# su - zhangsan
[zhangsan@A ~]$ ls /tarena/public
[zhangsan@A ~]$ cd /tarena/public
[zhangsan@A ~]$ exit

练习3:权限设置

1、创建文件夹/data/test,设置目录的访问权限，使所有者和所属组具备读写执行的权限；其他人无任何权限。

2、递归修改文件夹/data/test的归属使所有者为zhangsan，所属组为tarena。

3、请实现在test目录下，新建的所有子文件或目录的所属组都会是tarena。

4、为lisi创建ACL访问权限，使得lisi可以查看/etc/shadow文件

[root@A ~]# mkdir /data/test
[root@A ~]# chmod u=rwx,g=rwx,o=--- /data/test 或者 chmod 770 /data/test
[root@A ~]# ls -ld /data/test
[root@A ~]# chown -R zhangsan:tarena /data/test
[root@A ~]# ls -ld /data/test
[root@A ~]# chmod g+s /data/test
[root@A ~]# mkdir /data/test/abc
[root@A ~]# ls -ld /data/test/abc
[root@A ~]# setfacl -m u:lisi:r /etc/shadow
[root@A ~]# getfacl /etc/shadow
[root@A ~]# su - lisi
[lisi@A ~]$ cat /etc/shadow
[lisi@A ~]$ exit

练习4:虚拟机 server0上操作

将文件 /etc/fstab 拷贝为 /var/tmp/fstab，并调整文件 /var/tmp/fstab权限

满足以下要求：

– 此文件的拥有者是 root

– 此文件对任何人都不可执行

– 用户 natasha 能够对此文件执行读和写操作

– 用户 harry 对此文件既不能读，也不能写

[root@A ~]# cp /etc/fstab /var/tmp/fstab
[root@A ~]# ls -l /var/tmp/fstab
[root@A ~]# setfacl -m u:natasha:rw /var/tmp/fstab
[root@A ~]# getfacl /var/tmp/fstab
[root@A ~]# su - natasha
[natasha@A ~]$ cat /var/tmp/fstab
[natasha@A ~]$ echo ceshi >> /var/tmp/fstab
[natasha@A ~]$ cat /var/tmp/fstab
[natasha@A ~]$ exit
[root@A ~]# setfacl -m u:harry:--- /var/tmp/fstab
[root@A ~]# getfacl /var/tmp/fstab
[root@A ~]# su - harry
[harry@A ~]$ cat /var/tmp/fstab
[harry@A ~]$ echo ceshi >> /var/tmp/fstab
[harry@A ~]$ exit

练习5:虚拟机操作

创建一个共用目录 /home/admins，要求如下：

– 此目录的所属组是 adminuser

– adminuser 组的成员对此目录有读写和执行的权限，并且其他用户没有任何权限

– 在此目录中创建的文件，其所属组会自动设置为属于 adminuser 组

[root@A ~]# mkdir /home/admins
[root@A ~]# groupadd adminuser
[root@A ~]# chown :adminuser /home/admins
[root@A ~]# ls -ld /home/admins
[root@A ~]# chmod g+s /home/admins
[root@A ~]# ls -ld /home/admins
[root@A ~]# mkdir /home/admins/ceshi
[root@A ~]# ls -ld /home/admins/ceshi

WIfks_

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
1
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

基本权限和归属、查看权限与归属关系、修改权限、权限数字表示、修改归属关系

NSD ENGINEER DAY01

1 往事回味：长风破浪会有时，直挂云帆济沧海

1.1 创建用户的命令是什么？

1.2 修改已存在用户的属性命令是什么？

1.3 非交互式lisi设置密码为123 请写出该命令

1.4 请写出 存放用户基本信息 的配置文件

1.5 请写出 禁止用户登录系统的解释器程序

1.6 将harry用户加入tedu组，请写出该命令

1.7 请写出 组账号基本信息 配置文件

1.8 如何判断一个用户是否存在？

1.9 如何判断一个组是否存在？

1.10 如何判断一个用户是否在users组中？(两种方法）

1.11 /etc/passwd文件第六字段与第七字段，分别表示的含义？

1.12 请写出您熟悉的Linux命令？（至少10条）

2 环境的准备：还原快照到“安装系统完成”状态

3 基本权限与归属

4 查看数据权限

5 修改权限

6 修改归属关系

7 ACL策略管理

8 附加权限(特殊权限)

9 总结补充内容

10 案例：设置基本权限

10.1 问题

10.2 方案

10.3 步骤

11 案例：文件/目录的默认权限

11.1 问题

11.2 方案

11.3 步骤

12 案例：设置归属关系

12.1 问题

12.2 方案

12.3 步骤

13 案例：SUID权限测试

13.1 问题

13.2 方案

13.3 步骤

14 案例：SGID权限测试

14.1 问题

14.2 方案

14.3 步骤

15 案例：Sticky权限测试

15.1 问题

15.2 方案

15.3 步骤

16 定义ACL控制策略

16.1 问题

16.2 方案

16.3 步骤

17 课后基础练习：

1.4 请写出存放用户基本信息的配置文件

1.5 请写出禁止用户登录系统的解释器程序

1.7 请写出组账号基本信息配置文件