Linux从0开始第四天

于 2024-07-20 11:46:42 发布
阅读量1.4k 收藏 18
点赞数 32
文章标签: linux 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62689534/article/details/140568728
版权

一、Linux用户权限解析

  1. 基本权限
  2. 特殊权限
  3. 高级权限
  4. 隐藏权限

我们linux服务器上有严格的权限等级,如果权限过高导致误操作会增加服务器的风险。所以对于了解linux系统中的各种权限及要给用户,服务等分配合理的权限十分重要

1.基本权限 UGO

文件权限设置: 可以赋于某个用户或组 能够以何种方式 访问某个文件

image-20191101152351943

权限对象:
属主------->u ----->r w x  所有者
属组------->g ----->r w x  
其他人----->o------>r w x
基本权限类型:
读(read):r   ---->4
写(write):w  ---->2
执行(exec):x ---->1

案例:

r w x        rw-        r--       alice   hr    file1.txt
属主权限    属组权限   其他人权限     属主    属组      文件
#前提条件:jack属于hr组
一  alice对file1.txt文件有什么权限?
二  jack对file1.txt文件有什么权限?
          a. jack是所有者吗?
          b. jack属于hr组吗?
          
三 tom对file1.txt文件有什么权限? 
          a. tom是所有者吗?
          b. tom属于hr组吗?
          c. tom为其他人吗?

1.1.设置权限

chown:改变文件或目录的所属主以及所属组
chmod:为文件或目录设置访问权限

更改文件的属主(拥有者)、属组 (所属组)

chown

[root@linux-server ~]# chown alice.hr file1.txt  #修改属主、属组
[root@linux-server ~]# chown tom  file1.txt  #修改属主
[root@linux-server ~]# chown .it file1.txt   #只改属组
[root@linux-server ~]# chown -R alice.hr dir1 #递归修改---针对目录

更改权限

a. 使用符号

image-20191101170709941

[root@linux-server ~]# chmod u+x file1.txt     #属主增加执行
[root@linux-server ~]# chmod a=rwx file1.txt   #所有人等于读写执行
[root@linux-server ~]# chmod a=- file1.txt     #所有人都没有权限
[root@linux-server ~]# chmod ug=rw,o=r file1.txt  #属主属组等于读写,其他人只读
[root@linux-server ~]# ll
-rw-rw-r--. 1 tom   it      0 Nov  1 15:30 file1.txt

b.使用数字

[root@linux-server ~]# chmod 644 file1.txt 
[root@linux-server ~]# ll file1.txt 
-rw-r--r--. 1 tom it 0 Nov  1 15:30 file1.txt
​
[root@linux-server ~]# chmod 755 file1.txt
[root@linux-server ~]# ll
-rwxr-xr-x  1 root root    0 Jul 23 22:40 file1.txt
​
[root@linux-server ~]# chmod 521 file1.txt
[root@linux-server ~]# ll
-r-x-w---x  1 root root    0 Jul 23 22:40 file1.txt
2 .权限案例 UGO

r、w、x权限对文件和目录的意义

image-20191103151911043

对文件:
r ----cat vim  tail  head  more  less
w ---vi、vim  echo  >   >>
x ---- bash /dir/file  注意:如果没有x权限,root用户都无法执行  chmod a-x file    ./file

其他人对文件只有写权限的时候

对目录:
r  -----ls 			如果只有r权限,可以看到目录下的内容,但是有报错信息
w  -----touch、rm	可以对目录下的文件创建和删除但是要有执行权限
x  ---- cd 			进入目录
实战

rwx对文件的影响

实战案例1:rwx对文件的影响

[root@linux-server ~]# vim /home/file1
date
[root@linux-server ~]# ll /home/file1 
-rw-r--r--. 1 root root 5 Nov  3 15:19 /home/file1

[root@linux-server ~]# su - alice  #切换普通用户
[alice@linux-server ~]$ cat /home/file1 
date
[alice@linux-server ~]$ /home/file1   #执行文件
-bash: /home/file1: Permission denied
[alice@linux-server ~]$ exit
logout
[root@linux-server ~]# chmod o+x /home/file1
[alice@linux-server ~]$ /home/file1 
Sun Nov  3 15:26:21 CST 2019

[root@linux-server ~]# chmod o+w /home/file1 
[alice@linux-server ~]$ vim /home/file1
date
123
ls

rwx对目录的影响

实战案例2:对目录没有w,对文件有rwx

[root@linux-server ~]# mkdir /dir10
[root@linux-server ~]# touch /dir10/file1
[root@linux-server ~]# chmod 777 /dir10/file1 
[root@linux-server ~]# ll -d /dir10/
drwxr-xr-x. 2 root root 19 Nov  3 15:37 /dir10/
[root@linux-server ~]# ll /dir10/file1 
-rwxrwxrwx. 1 root root 0 Nov  3 15:37 /dir10/file1
[root@linux-server ~]# vim /dir10/file1
jack
[root@linux-server ~]# su - alice
Last login: Sun Nov  3 15:28:06 CST 2019 on pts/0
[alice@linux-server ~]$ cat /dir10/file1 
jack
[alice@linux-server ~]$ rm -rf /dir10/file1   #权限不够
rm: cannot remove ‘/dir10/file1’: Permission denied
[alice@linux-server ~]$ touch /dir10/file2   #权限不够
touch: cannot touch ‘/dir10/file2’: Permission denied

其他人对父目录没有w权限,则对其目录下的文件也没有w权限,无关乎文件的权限,但是目录又要执行权限,否则无法cd进去

实战案例3:对目录有w,对文件没有任何权限

[root@linux-server ~]# chmod 777 /dir10/
[root@linux-server ~]# chmod 000 /dir10/file1 
[root@linux-server ~]# ll -d /dir10/
drwxrwxrwx. 2 root root 19 Nov  3 15:38 /dir10/
[root@linux-server ~]# ll /dir10/file1 
----------. 1 root root 5 Nov  3 15:38 /dir10/file1
[root@linux-server ~]# su - alice   #切换普通用户
Last login: Sun Nov  3 15:38:53 CST 2019 on pts/0
[alice@linux-server ~]$ cat /dir10/file1 
cat: /dir10/file1: Permission denied    #没有权限
[alice@linux-server ~]$ rm -rf /dir10/file1 
[alice@linux-server ~]$ touch /dir10/file2

#小结
对目录有w权限,可以在目录中创建新文件,可以删除目录中的文件(跟文件权限无关)
注意事项
文件: x 权限小心给予
目录: w 权限小心给予

权限掩码

umask 用户掩码

控制用户创建文件和目录的默认权限

#root用户默认最高权限
目录---777 文件---666

#查看umask
[root@qfedu.com ~]# umask
0022 root账户默认
0002 普通用户默认

#通过计算得出root用户创建目录和文件的权限为:
也是现在root用户创建完目录和文件的默认权限:
目录:755
文件:644

#修改umask
[root@qfedu.com ~]# umask 0111

高级权限

高级权限 suid普通文件
sgid,sticky 目录
这三个权限不能给到同一个文件

问题1: 为什么会失败!

[root@linux-server ~]# chown root.root /root/file1.txt
[root@linux-server ~]# vim /root/file1.txt
123
[root@linux-server ~]# ll /root/file1.txt 
-rw-r--r--. 1 root root 0 Nov  1 15:30 /root/file1.txt

[root@linux-server ~]# su - alice
Last login: Sun Nov  3 15:57:41 CST 2019 on pts/0
[alice@linux-server ~]$ cat /root/file1.txt
cat: /root/file1.txt: Permission denied


案例
切换普通用户,查看/etc/shadow
cat: /etc/shadow: 权限不够
切换root用户,给/usr/bin/cat文件授权
chmod u+s /etc/shadow
切换普通用户,再次查看

1.1.高级权限的类型

suid ==== 4 提权 (只对二进制命令文件生效,其他不管用)
sgid ==== 2 继承属组权限    (只能对目录设置)
sticky == 1 (t权限)  权限控制

1.2.设置特殊权限

a、字符---语法:
chmod u+s file	提权
chmod g+s dir 	只能对目录设置
chmod o+t dir   即使有删除权限,也不能删除

b、数字
chmod 4777 file 
chmod 2770 dir 
chmod 1770 dir

案例一

suid   普通用户通过suid提权     <针对文件>
在进程文件(二进制,可执行的命令文件)上增加suid权限
[root@linux-server ~]# chmod u+s /usr/bin/cat
[root@linux-server ~]# chmod u+s /usr/bin/rm
[root@linux-server ~]# su - alice
Last login: Wed Nov  6 17:40:40 CST 2019 on pts/0
[alice@linux-server ~]$ cat /root/file1.txt
123
[alice@linux-server ~]$ rm -rf /root/file1.txt

Set UID

那么这个特殊权限的特殊性的作用是什么呢?
1、SUID权限仅对命令文件(二进制文件)有效;
2、执行者将具有该程序拥有者(owner)的权限。

取消提权

[root@linux-server ~]# ll /usr/bin/rm
-rwsr-xr-x. 1 root root 62864 Nov  6  2016 /usr/bin/rm
此时一旦给rm加上suid权限之后,普通用户相当于root用户。(即提权)

[root@linux-server ~]# chmod u-s /usr/bin/rm  #取消提权

案例二

首先创建一个用户组,两个用户进行这三个案例操作

Set GID

把s放到文件的所属用户组的x位置上的话,就是SGID。那么SGID的功能是什么呢?和SUID一样,只是SGID是继承该程序的所属组。
SGID主要用在目录上-----如果用户在此目录下具有w权限的话,使用者在此目录下建立新文件,则创建的这个文件的群组与此目录的群组相同。

案例

[root@linux-server ~]# mkdir /opt/dir1  #创建目录
[root@linux-server ~]# groupadd hr  #创建一个组
[root@linux-server ~]# chmod 775 /opt/dir1/  #设置权限
[root@linux-server ~]# ll -d /opt/dir1/
drwxrwxr-x. 2 root root 6 Nov  6 21:26 /opt/dir1/
[root@linux-server ~]# chown .hr /opt/dir1/  #设置属组
[root@linux-server ~]# chmod g+s /opt/dir1/  #设置sgid
[root@linux-server ~]# ll -d /opt/dir1/
drwxrwsr-x. 2 root hr 6 Nov  6 21:26 /opt/dir1/
[root@linux-server ~]# touch /opt/dir1/a.txt
[root@linux-server ~]# ll /opt/dir1/a.txt
-rw-r--r--. 1 root hr 0 Nov  6 21:33 /opt/dir1/a.txt

[root@linux-server ~]# chmod o+w /opt/dir1/ -R 
[root@linux-server ~]# su - alice
Last login: Wed Nov  6 21:34:59 CST 2019 on pts/2
[alice@linux-server ~]$ touch /opt/dir1/b.txt
[alice@linux-server ~]$ ll /opt/dir1/b.txt
-rw-rw-r--. 1 alice hr 0 Nov  6 21:35 /opt/dir1/b.txt

Sticky Bit

这个就是针对others来设置的了,和上面两个一样,只是功能不同而已。
SBIT(Sticky Bit)目前只针对目录有效,对于目录的作用是:当用户在该目录下建立文件或目录时,仅有自己与 root才有权力删除。

案例

[root@linux-server ~]# cd /home/
[root@linux-server home]# mkdir dir2
[root@linux-server home]# chmod 757 dir2/
[root@linux-server home]# chmod o+t dir2/
[root@linux-server home]# ll -d dir2/
drwxr-xrwt. 2 root root 52 Oct 31 16:49 dir2/
[root@linux-server home]# useradd jack  #创建用户
[root@linux-server home]# su - alice 
Last login: Wed Nov  6 21:48:12 CST 2019 on pts/2
[alice@linux-server ~]$ touch /home/dir2/alice.txt  #用户alice创建文件
[alice@linux-server ~]$ exit
logout
[root@linux-server home]# su - jack 
Last login: Wed Nov  6 21:48:36 CST 2019 on pts/2
[jack@linux-server ~]$ touch /home/dir2/jack.txt   #用户jack创建文件
[jack@linux-server ~]$ rm -rf /home/dir2/alice.txt 
rm: cannot remove ‘/home/dir2/alice.txt’: Operation not permitted
测试jack删除alice创建的文件,无法删除

1.3.目前两种给普通用户提权手段:

suid: 基本针对所有用户,任何用户在执行有suid权限的程序时(例如/usr/bin/rm),都是以root身份在执行。
sudo: 有针对性,例如针对某个用户以能够以root的身份执行某些命令。
案例
放开所有命令使用权
[root@linux-server ~]# visudo    #打开配置文件
90 ##
91 ## Allow root to run any commands anywhere
92 root    ALL=(ALL)       ALL
93 jack    ALL=(ALL)       NOPASSWD: ALL   #添加内容
94 ## Allows members of the 'sys' group to run networking, software,
测试
[root@linux-server ~]# su - jack
Last login: Wed Nov  6 22:04:46 CST 2019 on pts/2
[jack@linux-server ~]$ sudo mkdir /test1
配置解释:
jack表示用户名
ALL=(ALL)     #表示sudo可以切换到任意用户登陆所有计算机执行命令
NOPASSWD: ALL  #表示所有命令都可以作为root身份执行时不需要root用户的密码
放开个别命令使用权
[root@linux-server ~]# visudo    | vim /etc/sudoers
     91 ## Allow root to run any commands anywhere
     92 root    ALL=(ALL)       ALL
        lisi    ALL=(ALL)       ALL
     93 jack    ALL=(ALL)       NOPASSWD:ALL
     94 alice   ALL=(ALL)       NOPASSWD:/usr/bin/mkdir, /usr/bin/rm, /usr/bin/touch
     95 
     96 ## Allows members of the 'sys' group to run networking, software,
     
     
     %wheel  ALL=(ALL)       ALL
     
     
     将普通用户加入到wheel组
     usermod -G wheel  zhangsan
     gpasswd -d zhangsan wheel
测试:
[root@linux-server ~]# su - alice
Last login: Fri Jul 24 00:52:13 CST 2020 on pts/1
[alice@linux-server ~]$ touch /file
touch: cannot touch ‘/file’: Permission denied
[alice@linux-server ~]$ sudo touch /file
访问控制权限
setfacl 针对个人设置权限  一个人查看一个文件的权限
getfacl 查看权限
已知文件:
[root@xiaoming tmp]# ll
-rw-r--r-- 1 root root    0 11月 26 11:25 a.txt
如果希望只有xiaoming用户可以rwx操作/tmp/a.txt文件
那么我们可以这样做
setfacl -m u:xiaoming:rwx /tmp/a.txt
-m 设置facl权限
u:  用户,也可以指定组 g(主组)
xiaoming: 需要指定的用户
rwx: 权限

让我们来看下现在xiaoming是否拥有这个权限:
1、尝试对该文件进行操作
2、getfacl /tmp/a.txt
[root@xiaoming /tmp]# getfacl a.txt 
# file: a.txt
# owner: root
# group: root
user::rw-
user:xiaoming:rwx
group::r--
mask::rwx
other::r--
我们可以看到 xiaoming 拥有了对该文件的rwx权限

那么如何收回权限呢
方法1、
setfacl -m u:xiaoming:--- a.txt
方法2、
setfacl -x u:xiaoming a.txt
方法3、
setfacl -b a.txt
我们也可以设置该文件为所有人所有组访问
setfacl -m ::rwx a.txt

总结

  • 提权方法1:给某个命令提权

chmod u+s   /usr/bin/rm     #“命令”

缺点:一旦提权,所有用户都可以像root用户一样执行命令

  • 提权方法2:给某个用户某些命令的权限

visudo

缺点:被提权的用户将会拥有某些或者全部root用户的权限

提权方法3:给某个用户设置针对某个文件的特殊权限

setfacl

作业

1.创建用户tom,jack,zhuzhuxia;zhuzhuxia用户的附加组为tom
2.切换到用户tom,在/tmp目录下创建文件tom.txt (观察文件的归属和权限)
3.将tom创建的文件权限修改为rw-r-----
4.向tom创建的文件中写入内容"Tihs is tom file ,dont touch"
5.请问: jack,zhuzhuxia能不能查看文件的内容?
6.创建一个目录/opt/test目录,要求该目录的属组为it组,任何用户在该目录下创建文件继承该目录的属组?
7.使用root用户创建目录/prov,修改属主为tom,属组为tom,权限为750
8.列出/home/下面的所有文件包括隐藏文件?
9.查看自己的ip地址
10.chown是用来做什么的?chmod是用来做什么的?
1、创建hr组,并指定gid为2000
2、创建用户liudehua,指定密码为123
3、创建用户guofucheng,并加入到hr组
4、给/opt目录设置属主、属组、其他人所有权限
5、创建目录/opt/book,指定属主为liudehua,属组为hr
6、切换到用户guofucheng,在/opt/book创建文件book1.txt2# 如果失败,想想为什么
7、切换回root用户,修改/opt/book目录权限,使得第6步可以正常执行
8、设置目录/opt/book,使得在这个目录下创建的所有文件,属组都跟随父目录
9、给guofucheng用户提权,要求guofucheng用户可以以root权限执行所有指令
10、配置权限,liudehua用户可以读取并编辑/etc/passwd文件
11、请将下列数字转为权限
351
432
751
12、请将下列权限转为数字
rw-r-x--x
wx-w-r--
---rwx-w-
13、有一个文件,权限如下
-rw-r--r-- 1 root root 36 6月29 2022 /root/a.txt 
(1)请问liudehua用户是否具有读权限
(2)有哪些方法可以使liudehua用户读取此文件
苏堤轻烟随风散
关注
从0开始构建自己的U盘Linux(一)
pumpkinstay的博客
04-29 5634
从0开始构建自己的U盘Linux前期知识储备Linux内核源码下载Linux源码编译Busybox工具无盘构建根文件系统在U盘上构建Linux根文件系统测试 前期知识储备 1.1本项目介绍 (1)开发环境 主机:Dell xps13 9360 , 操作系统Windows 10, 64-bit , USB3.0接口 虚拟机:ubuntu-18.04.2-desktop-amd64,运行在VMware...
linux怎么做raid0,Linux创建RAID0_实战
weixin_35688354的博客
05-16 2263
Linux创建RAID实战一、Linux创建RAID0RAID0俗称条带,它将两个或多个硬盘组成一个逻辑硬盘,容量是所有硬盘之和因为是多个硬盘组合成一个,故可并行写操作,写入速度提高,但此方式硬盘数据没有冗余,没有容错,一旦一个物理硬盘损坏,则所有数据均丢失RAID0适合于对数据量大,但安全性要求不高的场景,比如音像、视频文件的存储等二、创建RAID0,并格式化、挂载使用添加两块10G的虚拟硬盘[...
linux操作用户及权限分配
02-24
本资源包含Linux常用的用户和用户组增加和修改的命令,以及用户划分权限目录
Linux用户权限
huang_cheng_zhi的博客
06-27 7702
Linux操作系统中,root的权限是最高的,相当于windows的administrator,拥有最高权限,能执行任何命令和操作。在系统中,通过UID来区分用户的权限级别,UID等于0,表示此用户具有最高权限,也就是管理员。其他的用户UID依次增加,通过/etc/passwd用户密码文件可以查看到每个用户的独立的UID。 每一个文件或者目录的权限,都包含一个用户权限、一个组的权限、其他人权限...
Linux用户权限解析
m0_70838473的博客
05-25 4367
一、Linux用户权限解析 我们linux服务器上有严格的权限等级,如果权限过高导致误操作会增加服务器的风险。所以对于了解linux系统中的各种权限及要给用户,服务等分配合理的权限十分重要。 1、基本权限 UGO 文件权限设置: 可以赋于某个用户或组 能够以何种方式 访问某个文件。 权限对象: 属主------->u 拥有者 属组------->g 拥有组 其他人------>o 基本权限类型: 读(read):r ---->4 .............
Linux - 用户权限
weixin_61428407的博客
06-29 2957
Linux用户权限的设置的相关操作
UNIX/Linux系统管理技术手册(第四版)(中文版)part1
06-06
《UNIX/Linux系统管理技术手册(第四版)》(ULAHv4)是《Linux系统管理技术手册》和《UNIX系统管理技术手册》的终结版,也是Evi Nemeth的封刀之作。内容无需多介绍。 这是中文清晰无广告版。文件分成了三部分,请全部...
linux用户权限
black_1988的个人小站
12-30 583
一、用户用户、组、权限用户:获取服务或资源的唯一的标识符安全上下文 进程 对于文件或目录等而言,有三种权限(超级权限后续补充): 属主、属组、其他权限: 对文件而言:r : 可读 ,可查看文件的内容 (二进制不可读) w : 可写 ,可以编辑或者删除 x : 可执行对目录而言:r : 可对次目录执行ls以列出目录内部的所有文件 w : 可在此目录创建文件
Linux---用户的权限
weixin_73888239的博客
06-01 1009
本章为大家带来用户的权限的讲解。
linux 用户权限
MakChiKin
05-12 176
# r 可读 w 可写 x 可执行 # + 增加权限 -减少权限 sudo chmod +/- rwx 文件名/目录名 # 增加所有权限 sudo chmod +rwx 01.py # 取消所有权限 sudo chmod -rwx 01.py ...
Linux用户的权限
qq_45275452的博客
07-24 129
掌握基本权限UGO和ACL的相关命令,了解特殊权限suid、guid、stick、chattr和umask等知识。
linux - 用户权限
最新发布
violetta521的博客
08-09 474
Linux系统中,拥有最大权限的账户名为: root(超级管理员)将文件夹test以及文件夹内全部内容权限设置为: rwxr-x--x。语法: chown [-R] [用户][:][用户组] 文件或文件夹。比如,针对某文件,可以控制用户的权限,也可以控制用户组的权限。注意,只有文件、文件夹的所属用户或root用户可以修改。语法: chmod [-R] 权限 文件或文件夹。将文件权限修改为: rwxr-x --x。举例:drwxr-xr-x,表示。语法: su [-][用户名]语法:sudo 其它命令。
Linux编程入门第四版指南
"《开始Linux编程第四版》是Neil ...《开始Linux编程第四版》是一本全面且深入的Linux编程教材,适合从新手到有一定经验的开发者阅读,无论你是想了解Linux的基本操作,还是希望深入学习高级编程技术,都能从中受益。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值