阻止用户登录的两种方法 (交互式的)
1设置密码锁
2将用户的shell更改为黑胶模式
一.权限区分用户可以做什么?
权限标记在哪里?
权限标记在文件里面 (拆解文件)
一共12个字符
第1标记文件系统类型 2-12访问权限
第2列标记文件硬链接次数(硬链接次代表有多少文件名)
3是用户 4是所属组
后面为文件大小 建档日期时间 文件名
举例
-rw------- r w x 每三个字符为一组
三组分别对应用户 所属组和其他用户权限 最后一字符.或者+号
“.”表示没有扩展权限 “+”表示有扩展权限
8 4 2 1 数值形式
r w x
二.文件有了读写权限可以进行那些操作?
1.文本文件:r读 查看文件内容(cat tac more less head vim nano grop)
W写 编辑内容(vim nano echo > >> cat<<EDF >file)
X执行 (运行文件内容) 命令文件 执行代码就ok了
2.目录文件:r读 ls ls-l
W写 在该目录下创建或者删除文件
X执行 打开目录文件 类似cd命令
系统中默认创建文件的权限是什么?644 最高666
系统中默认创建目录的权限是什么?755 最高777 (公共目录)
目录中有权限掩码值,所有777>666 指令umask=022(权限过滤符)可以临时修改。例如umask 033
666 rw- rw- rw
033 --- -wx -wx
633 rw- r-- r-- 依然是644 因为是字符相减,负的为- (主要考文本文件) 考
自己创建的家目录权限值为700(默认过滤077)
三.权限修改方式 (对系统中的文件做标记)
chown更改文件的所属用户 chown 所属用户 FILENAME (普通用户不行,root用户可以)
chown 所属用户 :所属组 FILENAME
chown.所属组 FILENAME(默认所属组)
chgrp更改文件的所属组 chgrp 所属组 FILENAME (只能改组)
chomd更改文件权限 chomd u用户g组o其他+rwx FILENAME chomd u=rw.g+W.o-r FILENAME
chomd 644 FILENAME
chomd 6 FILENAME ==006 66=066
(管理员可以改所有,普通用户只能改自己的)
对目录文件有读取权限:rx
写权限:rwx
文件三组权限的匹配顺序:首先判断发起者的所属用户 。是:只匹配所属用户权限 不是:则
再判断是否是该文件的所属组用户。 是:只匹配组权限 不是:则
直接判断其他用户权限(可以直接匹配)
考
四.权限匹配规则:(安全上下文)
判断可执行文件进程发起者身份对目标文件是否有读写执写权限?
命令文件 (当前终端的发起者身份)
(直接判断发起者是否是该文件的所属用户, 是:直接判断文件所属用户权限 。不是:再判断组和其他)
五.特殊权限
u+s 4 SUIP 所属用户的特权位/禁锢位(仅对可执行文件设置有意义,如命令文件。文件的发起者不是文件的所属者,而是文件自身的身份。)
g+s 2 SGIP 所属组的特权位/禁锢位 (文件进程的所属组取决于文件本身的所属组)
可对目录文件设置,对该目录所属组禁锢,后期用户在该目录下创建的文件的所属组都是目录的所属组。
o+t 1 stick 冒险位 (仅对目录文件设置有意义,用户只能删除该目录属于自己的文件,不删除被人的文件)
因为passwd进程身份是root,其他用户有特殊权限 考
六.扩展权限
(getfacl 文件名)查看; (setfacl -m u:redhat:rwx 文件名)添加设置 只限用户和组
删除扩展权限 setfacl -x u:redhat: 某一文件名(mask依然存在)
setfacl -b zhang1 一次性完全清除(包括扩展符)