学习目标 OBJECTIVES
1.如何查看及读取权限信息
2.设定文件的拥有者及拥有组
3.理解各种权限类型对于文件的影响
4.熟练设定权限
5.权限预留阀值umask
6.系统中的特殊权限
7.facl权限列表的应用
1、如何查看及读取权限信息
查看文件属性
文件属性的查看方式
ls -l filename
[root@westos_oldlee ~]# ls -l /etc/shadow
- --------- . 1 root root 1412 Jun 12 15:49 /etc/shadow
1 2 3 4 5 6 7 8 9
目录属性的查看方式
ls –ld directory
[root@westos_oldlee ~]# ls -l /etc/
d rwxr-xr-x . 140 root root 12288 Jun 13 15.33 /etc/
1 2 3 4 5 6 7 8 9
对于属性各字段的理解
对于文件属性字段的理解 | 对于目录属性字段的理解 |
---|---|
• 1 类型 | • 1 类型 |
• 2 文件权限 | • 2 目录权限 |
• 3 SELinux Context | • 3 SELinux Context |
• 4 文件硬链接个数 | • 4 目录中子目录的个数 |
• 5 文件拥有者 | • 5 文件拥有者 |
• 6 文件拥有组 | • 6 文件拥有组 |
• 7 文件大小 | • 7 目录中自文件或子目录元数据大小 |
• 8 文件最后一次被修改的时间 | • 8 目录中的内容最后一次被修改的时间 |
• 9 文件名称 | • 9 目录名称 |
2、文件的拥有者及拥有组
文件的拥有者及拥有组
Linux 是个多用户多任务的系统 , 常常会有多人同时使用同一主机来进行工
作 , 为了考虑每个人的隐私权以及每个人喜好的工作环境 , 对用户进行分类
用户对于文件的
身份划分
文件拥有者(user) 文件所属组(group) 其他人(other)
更改文件拥有者及拥有组的方法
更改文件拥有者及拥有组的方法
更改方式如下
chown 用户名 文件
chgrp 组名称 文件
chown –R 用户名 目录 ##-R 第归更改
chgrp –R 组名称 目录
chown 用户名 : 组名称 文件 | 目录
[root@workstation mnt]# mkdir westosdir
[root@workstation mnt]# touch westosdir/linux{1…3}
[root@workstation mnt]# ls -l /mnt/
total 0
-rw-r–r--. 1 root root 0 Dec 28 19:46 file1
-rw-r–r--. 1 root root 0 Dec 28 19:46 file2
-rw-r–r--. 1 root root 0 Dec 28 19:46 file3
drwxr-xr-x. 2 root root 48 Dec 28 19:47 westosdir
[root@workstation mnt]# ls -lR /mnt/ # -R第归显示
/mnt/:
total 0
-rw-r–r--. 1 root root 0 Dec 28 19:46 file1
-rw-r–r--. 1 root root 0 Dec 28 19:46 file2
-rw-r–r--. 1 root root 0 Dec 28 19:46 file3
drwxr-xr-x. 2 root root 48 Dec 28 19:47 westosdir
=== watch -n 1 ls -lR /mnt/ 进行监控
[root@workstation mnt]# chown caoaoyuan file1 #file1用户名改为caoaoyuan
[root@workstation mnt]# chgrp student file1 #file1组名改为student
[root@workstation mnt]# chown westos:westos file3 #用户名和组名同时更改
[root@workstation mnt]# chown caoaoyuan.westos file2 # . 和 : 相同
[root@workstation mnt]# chown -R student /mnt/westosdir #递归更改用户名
[root@workstation mnt]# chgrp -R westos /mnt/westosdir #第归更改组名称
结果为:
/mnt/:
total 0
-rw-r–r--. 1 caoaoyuan student 0 Dec 28 19:46 file1
-rw-r–r--. 1 caoaoyuan westos 0 Dec 28 19:46 file2
-rw-r–r--. 1 westos westos 0 Dec 28 19:46 file3
drwxr-xr-x. 2 student westos 48 Dec 28 19:47 westosdir
/mnt/westosdir:
total 0
-rw-r–r--. 1 student westos 0 Dec 28 19:47 linux1
-rw-r–r--. 1 student westos 0 Dec 28 19:47 linux2 ## 可以看出目录下的文件用户和组被修改
-rw-r–r--. 1 student westos 0 Dec 28 19:47 linux3
3、文件权限的理解
文件权限读取
权限类型
- 权限关闭 ## 此位权限未开启
r 查看权限 ## 对于文件,可以查看文件中的内容,对于目录,可列出文件中的目录名称
w 可写权限 ## 对于文件可更改文件记录中文件名称,对于目录,可以更改目录下文件名称,并进 行文件的增删和移动
x 进入权限 ##对于文件可用文件名称调用文件内记录的程序.对目录可进入目录
4、文件权限设定方式
字符方式设定权限:
数字的方式管理权限
- 权限可以用一个八进制的数字来表示
##使用方法: chmod 755 目标
权限复制
讲一个文件的权限复制给另外一个文件,不更改内容
复制权限方式: chmod --reference=属性源文件 TAG
eg: chmod --reference=mnt/file file1
可以看出复制了file的权限至file1
系统预留权限阀值
对于权限预留阀值的理解
mask 权限开放值 umask 权限预留阈值 系统不同,默认设定的文件和目录权限不同
-
. 资源存在意义在于共享,权限开放越大,共享效果越明显,但是安全性越差
-
对于系统安全而言,开放权利越小,系统越安全
-
在系统中开放应开放的权利,保留不安全的权利以确保系统功能性及安全性
vim /etc/bashrc &&#或者 /etc/profile 改变权限,然后用source 调用
umask 077 设置保留权限为077,
系统默认umask目录权限为755,默认文件权限为644 :755-111=644 #软件设定保留111,不进行设置也会减
权限预留阀值设定
umask | 永久改变权限阀值 |
---|---|
系统中使用umask来预留权限 | shell配置文件/etc/bashr |
在shell中可以使用umask来查看并设定预留权限阀值 umask umask预留阀值 | 系统环境配置文件/etc/profile |
- 使普通用户只能建立-r–r-----权限的文件
1>设置umask值
2>设置配置文件
##59行的 -gt 199 意为uid大于199的或 uid=gid的用户
故设置else后umask值为337
配置文件设置完成后用 source进行调用。
5、特殊权限
对特殊权限的理解
SUID 简称s
- 只针对于二进制可执行文件 , 使用拥有SUID权限的文件发其中记录的程序时以文件拥有者的身份去执行
SGID 简称s
- 针对二进制可执行文件 : 该命令发起的程序是以该命令所有组的身份去执行
- 针对目录 : 目录新建文件的所属组与该目录的所有组保持一致
例一: 对目录的更改
建立目录,设定权限,更改初始组,chmod g+s westosdir
更改组后建立的文件file2的组属于westos组
例二:对命令rm的更改
先对/bin/rm 进行权限设定,并对所有者和组进行设定
用root身份建立644文件然后删除发现root无权限,是因为执行rm命令时切换到了student身份
例三:对cat命令的更改
对cat进行设定,更改用户组和权限
chgrp root /bin/cat
chmod g+s /bin/cat
STICKYID 简称t
- 对于文件:表示文件即使没有被程序调用也会被加载到交换空间中,
- 对于目录:表示当目录上有 STICKYID 的权限时 , 所有用户在该目录下均可创
建文件 , 但只有文件拥有者和 root 用户可以删除该目录下的文件
6、ACL权限列表
传统的权限仅有三种身份 (owner,group,othe)搭配三种权限 (r,w,x), 并没有办法单纯的针对某一个使用者或某一个群组来设置特定的权限需求 , 此时就得要使用 ACL( 文件访问控制列表 ,Access Control List) 这个机制.
有关facl的命令
查看权限列表: getfacl
设定权限列表: setfacl
-m | 设定权限 |
---|---|
-x | 删除指定用户 |
-b | 关闭列表功能 |
facl列表权限匹配顺序
- 资源拥有者
- 特殊指定用户
- 权利开放多的组
- 权利开放少的组
- 其他用户
facl的mask阀值
- mask阀值是指定用户能够获取的最大有效权限
- 当设定过facl列表后用chmod缩减文件权限很可能会损坏mask
- mask的设定 • setfacl –m m:权限值 TAG
7、facl的default权限