本文是学习《鸟哥的Linux私房菜》(http://linux.vbird.org/)时,记录下的学习笔记,希望对你有所帮助。
======== Linux安全性模型 =========
①使用User和Group(角色)控制使用者对文件的操作权限
②用户使用账号和口令登录Linux
③每个文件都有owner,且owner属于某个Group
④每个程序都有owner和Group
======== 用户User =========
①每个用户都有一个唯一的UserID
②User信息存放在/etc/passwd中
/etc/shadow存放用户密码
③每个User都有一个home目录
④User未经授权将禁止读写/执行其它User的文件
⑤root超级管理员账号:
具有至高无上的权限
一般情况下不随便使用root登录,防止误操作破坏系统
======== 群组Group =========
①每个用户都属于一个Group,Group具有唯一的标识符gid
②Group信息存储在/etc/group
/ect/gshadow存放Group的密码,极少情况下为Group设密码
③系统会为每个User关联一个和User同名的Group
每个User至少存在于自己同名的Group中
User也可以加入其它的Group
④在同一个Group中的成员可以共享其它成员文件
======== Linux权限种类 =========
①只读r权限read
②可写w权限write
可以写/删除文件/目录
③可执行x权限execute
可执行可执行文件
可进入目录并使用cd切换进入目录
④没有权限,-表示
======== Linux权限解读 =========
文件/目录权限属性:
【d rwx rwx rwx】
[d/l/- U G O ]
[是否为目录/符号链接/普通文件 || owner具有权限 || 所属Group具有权限 || 其它User具有权限]
# ls -l
total 40
drwxr-xr-x 6 ll ll 4096 Aug 7 19:01 Desktop
drwxr-xr-x 3 ll ll 4096 May 24 11:29 Document
drwxr-xr-x 2 ll ll 4096 Aug 4 21:51 Downloads
drwxr-xr-x 2 ll ll 4096 May 24 10:09 Music
//分别对应
//权限 目录拥有的文件数量 owner group 大小(B) 最后修改时间 文件/目录名称
e.g.
-rwxrwxr-x
表示: 文件
所属owner权限:可读可写可执行
所属Group权限:可读可写可执行
其它User权限:可读可执行
======== Linux权限验证机制 =========
当User操作文件时,Linux验证并授权流程:
①判断是否为root;是直接授权访问,否则下一步
②判断是否与操作文件的owner UID相同;若是则验证U权限,否则下一步
③判断是否属于操作文件的Group;若是则验证G权限,否则下一步
④验证O权限
======== Linux文件/目录权限 =========
===> chmod更改文件基本权限
命令: chmod [-R] mode file
-R 表示递归设置到子目录以及文件
--mode字符表示法:
模式mode类别:
Who OperatorPermission
u(Owner) +(增添权限) r
g(Group) -(去除权限) w
o(Others) =(权限更改为) x
a(ALL)
文件的权限可表示为:
drwxr-xr-- //第一位是否为目录(d),后面依次为U/G/O的rwx权限,-表示无此权限
e.g.
# chmod u-w testDir //去除目录testDir的owner的写w权限
# chmod a+x testDir //增加所有用户对testDir目录的执行x权限
# chmod o=rwx dir1 //设置其他用户Others对目录dir1的权限为 rwx可读可写可执行
--mode数字表示法;
①使用一组三位数字表示
②第一位代表owner权限
③第二位代表group权限
④第三位代表others权限
⑤权限与数字对应关系
Permission Digit
r 4
w 2
x 1
- 0
e.g. [rwx]表示成7 (4+2+1)
[r-x]表示成5 (4+0+1)
[r--]表示成4
[dr-xrwxrwx]表示成577 (二进制 101 111 111)
# chmod -R 754 perm //将目录perm及其下所有文件和子目录和子目录下所有文件
//权限更改为[rwxr-xr--] (111 101 100)
======== Linux文件/目录特殊权限 =========
===>SUID
基本权限,与设置对象U/G/O形成的基本权限系统设置无法满足系统运行和管理上的需求。
如:普通用户需要修改密码,必须修改/etc/shadow系统文件,为了安全又不能直接授予普通用户对该文件的write权限
SUID,Set User ID.授予可运行文件SUID权限,使得所有用户运行它时都以它的所有者owner的权限运行。
--> 查看文件是否有SUID
#ll /etc/passwd
-rwsr-xr-x 1 root root 47032 7月 16 03:29 /usr/bin/passwd*
//第一列第4位为s,表示文件有SUID权限
--> 设置文件SUID权限
#chmod 4754 fileName
//在基本三位数权限前加4
===>GUID
与SUID类似,set GroUp ID.
具有该权限的文件,在所有用户运行它时均拥有它的group权限
它表示为权限字符串表示法中的第7位,为s表示具有
权限的数字表示法中,在基本三位权限前加2.
#chmod 2754 fileName //授予文件GUID权限
====>sticky bit
黏着位。若文件被设置了sticky bit,除了该文件的Owner外,任何人都无法变更该文件(即使给予write权限)。
它保证文件由原创建者修改或删除,其他人只能读取。
应用举例:
#ls -dl /tmp
drwxrwxrwt 9 root root 4096 9月 19 17:48 /tmp
//权限最后一位为t,表示该目录设置了sticky bit。
//表明该文件夹公开可擦写,所有账号都可在此新建/删除/修改文件,但都只能变动自己创建的。
#chmod -R 1777 test/ //给test目录设置sticky bit,基础3位权限前加1
371
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
