系列教程--Linux基础--08--高级文件权限管理

最新推荐文章于 2023-03-14 19:43:00 发布
最新推荐文章于 2023-03-14 19:43:00 发布
阅读量190 收藏
点赞数
分类专栏: Linux系列教程--L1--Linux基础 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010472499/article/details/110747631
版权

本节概要:

  高级文件权限介绍

  高级文件权限管理

环境准备:

操作系统:Centos7.2,Centos6.5。

一、高级文件权限管理

1. 高级文件权限介绍

本节所要讲的三种特殊权限是指suid、sgid、sticky-bit。

     SUID

标志位大S,占据属主的x位,对应的值为: u 4,g 2,t, 1,程序运行时程序的执行者会拥有程序属主的权限,无论哪个用户执行此文件都会拥有文件属主的权限。

此标志位只能在可执行的二进制文件上设置,对目录设置无效。

     SGID

标志位大S,占据group的x位,在设置了SGID权限的目录下新建的文件的所属组会继承上级目录的所属组。若一个目录设置了SGID,则所有被复制到这个目录下的文件,其所属的组都会被设置为和这个目录一样,除非在复制文件时加上-p(preserve,即保留文件属性)的参数。

此标志位可以给二进制程序设置也可以给目录设置。

      Sticky-bit

标志位t,占据other的x位,目录下新建的文件只有root、文件属主、目录属主才能删除、移动。

此标志位只作用于目录。   

2. 高级文件权限管理

       SUID举例:

[user1@localhost ~]$ cat /etc/shadow  #使用普通用户查看

cat: /etc/shadow: Permission denied    #无权限

[user1@localhost ~]$ exit

logout

[root@localhost ~]# which cat

/usr/bin/cat

[root@localhost ~]# ll /usr/bin/cat

-rwxr-xr-x. 1 root root 54048 Jun  9  2014 /usr/bin/cat

[root@localhost ~]# chmod u+s /usr/bin/cat    #给cat命令加suid

[root@localhost ~]# ll /usr/bin/cat

-rwsr-xr-x. 1 root root 54048 Jun  9  2014 /usr/bin/cat

[root@localhost ~]# su - user1

Last login: Mon Apr  2 21:31:26 PDT 2018 on pts/1

[user1@localhost ~]$ cat /etc/shadow    #普通用户可以查看,相当于root在查看。

root:$1$bXTsP1J4$.X55hoWfc1/xq9X.2wypY/:17621:0:99999:7:::

bin:*:16372:0:99999:7:::

daemon:*:16372:0:99999:7:::

adm:*:16372:0:99999:7:::

lp:*:16372:0:99999:7:::

sync:*:16372:0:99999:7:::

shutdown:*:16372:0:99999:7:::

halt:*:16372:0:99999:7:::

mail:*:16372:0:99999:7:::

operator:*:16372:0:99999:7:::

games:*:16372:0:99999:7:::

ftp:*:16372:0:99999:7:::

nobody:*:16372:0:99999:7:::

SGID 举例:

[root@localhost ~]# mkdir dir1

[root@localhost ~]# ll -d dir1

drwxr-xr-x. 2 root root 6 Apr  2 21:39 dir1

[root@localhost ~]# chown root:user1 dir1   #修改dir1 group为user1

[root@localhost ~]# ll -d dir1

drwxr-xr-x. 2 root user1 6 Apr  2 21:39 dir1

[root@localhost ~]# cd dir1

[root@localhost dir1]# touch file1

[root@localhost dir1]# ll

total 0

-rw-r--r--. 1 root root 0 Apr  2 21:40 file1   #dir1加sgid前新建的文件group为root

[root@localhost dir1]# chmod g+s ../dir1   #dir1加sgid

[root@localhost dir1]# ll -d ../dir1

drwxr-sr-x. 2 root user1 18 Apr  2 21:40 ../dir1

[root@localhost dir1]# touch file2

[root@localhost dir1]# ll

total 0

-rw-r--r--. 1 root root  0 Apr  2 21:40 file1

-rw-r--r--. 1 root user1 0 Apr  2 21:40 file2   #新建的文件file2 和dir1 group一致。

[root@localhost dir1]# touch ../file3

[root@localhost dir1]# cp ../file3 .

[root@localhost dir1]# ll

total 0

-rw-r--r--. 1 root root  0 Apr  2 21:40 file1

-rw-r--r--. 1 root user1 0 Apr  2 21:40 file2

-rw-r--r--. 1 root user1 0 Apr  2 21:41 file3 #拷贝的文件也会继承dir1的group。

Sticky-bit举例:

[root@localhost ~]# cd /tmp

[root@localhost tmp]# mkdir dir2

[root@localhost tmp]# ll -d dir2

drwxr-xr-x. 2 root root 6 Apr  2 21:50 dir2

[root@localhost tmp]# chmod o+t dir2  #添加Sticky-bit权限

[root@localhost tmp]# ll -d dir2

drwxr-xr-t. 2 root root 6 Apr  2 21:50 dir2

[root@localhost tmp]# cd dir2

[root@localhost dir2]# touch file1

[root@localhost dir2]# chmod 777 file1   #给所有用户所有权限

[root@localhost dir2]# ll

total 0

-rwxrwxrwx. 1 root root 0 Apr  2 21:52 file1

[root@localhost dir2]# su - user1

Last login: Mon Apr  2 21:49:11 PDT 2018 on pts/1

[user1@localhost ~]$ rm -rf /tmp/dir2/file1

rm: cannot remove ‘/tmp/dir2/file1’: Permission denied  #user1即使有权限也无法删除

3. ACL 权限管理

Linux ACL介绍:

Linux 的权限控制可以使我们完成对文件的user、group、other的控制,极大的方便了我们对Linux系统的维护,但是在很多场景下文件的读、写、执行权限需要针对某个人或者某些人进行控制,使用chmod不能达成目标,此时可以借助Linux ACL进行控制。

ACL 支持多种Linux 文件系统,包括ext2、ext3、ext4、xfs、btrfs等文件系统。

Linux ACL 使用:

命令:getfacl、setfacl

参数:

  -m  设定acl权限

  -x   删除指定用户、用户组的acl权限

  -b   删除文件所有acl权限,针对文件

  - d  设定默认的acl权限

  -k   删除默认acl权限

  -R   递归设置acl权限,添加或者删除。

举例:

[root@localhost ~]# touch file1

[root@localhost ~]# getfacl file1    #查看文件acl

# file: file1

# owner: root

# group: root

user::r--

group::r--

other::r--

[root@localhost ~]# setfacl -m u:user1:rwx file1  #设置用户user1可对file1权限为rwx。

[root@localhost ~]# getfacl file1

# file: file1

# owner: root

# group: root

user::r--

user:user1:rwx   #user1权限已加

group::r--

mask::rwx

other::r--

[root@localhost ~]# mkdir dir1

mkdir: cannot create directory ‘dir1’: File exists

[root@localhost ~]# setfacl -R -m u:user1:rwx dir1  #设置user1对目录dir1 权限为rwx

[root@localhost ~]# getfacl dir1

# file: dir1

# owner: root

# group: root

user::rwx

user:user1:rwx  #user1对dir1 权限已加

group::r-x

mask::rwx

other::r-x

[root@localhost ~]# setfacl -x u:user1 file1  #删除user1对file1权限

[root@localhost ~]# getfacl file1

# file: file1

# owner: root

# group: root

user::r--

group::r--

mask::r--

other::r--

[root@localhost ~]# setfacl -R -x u:user1 dir1  #删除user1对目录dir1权限

[root@localhost ~]# getfacl dir1

# file: dir1

# owner: root

# group: root

user::rwx

group::r-x

mask::r-x

other::r-x

[root@localhost ~]# setfacl -b file1 #删除file1上所有用户的acl

[root@localhost ~]# getfacl file1

# file: file1

# owner: root

# group: root

user::r--

group::r--

other::r--

4. 特殊文件保护

命令:chattr、lsattr

作用:chattr 防止系统中某个关键文件被修改,lsattr 查看文件属性

参数:

  +: 在原有参数基础上追加参数。

  -: 在原有参数基础上移出参数。

  =: 更新到指定参数。

   a:  append,只能向文件中追加数据,不能删除,一般用于日志文件,只有root可设置。出现a位。

   i:  文件不能删除、改名、设置链接,不能写入和追加数据,文件完全锁死。出现i位。

举例:

  [root@localhost ~]# touch file1

[root@localhost ~]# ll file1

-r--r--r--. 1 root root 14 Apr  3 03:44 file1

[root@localhost ~]# chattr +a file1    #设置文件只能追加数据

[root@localhost ~]# ll file1

-r--r--r--. 1 root root 14 Apr  3 03:44 file1

[root@localhost ~]# lsattr file1     #查看文件属性

-----a---------- file1

[root@localhost ~]# rm -rf file1    #无法删除

rm: cannot remove ‘file1’: Operation not permitted

[root@localhost ~]# echo 11111 > file1  #无法写入

-bash: file1: Operation not permitted

[root@localhost ~]# echo 11111 >> file1  #只能追加

[root@localhost ~]# cat file1  #可以查看

this is file1

11111

[root@localhost ~]# chattr +i file1  #设置文件完全锁死,只可读

[root@localhost ~]# rm -rf file1

rm: cannot remove ‘file1’: Operation not permitted

[root@localhost ~]# echo 11111 >> file1

-bash: file1: Permission denied

[root@localhost ~]# lsattr file1

----ia---------- file1

[root@localhost ~]# chattr -a file1  #删除a属性

[root@localhost ~]# chattr -i file1  #删除属性i

[root@localhost ~]# lsattr file1

---------------- file1

[root@localhost ~]# echo 1111 > file1

生产环境问题举例:

    Passwd修改用户密码时报错:passwd: Authentication token manipulation error

    分析:此种报错一般可能为根分区磁盘空间用完或者账号相关文件权限被修改。

    模拟:

二、扩展

查阅acl、chattr 文中列出的其他的参数,并学习使用。

沙漠蚂蚁--顽石
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openwrt:install: cannot create directory ‘XXX’:File exists 的出错处理
Z博客
01-20 1万+
openwrt:install: cannot create directory ‘XXX’:File exists
树莓派系列教程5:linux常用命令以及vivim编辑器.docx-综合文档
05-08
【树莓派系列教程5:Linux常用命令及Vim编辑器】 在树莓派系统中,我们经常需要与Linux交互,而Linux的核心在于命令行。本教程将介绍一些常用的Linux命令以及Vim编辑器的使用。 一、Linux常用命令 1. 查看操作...
linux-高级权限文件属性
weixin_71687088的博客
03-14 153
linux高级权限设置,位重,用户提权;visudo提权,wheel组提权
Linux中mkdir:cannot create directory问题解决
u013273161的博客
10-12 12万+
1.想使用mkdir命令创建一个目录结果提示 linux-77@ubuntu:~$ mkdir 123 mkdir: cannot create directory ‘123’: No space left on device 2.查询资料是因为$代表普通用户模式,权限不够, 可以进入root帐号在建立文件夹 进入root帐号 ,打 su -(su - 切换到root用户,并转到root用...
Linux中操作文件文件夹时报错Permission denied时的2种解决办法(服务器谨慎使用)
qq_43701073的博客
12-16 1万+
Linux中操作文件文件夹时报错Permission deny时的2种解决办法方法一 chmod改变文件权限:方法二:重置密码(可重置成原来的密码,将改文件路径前的“$”改成“#”) 方法一 chmod改变文件权限: chmod 777 待改变文件 方法二:重置密码(可重置成原来的密码,将改文件路径前的“$”改成“#”) sudo passwd 改密码成功后 sudo root ...
Linux从入门到实战学习教程-9Shell脚本编程基础.pptx
10-30
这篇学习教程将带你从入门到实战,深入理解Shell脚本编程的基础知识。 **9.1 接触脚本** Shell脚本是用Shell语言编写的文本文件,这些文件包含了可执行的命令和控制结构。在Linux中,常见的Shell有Bash(Bourne-...
Linux操作系统零基础入门学习-视频教程网盘链接提取码下载.txt
09-18
- **文件权限管理**: - **所有权**:文件的所有者及其所属组。 - **权限设置**:使用`chmod`命令设置读、写、执行权限。 - **特殊权限**:如SUID、SGID等。 - **磁盘分区与挂载**: - **分区**:使用工具如`...
Linux系统管理系列培训(共3部分)--1_Linux系统使用基础
01-30
此外,还会讲解用户和权限管理,例如用户组、文件权限、所有权更改等。 3. **系统管理**:在系统管理方面,学习者会接触到系统的启动流程、进程管理(如ps、top、kill命令)、软件包管理(如apt-get或yum)、网络...
运维技术课程 Linux学习教程 网络文件共享-ssh 共32页.pptx
最新发布
07-25
根据提供的文件信息,我们可以归纳出一系列重要的IT知识点,主要聚焦于Linux系统管理和网络文件共享方面的内容,特别是关于SSH(Secure Shell)的相关技术和实践。以下是对这些知识点的详细阐述: ### Linux系统...
Linux学习笔记24——数据流重导向、管线命令 (pipe)
苏云南雁的博客
12-09 611
目录   一、数据流重导向 1,什么是数据流重导向 standard output 与 standard error output /dev/null 垃圾桶黑洞设备与特殊写法 standard input : < 与 << 2,命令执行的判断依据: ; , &&, || cmd ; cmd (不考虑指令相关性的连续指令下达) $? (指令回传值...
mkdir: cannot create directory `/usr/local/share/man/man1': File exists
CV_2013的专栏
10-19 1万+
Solutions: 1)  Rename `/usr/local/share/man/man1',  sudo mv `/usr/local/share/man/man1.bak
Ubuntu中mkdir失败,显示不存在此目录(mkdir: cannot create directory : No such file or directory)
weixin_39450145的博客
11-26 2万+
问题: ubuntu中mkdir失败,显示不存在此目录(mkdir: cannot create directory : No such file or directory) 参考: 1)mkdir: cannot create directory : No such file or directory(shell中有时候使用mkdir命令创建文件夹会失败,此时需要上绝对路径) 2)mkdir: 无法创建目录"": 没有那个文件或目录(参考这个解决了问题~~~~) 3)在 Linux 下用 mk
Linux文件权限属性、高级权限
jiaoqiubo的博客
10-15 726
Linux文件或目录权限分为三种,读(r),写(w),执行(x)。一个具体文件权限组成为:所有者权限(u):属组权限(g):其他权限(o),其中所有者权限表示创建文件用户对于文件权限,属组权限表示和创建该文件在同一个用户组的用户对于文件的执行权限,其他权限表示其他用户对于该文件的执行权限文件的读权限(r)代表数字4,写权限(w)代表数字2,执行权限(x)代表数字1,因此设置文件或则目录权限既...
出现Permission denied的解决办法
nixia12111的博客
11-09 8287
部署项目时运行start.sh时出现了Permission denied [root@VM-4-12-centos system]# ./start.sh -bash: ./start.sh: Permission denied 搜索解决答案为 sudo chmod -R 777 start.sh 整理答案含义 sudo 为管理员授权一些普通用户去执行一些 root 执行,所以root用户不用sudo -R为对目前目录下的所有文件与子目录进行相同的权限变更(即以递归的方式逐个变更) 777 对所有用户
linux命令mkdir: cannot create directory Permission denied
热门推荐
zsg88的专栏
07-10 14万+
mkdir: cannot create directory Permission denied 权限不够, 你可以进入root帐号在建立文件夹, 或者打上 sudo mkdir 123,    进入root帐号 你可以打 su
什么是BGP多线,与普通双线的区别
顽石的专栏
11-04 2万+
1. 用BGP协议实现单IP多线路:BGP(边界网关协议)协议主要用于互联网AS(自治系统)之间的互联,BGP的最主要功能 在于控制路由的传播和选择最好的路由。中国网通与中国电信都具有AS号(自治系统号), 全国各大网络运营商多数都是通过BGP协议与自身的AS号来互联的。使用此方案来实现双线路 需要在CNNIC(中国互联网信息中心)申请IDC自己的IP地址段和AS号,然后通过BGP协议将此
resolv.conf 中nameserver 、search 、domain解释
顽石的专栏
07-09 8772
(1) nameserver x.x.x.x 指定DNS服务器的IP地址,可以为多个,换行写。 (2) domain mydomain.com 用来指定本地的域名,在没有设置search的情况下,search默认为domain的值。这个值可以随便配,目前在我看来,domain除了当search的默认值外,没有其它用途。也就说一旦配置search,那domain就没用了。 (3) se...
linux环境变量自定义环境变量
顽石的专栏
12-20 6049
shell中的变量可以简单分为环境变量和自定义变量。环境变量有时也被称为全局变量,它是操作系统为Shell事先定义的一组变量,这些变量共同描述了当前shell运行的系统环境;而自定义变量则是用户根据所需而定义的变量,它也被称为局部变量。自定义环境变量可以为局部的也可为全局的,为了区分两者的不同,环境变量通常用大写字母表示,而自定义变量通常使用小写子母表示。1. 环境变量 环境变量是一组变量的集合,
Linux权限管理深度解析:ACL、特殊权限与sudo教程
通过观看这一系列教程,学习者不仅能够深入了解Linux权限管理机制,还能提升在实际环境中管理文件和系统的安全性。观看者可以根据自己的需求选择相应的视频进行学习,无论是对高级用户还是系统管理员来说,这都是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值