###文件权限的改变与管理###
###文件权限的改变与管理###
一、用户的授权
在现实生产中,有时用户需要一些权利去完成某项工作,但该用户并没有这样的权限,这就需要超级用户进行对权利的下放,即用户授权。
下放方式:
visudo ###直接进行输入,不用使用vim
100 行左右
格式:用户名称 当前主机名称=(得到该用户的身份) 命令
如:tom localhost = root (NOPASSWD): /usr/bin/useradd
当加上NOPASSWD:时调用文件时不需要输入密码
如下图所示:
(1)采用普通用户使用权限被限制
(2)权限的下放(调用时输入密码)
注意的时:当前主机名称可以通过命令:hostname 来实现如图:
(3)进行文件的调用使用该命令(需要输入命令)
(4)权限的下放(调用文件是不需要输入密码)如图:
(5)进行文件的调用(不需要密码)
二、当超级用户需要下放多个权利给普通用户时,可以输入如下命令(这里采用不输入密码)
格式:当前用户 当前主机名=(得到该用户的身份) NOPASSWD:命令1, 命令2
如:test localhost=root NOPASSWD: /usr/bin/useradd, /usr/bin/userdel
如下图所示:
(1)进行权利的下放
(2)进行文件的调用和实现获得的下放权利
三、文件的权限
存在的意义:系统最底层安全设定方法之一
保证文件可以被可用的用户做相应的操作
- 文件权限的查看
(l)ls -l filename
如图:
(2) ls –ld test
如图
(3) ll file
(4) ll -d dir
2、文件权限的读取
- | rwx r-x r-x. | |2| |root| |root| |6| |Jan 2 05:47|
【1】 【2】 【3】【4】 【5】【6】 【7】
|test|
【8】
【1】文件的类型
符号 | - | d | l | s | b | c |
表示的意义 | 空文件或者文本 | 目录 | 软连接 | socket套接字 | block块设备 | 字符设备 |
【2】文件的权限
rw- | rw |r—
1 2 3
符号 | 1 | 2 | 3 |
表示的意义 | (u)文件所有者对文件有哪些操作 | (g)文件所有组队文件有哪些操作 | (o)其他人对文件有什么操作 |
【3】对文件:文件硬连接的的个数(文件内容被修改的次数)
对目录:目录中子目录的个数
【4】 文件的所有人
【5】 文件的所有组
【6】 对文件:文件的大小
对目录:目录中子文件元数据(例如文件的属性大小)
【7】 文件内容被修改的时间
【8】 文件的名称
- 改变文件的所有人和所有组
可以使用命令watch –n 1 ls –lR dir :对目录中的子文件以及子目录进行监控查看
- 改变文件的所有人
命令格式:chowwn 用户新名称 filenamae/dir
如:chown tom file
(2)改变文件的所以组
命令格式:chgrp 新用户组 filename/dir
如:chgrp shengchan file1
(3)同时改变文件的所有人以及所有组
命令格式:chown 新用户名称:新用户组 filename/dir
如:chown ton:shengchan file1
(4)修改目录的所有人或所有组的同时修改子文件中的所有人或所有组
三、如何改变文件的权限
对权限的理解:
r
对文件:是否可以查看文件的内容 (cat filename)
对目录:是否可以查看目录中有那些子文件或者子目录(ls dir)
w
对文件:是否可以改变文件里面记录的字符
对目录:是否可以对目录中的子目录或者子文件的元数据进行修改
x
对文件:是否可以通过文件名调用文件内记录的程序
更改的方式:
chmod <u |g| |o|> <+ - =><r w x> file |dir
chmod u+x /mnt/file1 :该命令的作用就是对file1文件的所有人添加对file1文件的执行权力
chmod g-r /mnt/file1 :该命令的作用就是对file1文件中的所有组取消对文件file1的读的权力
chmod ug-r /mnt/file1 :该命令的作用就是对file1文件的所有人以及所有组取消对文件file1读的权力
chmod u-r,g+x /mnt/file1 :该命令的作用就是将file1文件的所有人取消对文件file1的读取权力,同时将file1中的所有组添加对file1文件的执行权力
chmod -r /mnt/file1 :该命令的作用就是将file1文件的所有人以及所有组和其他人取消1对该文件的读取权力
chmod o=r-x :该命令的作用就是对file1中的其他人 获得对该文件的读取和执行权力
rwx的位权
r=4 w=2 x=1
权值表示
7 | 6 | 5 | 4 | 3 | 2 | 1 | 0 |
rwx | rw- | r-x | r-- | -wx | -w- | --x | --- |
举例进行对文件权值的更改
四、umask
umask 系统建立文件时是默认保留权力的
永久更改umask
vim /etc/profile ###系统配置文件###
将else后的umask022改为umask077(大概在70行左右)
vim /etc/bashrc ###shell配置文件###
将else后的umask022改为umask077(大概在70行左右)
source /etc/profile #更改后立即生效
source /etc/bashrc
更改以后的:目录默认权限777-077=700;
文件默认权限:777-077-111=600(111为软件保留的权限)
五、特殊与权限
1、sticky ###粘职位
作用:只针对目录进行生效,当一个目录上有sticky权限时,在这个目录下的所有文件都只能被文件所有着删除
设定方式:
chmod o+t dir
chmod 1xxx dir
2、sigd ###强制位
作用:对文件: 只针对二进制可执行文件
当文件上有sgid 时任何人执行此文件的过程都属于该文件的所有组
对目录: 当目录有sgid权限时,任何人在此目录建立的文件都属于该目录的所有组
设定方式 :
chmod g+s file|dir
chmod 2xxx file|dir
3、suid ###冒险位
只针对二进制可执行文件
当文件上有suid时任何人执行该文件中记录程序产生的进程都属于文件的所有人
设定方式:
chmod u+s file
chmod 4xxx file
六、acl 列表的查看
-rwx-rwxr--+ 1 root root Jul 22 14:15 file
^
1、 acl列表权限的查看
getfile | file | 查看acl开启文件的权限 |
file | root | 查看到文件的名称是file |
owen | root | 查看到文件的所有者为root |
group | rw- | 查看到文件的所有组为root |
user | kiosk:rwx: | :指定用户的权限为rwx |
group | r-- | 文件拥有组的权力 |
mask | :rwx | 赋予用户的最大权力伐值 |
other | : r-- | 其他人的权限 |
2、acl列表的管理
命令 | 注释 |
getfacl file | 查看file文件的权限 |
setfacl -m u:username:rwx file | 对指定的file文件具有rwx权力
|
setfacl -m g :group:rwx file | 对指定的group组成员对file文件具有rwx权限
|
setfacl -x u:username: file | 从acl列表中删除username
|
setfacl -b file | 关闭file文件的acl列表
|
3、mask值
在权限列表中mask表示能生效的权力值
当采用chmod减小开启acl的文件权限时mask值会发生改变
例如:chmod g-w westos
恢复mask值:setfacl -m m:rw westos