文件权限管理
1.基本权限 UGO(对普通用户限制)
文件权限设置: 可以赋于某个用户或组 能够以何种方式 访问某个文件
权限对象:
属主------->u
属组------->g
其他人------>o
基本权限类型:
读(read):r ---->4
写(write):w ---->2
执行: x(exec) ----->1
案例:
r w x rw- r-- root root file1.txt
属主权限 属组权限 其他人权限 属主 属组 文件
1.1设置权限
chown:改变文件或目录的所属主以及所属组
chmod:为文件或目录设置访问权限
更改文件的属主(所有者)、属组 (所属组)
chown:
chown tom.jack file1.txt //修改文件属主、属组
chown tom file1.txt //只修改属主
chown .jack file1.txt //只改属组
chown -R alice.hr dir1 //递归修改---针对目录
1.2更改权限
chmod: -R也可以递归给目录权限,里面的文件也有影响
a. 使用符号
chmod u+x file1.txt //属主增加执行
chmod a=rwx file1.txt //所有人等于读写执行
chmod a=- file1.txt //所有人都没有权限
chmod ug=rw,o=r file1.txt //属主属组等于读写,其他人只读
ll
-rw-rw-r--. 1 tom it 0 Nov 1 15:30 file1.txt
b.使用数字
chmod 644 file1.txt
ll file1.txt //查看file1.txt
-rw-r--r--. 1 tom jack 0 Nov 1 15:30 file1.txt
chmod 755 file1.txt
ll //查看
-rwxr-xr-x 1 root root 0 Jul 23 22:40 file1.txt
chmod 521 file1.txt
ll //查看
-r-x-w---x 1 root root 0 Jul 23 22:40 file1.txt
2.rwx对于目录的影响:
【rx、wx连用】
1、r相当于用户是否有ls查看目录内容的权限
【注意】当只有r没有x权限时,我们可以查看到文件名,但是无法详细查看文件属性
2、x相当于用户是否可以使用cd命令进入目录内部
3、w相当于用户是否可以使用touch、mkdir、rm等命令创建文件、删除文件、修改文件
【注意】当需要对A目录内的文件进行增、删、改,则需要看该用户对A目录是否有W权限,其中w权限需要配合X权限才有效果
3.rwx对于普通文件的影响:
1、r相当于用户是否有cat、grep等查看文件内容的权限
2、w相当于用户是否有echo “内容” >> 文件路径 向文件内增加内容。
3、x用户是否有权限将该文件内的每行内容当做命令来执行。
【注意】如果只有x权限没有r权限,则无法执行文件。
对文件:
r----cat
w ---vi、vim
x ---- bash /dir/file
对目录:
r ---ls
w -----touch、rm
x ---- cd
小结
对目录有w权限,可以在目录中创建新文件,可以删除目录中的文件(跟文件权限无关)
注意事项
文件: x 权限小心给予
目录: w 权限小心给予
4.权限掩码
umask 用户掩码
控制用户创建文件和目录的默认权限
#查看umask ---不能用减法
umask
0022 root账户默认 --- --- -w- -w-
0002 普通用户默认 --- --- --- -w-
#root用户默认最高权限
目录777 文件666
rwxrwxrwx rw-rw-rw-
#通过计算得出root用户创建目录和文件的权限为:
也是现在root用户创建完目录和文件的默认权限:
目录:755
文件:644
#修改umask
umask 0111
5.高级权限
高级权限 suid,sgid,sticky
5.1高级权限的类型
suid ==== 4 提权 (只对二进制命令文件生效,其他不管用,所有用户都能使用提权命令,cd命令不属于二进制,不能提权)
例子:chmod u+s 命令目录位置(which 命令 查看位置)
sgid ==== 2 组继承(只能对目录设置,让目录的主组跟着目录一样)
sticky == 1 (t权限) 权限控制(只有文件的*属主*才可以删除文件)
5.2设置特殊权限
a、字符---语法:
chmod u+s file
chmod g+s dir
chmod o+t dir
b、数字
chmod 4777 file
chmod 2770 dir
chmod 1770 dir
案例一
suid 普通用户通过suid提权 <针对文件>
在进程文件(二进制,可执行的命令文件)上增加suid权限
chmod u+s /usr/bin/cat
chmod u+s /usr/bin/rm
su - alice
Last login: Wed Nov 6 17:40:40 CST 2019 on pts/0
cat /root/file1.txt
12
rm -rf /root/file1.txt
5.3取消提权
ll /usr/bin/rm
-rwsr-xr-x. 1 root root 62864 Nov 6 2016 /usr/bin/rm
此时一旦给rm加上suid权限之后,普通用户相当于root用户。(即提权)
chmod u-s /usr/bin/rm #取消提权
案例二
首先创建一个用户组,两个用户进行操作
mkdir /opt/dir1 #创建目录
groupadd hr #创建一个组
chmod 775 /opt/dir1/ #设置权限
ll -d /opt/dir1/
drwxrwxr-x. 2 root root 6 Nov 6 21:26 /opt/dir1/
chown .hr /opt/dir1/ #设置属组
chmod g+s /opt/dir1/ #设置sgid
ll -d /opt/dir1/
drwxrwsr-x. 2 root hr 6 Nov 6 21:26 /opt/dir1/
touch /opt/dir1/a.txt
ll /opt/dir1/a.txt
-rw-r--r--. 1 root hr 0 Nov 6 21:33 /opt/dir1/a.txt
chmod o+w /opt/dir1/ -R
su - alice
Last login: Wed Nov 6 21:34:59 CST 2019 on pts/2
[alice@linux-server ~]$ touch /opt/dir1/b.txt
[alice@linux-server ~]$ ll /opt/dir1/b.txt
-rw-rw-r--. 1 alice hr 0 Nov 6 21:35 /opt/dir1/b.txt
案例三
[root@linux-server ~]# cd /home/
[root@linux-server home]# mkdir dir2
[root@linux-server home]# chmod 757 dir2/
[root@linux-server home]# chmod o+t dir2/
[root@linux-server home]# ll -d dir2/
drwxr-xrwt. 2 root root 52 Oct 31 16:49 dir2/
[root@linux-server home]# useradd jack #创建用户
[root@linux-server home]# su - alice
Last login: Wed Nov 6 21:48:12 CST 2019 on pts/2
[alice@linux-server ~]$ touch /home/dir2/alice.txt #用户alice创建文件
[alice@linux-server ~]$ exit
logout
[root@linux-server home]# su - jack
Last login: Wed Nov 6 21:48:36 CST 2019 on pts/2
[jack@linux-server ~]$ touch /home/dir2/jack.txt #用户jack创建文件
[jack@linux-server ~]$ rm -rf /home/dir2/alice.txt
rm: cannot remove ‘/home/dir2/alice.txt’: Operation not permitted
测试jack删除alice创建的文件,无法删除
5.4目前两种给普通用户提权手段:
sudo: 有针对性,例如针对某个用户以能够以root的身份执行某些命令。
suid: 基本针对所有用户,任何用户在执行有suid权限的程序时(例如/usr/bin/rm),都是以root身份在执行。
案例:放开所有命令使用权
配置解释:
root表示用户名
第一个 ALL 指示允许从任何终端、机器访问 sudo
第二个 (ALL) 指示 sudo 命令被允许以任何用户身份执行
第三个 ALL 表示所有命令都可以作为 root 执行
[root@linux-server ~]# visudo #打开配置文件
90 ##
91 ## Allow root to run any commands anywhere
92 root ALL=(ALL) ALL
所有主机 所有用户 所有命令
93 jack ALL=(ALL) NOPASSWD: ALL #添加内容
94 ## Allows members of the 'sys' group to run networking, software,
测试
[root@linux-server ~]# su - jack
Last login: Wed Nov 6 22:04:46 CST 2019 on pts/2
[jack@linux-server ~]$ sudo mkdir /test1
放开个别命令使用权
[root@linux-server ~]# visudo
91 ## Allow root to run any commands anywhere
92 root ALL=(ALL) ALL
93 jack ALL=(ALL) NOPASSWD:ALL
94 alice ALL=(ALL) NOPASSWD:/usr/bin/mkdir, /usr/bin/rm, /usr/bin/touch
95
96 ## Allows members of the 'sys' group to run networking, software,
测试:
[root@linux-server ~]# su - alice
Last login: Fri Jul 24 00:52:13 CST 2020 on pts/1
[alice@linux-server ~]$ touch /file
touch: cannot touch ‘/file’: Permission denied
[alice@linux-server ~]$ sudo touch /file
2.文件属性 chattr【扩展】
文件权限管理之: 隐藏权限防止root误删除
2.1 文件属性添加与查看
touch file1 file2 file3
1.查看文件属性
lsattr file1 file2 file3
---------------- file1
---------------- file2
---------------- file3
2.设置权限(root也包括)
chattr +a file1 #不允许修改,只允许追加
chattr +i file2 #不允许做任何操作
chattr +A file3 #固定访问时间
lsattr file1 file2 file3
-----a---------- file1
----i----------- file2
-------A-------- file3
i:即Immutable,系统不允许对这个文件进行任何的修改
a:即Append Only,系统只允许在这个文件之后追加数据,不允许任何覆盖或截断这个文件
A:即Atime,告诉系统不要修改对这个文件的最后访问时间
测试:
[root@linux-server ~]# echo 111 > file1 #覆盖,只允许追加
-bash: file1: Operation not permitted
[root@linux-server ~]# rm -rf file1 #不能删除
rm: cannot remove ‘file1’: Operation not permitted
[root@linux-server ~]# echo 111 >> file1 #追加
[root@linux-server ~]# echo 111 > file2
-bash: file2: Permission denied
[root@linux-server ~]# echo 111 >> file2
-bash: file2: Permission denied
[root@linux-server ~]# rm -rf file2
rm: cannot remove ‘file2’: Operation not permitted
[root@linux-server ~]# mv file2 file4
mv: cannot move ‘file2’ to ‘file4’: Operation not permitted
取消权限
[root@linux-server ~]# chattr -a file1
[root@linux-server ~]# chattr -i file2