权限管理体系

最新推荐文章于 2024-08-18 20:30:20 发布
最新推荐文章于 2024-08-18 20:30:20 发布
阅读量740 收藏 20
点赞数 22
文章标签: linux 服务器 运维
本文链接:https://blog.csdn.net/weixin_60774109/article/details/141132092
版权

1.Linux 12位权限管理体系

1.1 权限管理概述

  • Linux通过rwx3种权限控制系统与保护系统,组成9位权限。
  • Linux权限体系中还有3位特殊权限,组合起来就是12位权限体系。
  • Linux这简单的rwx控制整个Linux系统的安全,权限与用户共同组成Linux系统的安全防护体系

1.2 Linux权限计算

1)rwx

权限

含义

r

read 是否可读

w

write 是否可写

x

execute 是否可执行(一般是命令,脚本)

2)何为9位权限?

  • Linux下面任何一个文件/目录与用户的关系有3中关系。

文件/目录与用户的关系

含义

所有者

这个文件或目录属于某个用户(所有者)

用户组(家庭)

这个文件或目录属于某个用户组(家庭)

其他人(陌生人)

这个文件或目录不属于某个用户 也不属于这个用户组

  • 如何快速知晓文件或目录的所有者情况

  • 9位权限与用户关系
    • 确定你当前是什么用户
    • 确认用户与文件关系(所有者,用户组,其他人)
    • 根据关系获取对应的权限

3)如何计算权限❣️❣️❣️❣️❣️

权限

含义

权限对应的数字

r

read 是否可读

4

w

write 是否可写

2

x

execute 是否可执行(一般是命令,脚本)

1

-

没有权限

0

-rw-r--r--. 1 root root 0 7月 18 08:53 oldboy01.txt
420400400
6 4 4

oldboy01.txt的权限是644
-rwxr-xr-x 755
-r--r--r-- 444
-r--rw-rw- 466

644 -rw-r--r--
750 -rwxr-x---
700 -rwx------
600 -rw-------

1.3 权限与文件,目录

1)概述❣️❣️❣️

权限

文件

目录(教室)

r

是否可以读取文件内容

是否可以查看目录内容,需要x权限配合

w

是否可以修改文件内容,一般还需要r权限配合

是否可以在目录中创建,删除,重命名文件权限,需要x权限配合

x

是否可以执行文件,(命令,脚本),一般还需要r权限配合

是否可以进入目录,是否可以访问目录下文件属性

2)测试文件权限

  • 通过root修改权限,gq用户测试权限
mkdir -p /gq/
echo 'hostname' >/gq/gq.sh
ll  /gq/gq.sh
chown gq.gq  /gq/gq.sh
chmod u=r /gq/gq.sh
  • root用户

  • oldboy用户(普通用户)

chmod修改权限

#1.通过数字修改(常用)

chmod 666 oldboy.sh
#2.通过字符修改(精确)
u  user所有者
g group 用户组部分
o other 其他人

chmod u-x  oldboy.sh
ll oldboy.sh
-rw-r--r--. 1 oldboy oldboy 9 7月 25 10:36 oldboy.sh

chmod u=x oldboy.sh
ll oldboy.sh
---xr--r--. 1 oldboy oldboy 9 7月 25 10:36 oldboy.sh

案例01 给/etc/rc.d/rc.local  增加执行权限
chmod ggo+x  /etc/rc.d/rc.local
chmod U+x,g+x,o+x /etc/rc.d/rc.local
chmod a+x /etc/rc.d/rc.local
chmod +x /etc/rc.d/rc.local  #掌握这个即可

a)测试文件的r权限

  • root 修改 chmod u=r oldboy.sh
  • oldboy 查看
ll oldboy.sh
-r--r--r--. 1 oldboy oldboy 9 7月 25 10:36 oldboy.sh
cat oldboy.sh
hostname
echo id >> oldboy.sh  #没有w权限导致的
-bash: oldboy.sh: 权限不够
./oldboy.sh    #没有权限导致的
-bash: ./oldboy.sh: 权限不够

b)测试文件的w权限

  • root修改 chmod u=w oldboy.sh
  • oldboy 查看
ll oldboy.sh
--w-r--r--. 1 oldboy oldboy 9 7月 25 10:36 oldboy.sh
cat oldboy.sh
cat:oldboy.sh: 权限不够

echo id >>oldboy.sh
echo id >>oldboy.sh
echo id >>oldboy.sh
cat oldboy.sh
cat:oldboy.sh: 权限不够
./oldboy.sh
-bash: ./oldboy.sh: 权限不够
  • 对于文件来说只有w权限不够,需要有r权限配合

c)测试文件的x权限

  • root 修改 chmod u=x oldboy.sh
  • oldboy查看
ll oldboy.sh
---xr--r--. 1 oldboy oldboy 9 7月 25 10:36 oldboy.sh
./oldboy.sh
bash: ./oldboy.sh: 权限不够
cat oldboy.sh
cat: oldboy.sh: 权限不够
echo whoami >>oldboy.sh
-bash: oldboy.sh: 权限不够
  • x权限需要有r配合
  • 增加了rx权限后测试
ll oldboy.sh
-r-xr--r--. 1 oldboy oldboy 9 7月 25 10:36 oldboy.sh
cat oldboy.sh
hostname 
id
id
id
pwd

./oldboy.sh
uid=1000(oldboy) gid=1000(oldboy) 组=1000(oldboy) 环境=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
uid=1000(oldboy) gid=1000(oldboy) 组=1000(oldboy) 环境=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
uid=1000(oldboy) gid=1000(oldboy) 组=1000(oldboy) 环境=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
uid=1000(oldboy) gid=1000(oldboy) 组=1000(oldboy) 环境=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
/oldboy

/oldboy/oldboy.sh
uid=1000(oldboy) gid=1000(oldboy) 组=1000(oldboy) 环境=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
uid=1000(oldboy) gid=1000(oldboy) 组=1000(oldboy) 环境=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
uid=1000(oldboy) gid=1000(oldboy) 组=1000(oldboy) 环境=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
uid=1000(oldboy) gid=1000(oldboy) 组=1000(oldboy) 环境=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
/oldboy

3) 测试目录权限

  • 环境
mkdir -p /oldboy/mode-dir/
touch /oldbboy/mode-dir/oldboy{10..20}.txt
chown -R oldboy.oldboy  /oldboy/mode-dir/
ll -d /oldboy/mode-dir/
drwxr-xr-x. 2 oldboy oldboy 226 7月 25  11:07  /oldboy/mode-dir/
ll /oldboy/mode_dir/
-rw-r--r--. 1 oldboy oldboy 0 7月 25 11:07 oldboy10.txt
-rw-r--r--. 1 oldboy oldboy 0 7月 25 11:07 oldboy11.txt
-rw-r--r--. 1 oldboy oldboy 0 7月 25 11:07 oldboy12.txt
-rw-r--r--. 1 oldboy oldboy 0 7月 25 11:07 oldboy13.txt
-rw-r--r--. 1 oldboy oldboy 0 7月 25 11:07 oldboy14.txt
-rw-r--r--. 1 oldboy oldboy 0 7月 25 11:07 oldboy15.txt
-rw-r--r--. 1 oldboy oldboy 0 7月 25 11:07 oldboy16.txt
-rw-r--r--. 1 oldboy oldboy 0 7月 25 11:07 oldboy17.txt
-rw-r--r--. 1 oldboy oldboy 0 7月 25 11:07 oldboy18.txt
-rw-r--r--. 1 oldboy oldboy 0 7月 25 11:07 oldboy19.txt
-rw-r--r--. 1 oldboy oldboy 0 7月 25 11:07 oldboy20.txt
  • 测试r
chmod u=r mode_dir/
oldboy测试

  • 目录的r权限,需要x权限配合
  • 测试w
  • 没有w权限
[oldboy@Gq oldboy]$ ll -d mode-dir/
dr-xr-xr-x. 2 oldboy oldboy 226 7月 25 11:07 mode-dir/

[oldboy@Gq oldboy]$ ls mode-dir/
oldboy10.txt oldboy12.txt oldboy14.txt oldboy16.txt oldboy18.txt oldboy20.txt
oldboy11.txt oldboy13.txt oldboy15.txt oldboy17.txt oldboy19.txt

[oldboy@Gq oldboy]$ rm -fr mode-dir/*

rm: 无法删除"mode-dir/oldboy10.txt": 权限不够
rm: 无法删除"mode-dir/oldboy11.txt": 权限不够
rm: 无法删除"mode-dir/oldboy12.txt": 权限不够
rm: 无法删除"mode-dir/oldboy13.txt": 权限不够
rm: 无法删除"mode-dir/oldboy14.txt": 权限不够
rm: 无法删除"mode-dir/oldboy15.txt": 权限不够
rm: 无法删除"mode-dir/oldboy16.txt": 权限不够
rm: 无法删除"mode-dir/oldboy17.txt": 权限不够
rm: 无法删除"mode-dir/oldboy18.txt": 权限不够
rm: 无法删除"mode-dir/oldboy19.txt": 权限不够
rm: 无法删除"mode-dir/oldboy20.txt": 权限不够

[oldboy@Gq oldboy]$ touch mode-dir/lidao.txt
touch: 无法创建"mode-dir/lidao.txt": 权限不够
  • 给W权限
[oldboy@Gq oldboy]$ ls mode-dir/
oldboy10.txt oldboy12.txt oldboy14.txt oldboy16.txt oldboy18.txt oldboy20.txt
oldboy11.txt oldboy13.txt oldboy15.txt oldboy17.txt oldboy19.txt

[oldboy@Gq oldboy]$ touch mode-dir/lidao.txt
[oldboy@Gq oldboy]$ ls mode-dir/
lidao.txt oldboy11.txt oldboy13.txt oldboy15.txt oldboy17.txt oldboy19.txt
oldboy10.txt oldboy12.txt oldboy14.txt oldboy16.txt oldboy18.txt oldboy20.txt

[oldboy@Gq oldboy]$ \rm -f mode-dir ˇ
[oldboy@Gq oldboy]$ ll mode-dir/
[oldboy@Gq oldboy]$ ll mode-dir/
总用量 0
  • 测试X

4)小结

权限文件目录(教室)
r是否可以读取文件内容是否可以查看目录内容,需要x权限配合
w是否可以修改文件内容,一般还需要r权限配合是否可以在目录中创建,删除,重命名文件权限,需要rw权限配合
x是否可以执行文件,(命令,脚本),一般还需要r权限配合是否可以进行入目,是否可以访问目录下文件属性

1.4 删除文件需要什么权限?

  • oldboy目录删除文件测试
测试环境(root)
mkdir mode-dir
chown oldboy.oldboy mode-dir #这里不加-R
touch mode-dir/root{01 ʡ 10}.txt

问: oldboy能否删除mode-dir下面属于root的文件?
删除文件看文件所在目录权限 mode-dir目录 755,所有者是oldboy
可以删除
温馨提示 :
    
删除/创建文件,需要看文件所在目录的权限.
用户对目录是否有rwx权限.
  • 删除文件测试案例
当前环境及条件如下:
touch /oldboy/oldboy-all-mode.txt
chmod 777 /oldboy/oldboy-all-mode.txt
chown oldboy.oldboy /oldboy/oldboy-all-mode.txt
ll -d /oldboy/ 目录属于root 755

ll -d /oldboy/
drwxr-xr-x. 5 root root 4096 7月 25 11:21 /oldboy/


问:oldboy能否删除oldboy-all-mode.txt文件???
无法删除

ll -d /oldboy/
drwxr-xr-x. 5 root root 4096 7月 25 11:21 /oldboy/
因为没有w权限 所以无法删除.

ll -d /oldboy/
drwxr-xr-x. 5 root root 4096 7月 25 11:21 /oldboy/
因为没有w权限 所以无法删除.

1.5 Permission denied故障排查 ⭐⭐⭐⭐

  • oldboy用户
[oldboy@Gq oldboy]$ cat /etc/shadow
cat: /etc/shadow: 权限不够
[oldboy@Gq oldboy]$ ls -l /root/
ls: 无法打开目录/root/: 权限不够
[oldboy@Gq oldboy]$ echo '#oldboy' Ҵ /etc/passwd
-bash: /etc/passwd: 权限不够
[oldboy@Gq oldboy]$ touch /etc/oldboy-file.txt
touch: 无法创建"/etc/oldboy-file.txt": 权限不够
  • 分析权限拒绝的流程
    • 缕清用户与文件/目录权限关系,你要知晓你对于这个文件或目录拥有什么权限?
    • 分析缺少了什么权限导致的问题 ? 根据操作分析是与文件的权限有关 , 还是目
      录的权限有关 ?
    • 得出结论 , 缺少了文件 xxxx 权限 , 目录的 xxxx 权限导致的故障 .
日常操作需要的权限
查看文件的内容文件要有r权限
编辑或修改文件内容文件要有rw权限。
执行脚本/命令文件需要有rx权限
查看目录内容目录要有rx权限
创建文件,删除文件文件所在目录要有rwx权限
重命名文件所在目录要有rwx权限

1.6 系统默认权限(了解)

  • Linux 系统通过 umask 命令控制文件和目录的默认权限 .
  • 如何控制的 ? 
    文件: 666
目录: 777
减去umask的值,文件umask如果某一位是奇数,需要减去umask后这一位上+1
文件默认权限:
666
- 022
-------
644
目录默认权限:
777
- 022
-------
755
021

文件默认权限:
666
- 021
-------
645
+1
646
目录默认权限:
777
- 021
-------
756

    1.7 Linux权限控制与系统安全(了解)

    1)概述

    • 通过权限控制让系统安全:
      • 搭建网站来说,服务器权限设置
      • 最小化原则:既要保证网站可以正常访问,也要保证网站安全。
    • 推荐的网站的权限配置为:
      • 文件 644 root root
      • 目录 755 root root
    • 网站在运行的时候需要用户:这个用户不推荐是root,推荐自己/自动创建虚拟用户www/nginx.

    2) 单台机器

    • 网站运行的时候是www用户,网站程序代码/app/code/www 目录,为例如何设置权限?
    #01 . /app/code/www 目录
文件和目录所有者 root root (查看权限)
文件和目录权限 644 755


#02. /app/code/www/upload 上传目录

文件和目录所有者 www www #如果不修改,则用户无法上传文件到upload目
录下面(touch upload/lidao.avi).
文件和目录权限 644 755

#03. 控制用户上传指定类型的文件

#04. 只能上传,不能执行.

    3) 集群

    网站权限规划——网站集群

1.8  三个特殊权限

  • 目标:知晓特殊权限及例子。

  • 特殊权限之 setuidsuid4: 运行这个命令的时候相当于是这个命令的 所有者 的权限 . 例子 passwd 命令
  • 特殊权限之 sticky( 粘滞位)  1: 对于包含 sticky 权限的目录 ,每个用户都可以在目录下面创建内容 , 但是每个用户只能管理自己的文件 .
  • 特殊权限之 setgidguid2: 运行这个命令的时候相当于是这个命令的
    用户组 的权限 .
  • 如何设置
chmod u+s /bin/rm
chmod o+t /tmp/


/bin/rm原始权限755 增加setuid
chmod 4755 /bin/rm/


chmod 1777 /tmp/
  • 核心掌握:
    • /bin/passwd和/tmp/s和t含义即可

1.9 Linux特殊属性

  • 目的:预防重要文件或命令被修改
  • lsattr  查看这种特殊属性
  • chatrr 修改这种特殊属性
    • a属性  append 只能追加
    • i属性 immutable 不朽的,无法被毁灭的。
chattr +a oldboy.txt #-a
chattr +i oldboy.txt #-i
gqren003
关注
RBAC权限系统分析、设计与实现
╱/.独﹄無㈡oоΟ的博客
02-14 977
目前,使用最普遍的权限管理模型正是RBAC(Role-Based Access Control)模型,这些文章也主要是介绍基于RBAC的权限管理系统,这篇文章从RBAC是什么、如何设计RBAC两部分来介绍。 我所负责的项目涉及到角色权限的问题全部是通过RBAC来实现的,以前只是出于熟练使用的层面,现在学习一下RBAC更深层次的理论知识。 一、RBAC是什么 1、RBAC模型概述 RBAC认为权限授权的过程可以抽象地概括为:Who是否可以对What进行How的访问操作,并对这个逻辑表达式进行判断是否为.
权限管理
wx号:wenhs5479的博客
03-05 434
1. 权限管理 文件的权限主要针对三类对象进行定义: owner:属主,u group:属组,g other:其它,o 每个文件针对每个访问者都定义了三种权限权限 对应的操作对象 权限说明 r 文件 可读,可以使用类似cat等命令查看文件内容 w 文件 可写,可以编辑或删除此文件 x 文件 可执行,eXacutable,可以在命令提示符下当作命令提交给内核运行 ...
浅谈Oracle权限体系
weixin_30879833的博客
10-15 153
对于数据库来讲,安全性的重要程度不言而喻,今天我们就来聊一聊Oracle的权限体系。 1.账户管理   在此之前,先解释下一个容易混淆的概念:模式。所谓模式,指的是用户账户所拥有的一组对象(比如表,索引,视图,同义词之类的)。 所以严格意义上来讲它跟账户是不同的概念,切莫混淆。  创建一个账户 SQL> create user kobe --用户名必须,不区分大小写 ...
转贴:权限系统设计
xxj123x的专栏
07-14 1086
权限系统(1)--基本模式在系统中发生的事情,抽象的说都是某个主体(subject)在某个资源(resource)上执行了某个操作(operation)。subject --[operation]--> resource 所谓权限管理,就是在这条信息传递路径中加上一些限制性控制。主体试图去做的 limited by 系统允许主体去做的 = 主体实际做的。可以看到,权限控制基本对应于filter模式
权限体系构建 - 平台权限
07-17 409
一:介绍 对于大数据平台本身,其最重要的资产就是运行在上面的任务,平台要有对其任务进行权限控制的能力,包括但不限于: 1. 何人可以查看这个任务信息;2. 何人可以修改这个任务定义;3. 何人可以对这个任务进行操作,保存执行该任务,启用/禁用,删除,重跑等操作;4. 什么人有权限可以修改这个任务本身的权限定义。5. 不同的角色默认的权限是什么,不同的任务默认的权限又是什么。 这些都...
权限体系设计
guanglizI的专栏
09-01 325
越权行为是系统常见的权限漏洞,本文详细介绍了越权如何发生以及如何解决。
用户权限管理体系RBAC
m0_61820867的博客
08-21 1186
介绍RBAC模型。以及其基本使用
授权管理体系技术中心.doc
10-02
【授权管理体系技术中心】 授权管理体系是企业内部管理的重要组成部分,旨在明确各层级的权力范围,规范审批流程,提升运营效率并平衡风险控制。天沐地产集团的授权体系旨在通过明确授权内容,优化权力分配,强化...
系统权限管理体系介绍.pptx
09-18
【系统权限管理体系】是信息化系统安全运行的核心组成部分,旨在确保数据的质量、安全以及业务操作的便捷性。权限管理主要包括以下几个方面: 1. **用户管理**:这是权限管理体系的基础,涉及用户信息的创建、修改...
RBAC权限体系设计UML
01-07
RBAC权限体系设计UML 下面是转载关于描述RBAC体系的文章。 关于RBAC权限的说明。 权限往往是一个极其复杂的问题,但也可简单表述为这样的逻辑表达式: 判断“Who对What(Which)进行How的操作”的逻辑表达式是否为真。 针对不同的应用,需要根据项目的实际情况和具体架构,在维护性、灵活性、完整性等N多个方案之间比较权衡,选择符合的方案。
授权管理体系(技术中心).doc
09-22
【授权管理体系概述】 授权管理体系是企业内部管理的重要组成部分,它旨在明确各层级的权力范围,规范审批流程,确保权责相符,提升管理效率。天沐地产集团构建的授权体系主要目的是减少决策模糊地带,优化权力分配...
授权管理体系[技术中心].doc
09-20
《授权管理体系——技术中心》 授权管理体系是企业管理中不可或缺的一部分,它旨在明确职责分配,提升工作效率,同时确保风险控制。天沐地产集团的授权体系旨在通过精细化的权限划分,达到权责一致,优化审批流程,...
linux权限体系,Linux 文件权限体系详解
weixin_29800319的博客
04-29 143
1. 概述Linux 系统中的目录和文件的访问身份分为 user , group , others 分别简写为 u , g , o ;gituser 是文件的全部者 ;group 是文件全部者所在组的其余成员 ;others 就是不在全部者的所在组的其余用户 ;还有一个 all 表明全部用户 , 简写为 a ;github每一个身份对文件的权限又分为 : read , write , execut...
用户权限管理体系 (RBAC)
帆的博客
09-06 2061
RBAC
Linux下的权限体系
weixin_34334744的博客
01-11 92
Linux 下的权限是一个很常用也很有用的东西, 细分开来是分为文件权限和访问控制。文件权限就是表示文件所属用户、用户所在组、其它用户的读写和执行权限;访问控制列表又称为 ACL,主要目的是提供传统的文件权限之外的具体权限设置,可以针对单一用户或组来设置特定的权限。 文件权限 文件读写权限 文件属性字段总共有 10 个字母组成,第一个字母...
Linux权限管理体系
最新发布
linux运维工程师
08-18 826
Linux通过rwx3种权限控制系统与保护系统,组成9位权限.Linux权限体系中还有3位特殊权限,组合起来就是12位权限体系.Linux这简单的rwx控制整个Linux系统的安全,权限与用户共同组成Linux系统的安全防护体系.
微服务架构权限体系的设计和落地方案
养码一生
03-31 7926
个人博客传送门 文章目录一. 权限体系描述二. 认证2.1 认证方式2.1.1 独立认证2.1.2 叠加认证(认证链)2.2 认证协议2.2.1 CAS2.2.2 JWT三. 鉴权3.1 权限模型3.1.1 RBAC(**基于角色访问控制**)3.1.2 ABAC(**基于属性访问控制**)3.2 鉴权模型3.2.1 shrio3.2.2 casbin3.2.3 access list四. 应用4.1 认证4.1.1 方式4.1.2 协议4.2 鉴权4.2.1 模型4.2.2 方案 一. 权限体系描述
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gqren003

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值