本文共 6416 字,大约阅读时间需要 21 分钟。
1.权限查看
ls-l file | 查看文件权限 |
---|---|
ls -ld dir | 查看目录权限 |
2.权限的读取
文件的属性被叫做文件的元数据(meta data) 一种元数据用一个byte来记录内容 注:文件的权限信息如下所示共有九种,除了第九位的文件名称之外,剩下八种每种都是一个元数据,每个元数据用一个字节记录,即八个字节。文件权限信息:
-| rw-r–r-- | ’ | 1 | root | root | 0 | July 17 10:57 | westos 【1】 【2】 【3】【4】【5】 【6】 【7】 【8】 【9】目录权限信息:
d | rw-r–r-- | ’ | 1 | root | root | 0 | July 17 10:57 | westos 【1】 【2】 【3】【4】【5】 【6】 【7】 【8】 【9】对于每一位的解释
【1】文件类型 (1)- 普通文件 (2)d 目录 (3)l 软连接 (4)d 快设备 (5)c 字符设备 (6)s socket套接字 (7)p 管道 【2】用户权限1 | rwx | r- - | r- - |
---|---|
2 | u g o |
【3】系统的selinux开启
【4】对于文件:文件内容被系统记录的次数(硬链接个数);对于目录:目录中子目录的个数 【5】文件拥有者 【6】文件拥有组 【7】对于文件:文件内容大小;对于目录:目录中子文件元数据的大小 【8】文件内容被修改的时间 【9】文件名称1.用户对文件的身份
u | user文件的拥有者,ls -l 看到的第五列信息 |
---|---|
g | group文件拥有者,ls -l 看到的第六列信息 |
o | other 既不是拥有者也不是拥有组成员的其他用户的通称 |
2.权限位
rwx| r-- | r– |
---|
u g o |
3.用户身份匹配
user > group > other 4.权限类型 【1】- :权限未开启 【2】r:可读 对于文件:可以读取文件内容 对于目录:可以ls 列出木中的文件 【3】w:可写 对于文件:可以更改文件内容 对于目录:可以在目录中新建或者删除文件 【4】x:可执行 对于文件:可以用文件名称调用文件内记录的程序对于目录:可以进入目录中
用户涉及到的系统配置文件 /etc/passwd ##用户身份信息文件 ##用户名称:用户密码:用户id:用户主组id:用户说明:用户家目录:用户默认shell /etc/group ##组身份信息文件 ##组名称:组密码:组id:组的附加成员 /etc/skel/.* ##用户环境配置文件模板 /etc/shadow ##用户认证信息文件 /home/username ##用户家目录【1】
chmod | 设定文件权限 |
---|
chmod 复制权限 chmod --reference=/tmp /mnt/westosdir | 复制/tmp目录权限到/mnt /westosdir上 |
---|---|
chmod -R --reference=/tmp /mnt/ | 复制/tmp目录的权限到/mnt /westosdir及目录中的子文件上, -R代表递归操作 |
chmod 字符方式设定权限
chmod <a|u|g|o><+|-|=><r|w|x> file 用字符方式设定文件权限 eg:1|[root@localhost mnt]# chmod u-rw /mnt/westos12 [root@localhost mnt]# chmod u-rw /mnt/westosfile13 [root@localhost mnt]# chmod u-rw,g+x,o+wx. /mnt/westosfile24 [root@localhost mnt]# chmod a-rwx /mnt/westosfile35 [root@localhost mnt]# chmod u=rwx,g=rx,o=--- /mnt/westosfile46 [root@localhost mnt]# chmod -R u=rwx, g=rx,o=--- /mnt/westosdir/
监控目录的权限和组权限
chmod 数字方式设定权限(最常用的模式) 权限波尔值表示方式 (1)rwx = 111 (2)- - - = 000 (3)三位二进制可以表示的最大范围为8进制数1 rwx=111=72 rw-=110=63 r-x=101=54 r--=100=4=r5 -wx=011=36 -w-010=2=w7 --x=001=1=x8 ---=000=0
系统本身存在的意义是是共享资源,从安全的角度讲系统共享的资源越少,开放的权力越小,系统的安全性越高。既要保证系统的安全,又要系统创造价值,于是把应该开放的权利默认开放,把不安全的权力默认保留。
【1】如何保留权利 umask表示系统保留权利umask | 查看保留权利 |
---|---|
umask 权限值 | 临时设定系统预留权利 |
文件默认权限=777-umask-111
目录默认权限=777-umaskumask值越大系统安全性越高
【2】umask临时更改 umask 077 【3】永久更改[root@node1 mnt]# vim /etc/bashrc shell系统配置文件74 if [ $UID -gt 199 ] && [ "id -gn = " id -un " ]; then75 umask 002-->o22 普通用户umask76 else77 umask 022 root用户的umask78fi [root@node1 mnt]# vim /rtc/profile 系统环境配置文件59 if [ $UID -gt 199 ] && [ " id -gn " = "id -un " ]; then 60 umask 002-->022 普通用户的umask61 else62 umask o22 root用户的umask63 fi [root@node1 mnt]# source /etc/bashrc source作用是使我们更改的内容立即被识别[root@node1 mnt]# source /etc/profile
chownusername file | 更改文件拥有者 |
---|---|
chgrp groupname file | 更改文件拥有组 |
chown username:groupname file | 同时更改文件的拥有者和拥有组 |
chown|chgrp -R user group dir | 更改目录本身及目录中内容的拥有者或拥有组 |
chown -R admin /mnt/westdir 更改目录本身及目录中内容的拥有者或拥有组
【1】stickyid 粘制位
针对目录:如果一个目录stickyid开启,那么这个目录中的文件只能被文件所有人删除
设定方式:
(1)chmod 1原始权限 dir (2)chmod o+t1[root@node1 mnt]# mkdir /pub2[root@node1 mnt]# chmod 777 /pub3[xy@node1 mnt]$ su - xy4[xy@node1 mnt]$ touch /pub/westosfile5[root@node1 mnt]# exit6[root@node1 mnt]# su - lee7[lee@node1 mnt]$ touch /pub/leefile8[lee@node1 mnt]$ rm -fr /pub/leefile 可以删除9[lee@node1 mnt]$ rm -fr /pub/westosfile 不属于自己的文件也可以删除
如何解决此问题:[root@node1 mnt]# chmod 1777 /pub[root@node1 mnt]# chmod o+t /pub以上两条命令都可以开启pub目录的t权限[xy@node1 mnt]$ su - xy[xy@node1 mnt]$ touch /pub/westosfile[root@node1 mnt]# exit[root@node1 mnt]# su - lee[lee@node1 mnt]$ touch /pub/leefile[lee@node1 mnt]$ rm -fr /pub/leefile 可以删除[lee@node1 mnt]$ rm -fr /pub/westosfile 不属于自己的文件不能删除rm:cannot remove 'westosfile' : Operation not permitted
【2】sgid 强制位
针对目录:目录中新建的文件自动归属到目录的所属组中
设定: chmd 2原文件权限 dir chmod g+s dir实验:
对于文件:1[root@node1 Desktop]# group westostsxt2[root@node1 Desktop]# mkdir /mnt/westosdir3[root@node1 Desktop]# chmod 777 /mnt/westosdir4[root@node1 Desktop]# chgrp westostext /mnt/westosdir5[root@node1 Desktop]# watch -n1 ls -lR /mnt6[root@node1 Desktop]# touch /mnt/westosdir/file (root) 是谁建立的文件组就是谁的7[root@node1 Desktop]# chmod g+s /mnt/westosdir[8root@node1 Desktop]# touch /mnt/westosdir/file1(root) file1自动复制了/mnt/westosdir目录组
只针对二进制的可执行文件(c程序)
当运行二进制可执行文件时都是用文件拥有组身份运行,和执行用户无关9[root@node1 Desktop]# su - xy10[xy@node1 ~]$ /bin/watch -n 1 date11[root@node1 Desktop]# pa ax -o user,group,comm | grep watchxy xy watch用root用户身份:12[root@node1 Desktop]# chmod g+s /bin/watch13[root@node1 Desktop]# su - xy14[xy@node1 ~]$ /bin/watch -n 1 date15[root@node1 Desktop]# ps ax -o user,group,comm | grep watchxy root watch
【3】suid 冒险位
只针对二进制的可执行文件(c程序)
当运行二进制可执行文件时都是用文件拥有者身份运行,和执行用户无关 设定: chmod 4原属性 file chmod u+s file 实验:[root@node1 Desktop]# su - xy[xy@node1 ~]$ /bin/watch -n 1 date[root@node1 Desktop]# pa ax -o user,group,comm | grep watchxy xy watch用root用户身份:[root@node1 Desktop]# chmod u+s /bin/watch[root@node1 Desktop]# su - xy[xy@node1 ~]$ /bin/watch -n 1 date[root@node1 Desktop]# ps ax -o user,group,comm | grep watchroot xy watch
Aiccess Control Lists 访问控制列表
【1】功能:在列表中可以设定特殊用户与特殊文件有特殊权限
【2】acl 列表开启标识-rw-rw---- 1 root caiiwu 0 Apr 18 09:03 westosfile ^ 没有“+”代表acl列表未开启 rw-rw----+1 root caiiwu 0 Apr 18 09:03 westosfile ^ acl列表功能开启
【3】acl列表权限读取
getfacl westosfile【4】显示内容分析
file:westosfile | 文件名称 |
---|---|
owner:root | 文件拥有者 |
group:root | 文件拥有组 |
user::rw- | 文件拥有者权限 |
user:lee:rw- | 特殊指定用户权限 |
group::r- - | 文件拥有组权限 |
group:westos:- - - | 特殊指定的用户组的权限 |
mask::rw- | 能够赋予特殊用户和特殊用户组的最大权限阈值 |
other::r- - | 其他人权限 |
注意:当文件权限列表开启,不要用ls -l的方式来读取文件的权限 |
【5】acl列表的控制
acl列表的设定:
(1)setfacl -m u:lee:rw westosfile (2)setfacl -m g:westos:rw wesrosfile (3)setfacl -m u::rwx westosfile (4)setfacl -m g::0 westosfile 删除列表中的lee setfacl -x u:lee westosfile 关闭 setfacl -b westosfile【6】acl权限优先级
拥有者 > 特殊指定用户 > 权限多的组 > 权限少的组 > 其他 【7】acl mask控制mask是能够赋予指定用户权限的最大阀值
问题:
当设定完i毕文件的acl列表之后用chmod 缩小了文件拥有组的权利mask会发生变化恢复:
setfacl -m m:权限 文件【8】acl列表大的默认权限
setfacl -m u:lee:rwx /mnt/westosdir | 只对于/mnt/westosdir目录本身生效 |
---|---|
setfacl -Rm u:lee:rwx /mnt/westosdir | 对于/mnt/westosdir目录和目录中已存在的内容生效 |
以上的命令只针对已存在在的文件生效,新建的文件是不会被设定的
setfacl - d:u:lee:rwx /mnt/wstosdir/ | 只对与/mnt/westosdir目录中新建的文件生效- |
---|
attr权限限制所有用户
i | 不能做任何更改 |
---|---|
a | 能添加不能删除 |
lsattr dir |file 查看attr权限
chattr +i |+a | -i | -a dir | file 设定attr权限转载地址:http://taegn.baihongyu.com/