权限管理
1、权限简介
Linux权限是操作系统用来限制对资源访问的机制,权限一般分为读、写、执行。系统中每个文件都拥有特定的权限:属主、属组以及其他人,通过这样的机制来限制哪些用户或用户组可以对特定文件进行相应的操作。
1.1 权限分类
权限针对文件的三类对象:
全拼 翻译 简写
owner 属主 u
group 属组 g
other 其它人 o
权限的分类
权限 对文件的影响 对目录的影响
r(读取) 可读取文件内容 可列出目录中内容
w(写入) 可修改文件内容 可在目录中创建删除内容
x(执行) 可作为命令执行 可访问目录内容
注意:目录必须拥有 x 权限,否则无法查看其内容
权限的表示方式:
第一种 第二种
- - - 0
- - x 1
- w - 2
- w x 3
r - - 4
r - x 5
r w - 6
r w x 7
1.2 Linux安全上下文
Linux每个进程都是以某个用户身份运行,进程的权限与该用户的权限一样,运行该进程的用户的权限越大,则进程拥有的权限就越大。
文件有属主和属组,进程有属主和属组
任何一个可执行程序文件能不能启动为进程,取决于发起者对程序文件是否拥有可执行权限
启动为进程后,其进程的属主为发起者,属组为发起者的基本组
进程访问文件时的权限取决于进程的发起者:
进程的发起者是文件的属主时,则应用文件属主权限
进程的发起者是文件的属组时,则应用文件属组权限
应用文件“其它”权限
2、权限管理命令
2.1 权限修改命令chmod
1. //权限修改主要修改三类对象的权限
2.
3. //语法:chmod MODE file,...
4. -R //递归修改权限
5.
6. //修改某类对象权限:u,g,o,a
7.
8. 权限修改的三种方式:
9. chmod 对象类别=MODE file,.....
10. chmod 对象类别=MODE,对象类别=MODE file,.....
11. 例如:
12. [root@localhost ~]# chmod u=rwx du
13. [root@localhost ~]# chmod u=rwx,g=rwx du
14.
15. chmod 对象类别+|-MODE file,.....
16. chmod 对象类别+|-MODE,对象类别+|-MODE file,.....
17. chmod +|-MODE file,.....
18. 例如:
19. [root@localhost ~]# chmod u+rwx du
20. [root@localhost ~]# chmod u-x,g-x du
21. [root@localhost ~]# chmod +x du
22.
23. chmod "mode number" file,.....
24. 例如:
25. [root@localhost ~]# chmod 777 du
2.2 属主和属组修改命令chown
1. //chown命令只有管理员可以使用。
2.
3. chown USERNAME file,...
4. -R //修改目录及其内部文件的属主
5.
6. chown USERNAME:GROUPNAME file,...
7. chown USERNAME.GROUPNAME file,...
8. 例如:
9. [root@localhost ~]# chown root.root du
10. [root@localhost ~]# chown root:root du
2.3 特殊权限
linux的权限默认是根据linux安全上下文的方式来控制的,而特殊权限的存在打破了linux安全上下文的规则。
1. SUID(4) //运行程序时,这个程序启动的进程的属主是程序文件自身的属主,而不是发起者为属主
2. chmod u+s file
3. chmod u-s file
4. //如果file本身原来就有执行权限,则SUID显示为s,否则显示为S
5.
6. SGID(2) //运行程序时,这个程序启动的进程的属组是程序文件自身的属组,而不是启动者所属的基本组
7. //一旦某目录被设定了SGID,则对此目录有写权限的用户在此目录中创建的文件或目录,其所属的组为此设定了SGID的目录的属组
8. chmod g+s DIR
9. chmod g-s DIR
10. //如果file本身原来就有执行权限,则SGID显示为s,否则显示为S
11.
12. Sticky(1) //公共目录,每个人都能创建文件,删除自己的文件,但是不能删除别人创建的文件
13. chmod o+t DIR
14. chmod o-t DIR
15. //如果DIR本身原来就有执行权限,则Sticky显示为t,否则显示为T
16.
17. 特殊权限的数字表示方式:
18. 4755 //有SUID,文件权限为755
19. 2755 //有SGID,文件权限为755
20. 1755 //有Sticky,文件权限为755
21. //这里前面的4、2、1分别表示SUID、SGID、Sticky
2.4 文件系统访问控制列表facl
facl(Filesystem Access Control List),利用文件扩展保存额外的访问控制权限。
1. //语法:setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ...
2. -m //设定权限条目
3. u:UID:perm
4. g:GID:perm
5. 示例:
6. setfacl -m u:test:rw file
7. setfacl -m g:test:rw file
8.
9. //如果要为某个目录设定默认的访问控制列表,只需要设定时在u或g前面加上d即可
10. 示例:
11. setfacl -m d:u:test:rw file
12. //此时在此目录中创建的文件均继承此访问控制列表所设置的权限
13.
14. -x //删除权限条目
15. u:UID
16. g:GID
17. 示例:
18. setfacl -x u:test file
19. setfacl -x g:test file
20.
21. -b //Remove all
22. 示例:
23. setfacl -b file
24.
25. //查看文件系统访问控制列表getfacl
26. //语法:getfacl [-aceEsRLPtpndvh] file ...
27. 示例:
28. getfacl file
2.5 遮罩码
为什么文件创建以后默认权限是644?
为什么目录创建以后默认权限是755?
- 新建文件和新建目录的默认权限是由遮罩码umask来控制的。
从名字就能看出来,遮罩码umask是用来隐藏一些权限的。 - 举例:如果你不想让人家认出你,你会怎么办?
文件最终的权限为: - 666-umask 文件最高权限 - 遮罩码 = 文件最终权限
目录最终的权限为: - 777-umask 目录最高权限 - 遮罩码 = 目录最终权限
文件默认是不能具有执行权限的,如果文件有了执行权限则将其权限整体加1。
3、sudo借权
sudo可以实现某个用户能够以另外哪一个用户的身份通过哪些主机执行什么命令
sudo的配置文件:/etc/sudoers
1. //使用visudo命令进行sudo的配置,每一行就是一个sudo条目,条目格式如下:
2.
3. 示例:
4. who which_hosts=(runas) command
5.
6. who : User,User_Alias //表示运行命令者的身份
7. which_hosts : Host,Host_Alias //通过哪些主机
8. runas : User,Runas_Alias //以哪个用户的身份
9. command : Command,Cmnd_Alias //运行哪些命令
10.
11. //别名必须全部而且只能使用大写英文字母的组合,可以使用感叹号取反
12.
13. //别名分类
14. 1.用户别名:
15. User_Alias "Alias" =
16. 用户的用户名
17. 组名,使用%引导
18. 还可以其它已经定义的用户别名
19.
20. 2.主机别名:
21. Host_Alias "Alias" =
22. 主机名
23. IP地址
24. 网络地址
25. 其它主机别名
26.
27. 3.命令别名:
28. Cmnd_Alias =
29. 命令路径
30. 目录(此目录内的所有命令)
31. 其它已定义的命令别名
32.
33. //sudo命令语法:sudo [options] COMMAND
34. -V //显示版本编号
35. -h //帮助信息,会显示版本编号及指令的使用方式说明
36. -l //列出当前用户可以使用的所有sudo类命令
37. -v //重新做一次密码确认,如果超过N(默认为5)分钟,也会问密码
38. -k //立刻清除认证信息,如果不指定-k,默认认证信息在5分钟后失效
39. -b //将要执行的指令放在后台执行
40. -u USERNAME //以指定的用户名执行命令,默认为root
4、扩展命令
1. sleep //睡眠
2.
3. //写脚本时为防止上一个命令没执行完下一命令就开始执行时可以sleep命令
4. //语法:sleep NUMBER[SUFFIX]...
5. SUFFIX:
6. s:秒,默认
7. m:分
8. h:小时
9. d:天
10. 示例:
11. sleep 5 //表示睡眠5秒后再执行后面的命令
12.
13. last //显示/var/log/wtmp文件内容,用户登录历史及系统重启历史
14. -n # //显示最近#次的相关信息
15.
16. lastb //显示/var/log/btmp文件内容,用户错误的登录尝试
17. -n # //显示最近#次的相关信息
18.
19. lastlog //显示每个用户最近一次成功登录信息
20. -u username //显示特定用户最近的登录信息
21.
22. basename //显示路径基名