用户的权限管理:
1, 普通权限
2,特殊权限
3,文件的特殊属性
4,FACL权限机制
普通权限:
进程安全上下文:
1,判断进程的所者是否为想要操作的文件的属主,若是,就按照属主的权限进行授权,若不是,就转到第二条。
2,判断进程的所有者是否为想要操作的文件的属主中的成员,如果是,就按照属主的权限进行授权,如果不是,转第三条。
3,按照其他用户的权限进行授权。
权限的构成:
NODE:使用权
r:可读
w:可写
x:可执行
目录:
r:可使用ls命令获得其中所有文件名的列表:ls-l命令来获取目录文件的详细的属性信息,也不能使用cd命令进入其中,也不能在路径中引用该目录。
w:可以修改此目录的文件名或文件名列表,即:可以在目录中创建修改或删除文件名。
X:可以使用ls -l命令来获取其中文件的详细信息,也可以在路径中引用该目录,也可以使用cd命令来进入其中
注意:X目录
文件:
r:可以查看或获取该文件存放的数据
w:可以修改文件中的数据
x:可以将此文件发起运行为进程
ls -l <--> ll
-rw-r--r--:三个权限位—属主,属组,其他用户
属主权限:rw-
属组权限:r--
其他用户权限:r--
权限标识三元组:
--- 000 0
--x 001 1
-w-010 2
-wx011 3
r--100 4
r-x101 5
rw-110 6
rwx111 7
注意:文件的执行权限对于Linnux的文件系统来说,非常重要的安全的标识,因为文件一旦具备执行权限,意味着该文件可以被发起执行为进程。所以,默认情况下,文件都不具备执行权限。
注意:只有某个文件的属主才能修改文件的使用权(root除外)
修改文件的使用权限:
chmod--> change file mode bits
chmod [OPTION]... MODE[,MODE]... FILE...
chmod [OPTION]... OCTAL-MODE FILE...
如果使用八进制数字标识法,则每次必须给足所有权限位。如果给的权限位不完整,文件系统会自动补足,将给定的权限放置在右侧,左侧使用0来补。
chmod [OPTION]... --reference=RFILE FILE...
Chmod --reference=a b
选项:
-R:将目标目录中的文件及目录和子目录的文件统一设置为指定的权限标识。
Mode:符号权限标识法
U,g,o,a 表示所有权
+ - = 表示授权方式
+:在原有权限基础上添加新的权限
-:-------------------------去除----------
=:不考虑原有权限,直接将权限设置为目标权限
r w x表示具体权限内容
例子:
Chmod u+w file
Chmod g+rw file
Chmod u+x g-wx file
Chmod ug-x
Chmod +x 默认的为a添加执行权限
Chmod +w 默认的只为属主
OWNERSHIP:所有权
属主:资源掌控的某个特定用户 owner u
属组:资源掌控的某些特定用户 group g
其他用户:未曾掌控资源的那些用户 other o
全部用户:all ,a
Chown:可以修改文件的属组和属主
chown [OPTION]... [OWNER][:[GROUP]] FILE...
Chown owner file
Chown :group file
Chown owner: file :将目标文件的属主改为OWNER,同时将属组改为OWNER的基本组
Chown owner:group file :将目标文件的属组和属主修改为GROUP和OWNNER
-R :将目标目录中的文件及目录和子目录的文件统一设置为指定的所有权
注意:修改OWNERSHIP操作只有超级用户ROOT可以完成
chown [OPTION]... --reference=RFILE FILE...
Chgrp:只能修改文件的属组
chgrp [OPTION]... GROUP FILE...
chgrp [OPTION]... --reference=RFILE FILE...
Install命令
安装:复制文件::为文件赋予执行权限
install [OPTION]... [-T] SOURCE DEST 单源复制
install [OPTION]... SOURCE... DIRECTORY 多源复制
install [OPTION]... -t DIRECTORY SOURCE...
install [OPTION]... -d DIRECTORY...
常用选项:
-m, --mode=MODE 指定目标文件的权限,默认为755
-o, --owner=OWNER 设定目标文件的属主,只能是ROOT可用
-g, --group=GROUP 设定目标文件的属组,仅ROOT可用
注意:install命令不能复制目录,即其源不能为目录,如果其源为目录,则install经历了会进入目录,依次复制其中的所有非目录文件到目标位置
mktemp命令:
一般来讲,临时文件都会创建在/tmp或/var/
/tmp目录中,无需手动删除,系统会定期自动删除这两个目录中的文件
选项:
-d, --directory 可以创建临时目录
特殊权限:
SUID, SGID, STICKY
默认情况下,用户发起执行一个进程,该进程属主是其发起者,也就是说,该进程是以其发起者身份在运行。
SUID:
功能作用:用户发起执行一个进程时,该程序文件如果拥有SUID权限的话,那么此程序发起的进程其属主为该程序文件的属主,而不是其发起者。
SUID权限所显示的位置,文件的属主权限中的执行权限位,如果属主本来就有执行权限,显示为s,否则,显示S
管理文件的SUID权限:
chmod u+|-s file
SGID :
如果某个目录对于一些用户有写权限并且设置看SGID权限时,则所有对此目录有写权限的用户在创建新文件或目录后,新文件的属组不再是创建用户的基本组,而是继承了该目录的属组。
SGID权限显示的好位置: 文件的属组权限中的执行权限位,如果属组本来就执行权限,显示为s,否则显示为S。
STICKY:粘滞位:
如果某个目录中,有超过一个用户可以有写权限,则许多个 用户都可以在该目录中随意创建,修改和删除文件名;
STICKY的功能作用:
如果上述类似的目录设置了STICKY权限,则每个用户依旧能够创建和修改文件名,但每个用户只能删除那些属主为其自身的文件名;
STICKY权限的显示位置: 在文件权限的其他用户的执行权限位,如果原来就有执行权限,则显示为t,否则显示为T;
管理文件的STICKY权限:
Chmod o+|-t file.....
Suid sgid sticky
--- 000
--t
-s-
-st
s--
s-t
ss-
Sst 111
特殊权限的另一种修改方式:
将特殊权限对应的八进制数字放置于普通权限八进制数字前面即可
例如: 要给某个目录加上粘滞位
Chmod 1755 DIRECTORY
umask
权限遮罩码:在创建文件或目录时默认的权限生成标准
Root: 0022
不考虑特殊权限位
对于创建的文件或目录,不遮挡属主的任何权限,遮住的属组的写权限和其他用户的写权限;
理解遮罩码:
把遮罩码的值变为二进制,凡是有1的位置,其权限在创建文件时,就不设置;
0033 000011011 --------110100100 644
-------111100100 744
默认情况下,文件的遮罩码已经有了一个0111,在此基础之上再次应用umask来遮罩权限。
文件的特殊属性:
查看文件的特殊属性:
lsattr: lsattr - list file attributes on a Linux second extended file system
lsattr [ -RVadv ] [ files... ]
修改设置文件的特殊属性:
chattr - change file attributes on a Linux file system
chattr [ -RVf ] [ -v version ] [ mode ] files...
mode:会使用+-=来设置
整个chattr命令最关键最核心的设置就是[mode]部分:
[aAcCdDeijsStTu都是所需要的属性:
+:在原有属性设定的基础上,添加新属性
-:从原有属性设置中移除指定的属性
=:不考虑原有的属性设置,直接将文件的属性更新为指定的属性内容
a: append:设置这个属性的文件,其内容不能被更改和删除,只能以追加的方式向此文件中写数据,多数的服务器日志类文件都会设置为此属性;
A: atime :文件的访问时间戳:IO瓶颈,设置A属性可以使得文件再被访问时不更改文件的访问时间戳,从而可以有效地防止IO瓶颈的发生。
c:设置文件是否自动压缩后再行存储
C:设置文件是否开启“写时复制”属性
d:设置文件在使用dump进行备份的时候,不会成为备份目标
D:设置文件在文件系统中的异步写操作
i:设置文件不能被删除,修改和设定链接关系
s:设置文件的保密性删除,一旦设置s属性的文件被删除,其对应存储设备中的使用空间会被一并收回。
u:跟s属性相反,如果这样的文件被删除,则其存储于存储设备中的数据会被留存。
最常用的属性:i和a
Chattr +i file
常用选项:
-R:递归的设置指定目录中的所有文件和子目录的属性。
FACL权限机制:
文件的额外赋权机制:
在原有的u,g,o权限之外,让普通用户能够控制权限赋予另外的用户和组的一种赋权机制.
与FACL有关的命令:
getfacl: get file access control lists
getfacl [-aceEsRLPtpndvh] file ...
getfacl [-aceEsRLPtpndvh] -
User:USERNAME:MODE
Group:GROUPNAME:MODE
Other::MODE
Setfacl: set file access control lists
setfacl [-bkndRLPvh] [{-m|-x} acl_spec] [{-M|-X} acl_file] file .
u:USERNAME:MODE
g:GROUPNAME:MODE
MODE 一般使用符合权限标识法
为用户赋予额外权限
Setfacl -m u:username:mode file...
为组赋予额外权限
Setfacl -m g:groupname:mode file...
撤销用户赋予的额外权限
Setfacl -x u:username
撤销为组赋予的额外权限
Setfacl -x g:groupname
注意:如果设置了FACL之后在修改目标文件的使用权限,那么FACL中设置的条目就可能收到影响而导致与要求不服;因为,如果真的需要设置FACL,就要在已经确定目标文件的使用权限以后再行设置