五.权限管理

(零).文件的所有者和所属组管理: 

1.查看文件的所有者和所属组组:

准备:#mkdir  /loring   &&  cd  /loring   

   #cp   /etc/passwd    /loring  

#ls   /loring/passwd   

-rw-r--r--. 1 root root 1668 Mar 20 19:32 /loring/passwd

2.修改文件的所有者:chown    -->  change  owner  

 #chown用户名    文件名  

#chown   loring    /loring/passwd修改所有者   

#ls  -l   /loring/passwd验证 

3.修改文件的所属组: chgrp   -->  change  group

#chgrp用户组    文件名  

#chgrp    group1    /loring/passwd修改      

#ls  -l  /loring/passwd验证 

4.使用chown命令,修改文件的所属组: 

#chown   .用户组   文件名   

#chown   :用户组   文件名   

#chown   .group2    /loring/passwd  

#ls   -l  /loring/passwd  

#chown   :group11    /loring/passwd  

#ls  -l  /loring/passwd  

5.同时修改文件的所有者和所属组: 

#chown用户名.组名     文件名  

#chown用户名:组名     文件名  

#chown    tom.group2    /loring/passwd   

#ls  -l   /loring/passwd    

6.文件使用者分类:

三类: 

文件的所有者:owner  -->  u   

文件的所属组:group  -->  g  

文件的其他人:other  -->  o   

代表三类用户:all -->  a      

(一)基本权限

1.基本权限的分类: 

将基本权限分为了三类:r   w   x  

r: 读权限  

w:写权限

x:执行权限  

2.权限的分配: 

基本权限使用ls -l查看出的,前2-10位,一共9个位置:

又将这9个位置分为3段: 

第1段: 给文件的所有者的权限 

第2段: 给文件所属组的权限  

第3段: 给文件其他人的权限  

注意:在每一段中,权限的排列,只能是rwx;每个位置只能出现对应的权限,或者不出现,但不能出现其他权限   

3.修改文件的基本权限:  chmod   -->  change  mode  

基本权限在有些地方,也被描述成ugo权限: u:所有者  g:所属组  o:其他人   

3.1直接修改: =  

#chmod   [ugoa]=权限      文件名    

注意:[]中可以任选一个,或者多个 

3.1.1修改某一类用户的基本权限:

#chmod   u=rwx     /loring/passwd  

代表修改所有者的权限为rwx   

#ls  -l   /loring/passwd验证  

3.1.2同时修改两类用户的权限:两类用户权限一样 

#chmod   ug=w    /loring/passwd   

3.1.3同时修改两类用户的权限: 两类用户的权限不一样 

#chmod   u=rx,g=rwx    /loring/passwd  

所有者的权限改为rx;所属组的权限改为rwx   

3.1.4同时修改所有人的权限:权限是一样的 

#chmod   a=r    /loring/passwd  

三类用户的权限,都会被修改成为只读

3.2加减权限: + -  

3.2.1给某一类用户增加或者减少权限: 

#chmod  u+x     /loring/passwd  

#ls  -l  /loring/passwd  

#chmod  u-rw    /loring/passwd   

#ls  -l    

3.2.2同时给多个人增加、减少权限: 

#chmod  ug+rw     /loring/passwd  

3.2.3同时修改多个人的权限,修改的权限不一致: 

#chmod  u+x,g-rw    /loring/passwd  

3.2.4同时修改所有人的权限:

#chmod    a+x    /loring/passwd   

#chmod    +x     /loring/passwd等同于上一条

注意: 增加权限,不管以前有没有,增加后一定是有的;减少一个权限,不管有没有,减少后一定是没有的 

3.3数值的方式:*****    

例子:  所有者权限位来描述,占3位  r  w  x  

如果权限位出现了权限,用1表示;如果没有出现权限,用0表示

r=4   w=2    x=1    

rw-r--rx     

第1段: 4+2+0=6  

第2段: 4+0+0=4

第3段: 4+0+1=5    

用3个八进制数表示:  645   

#chmod数值   文件名   

#chmod    631   /loring/passwd

rw--wx--x   

#ls   -l    

4.基本权限的作用:

4.1针对于普通文件 

权限的描述:

r:能够查看文件里面的内容,可以cat等命令查看  

w:可以修改和编辑文件中的内容

x:能够运行文件中的代码(内容)

权限的作用:  用户具备了某些权限,能做什么事情

r:能查看文件内容;不能修改;也不能执行 

w:不能查看;只能强制写入,但是会覆盖原文件内容;不能执行

x:毫无意义

rw:可以查看文件内容;可以修改文件内容;不能执行  

rx:可以查看文件内容;不可以修改文件内容;可以执行

wx:跟单独具有w权限一样;不能查看;能强制写入;不能执行

rwx:可以查看;可以修改;可以执行 


实验:  

# chmod  o=r  passwd 

每执行一次修改权限,都切换到普通用户进行验证

第二个终端:用普通用户登录,进行验证  

# chmod  o=w  passwd 

# chmod  o=x  passwd 

# chmod  o=rw  passwd 

# chmod  o=rx  passwd 

# chmod  o=wx  passwd 

# chmod  o=rwx  passwd 

4.2针对于普通目录 

权限的描述:  

r:可以查看目录下有哪些文件,例如ls去查看

w:可以在目录下创建和删除文件

x:能够进入到目录中,cd

权限的作用: 

r:只能查看一级子目录,而且会报错;不能创建或者删除文件;不能进入到目录  

w:毫无意义  

x:不能查看目录下文件;不能创建和删除;能进入,但是进入后也不能查看、创建、删除

注意:如果对子目录有权限,则对子目录的操作不受影响  

rw:只能查看一级子目录,也会报错;不能创建和删除;也不能进入;同单独具有r权限

rx:可以正常查看;不能创建和删除;可以进入目录

wx:不能查看;能创建文件,能删除文件;能进入到目录

注意: 可以删除文件,但是在文件名使用中,不再支持通配符(* ?)  *代表了任意   ?任意单个字符

rwx:可以查看;可以修改和删除;也可以进入目录 



扩展实验: 

1.创建一个目录:  /haha   

2.目录/haha的权限位777   

3.在目录下创建一个文件: hello.txt   

4.设定hello.txt文件的权限为444  

5.用普通用户loring去编辑hello.txt,看是否可以强制保存退出  

5.创建文件和目录的默认权限:

反向掩码:决定了用户创建文件的默认权限

普通文件:666  -  反向掩码 =  默认权限  

注意:默认创建普通文件,绝对不会给文件执行权限

目录:777  -  反向掩码 =  默认权限

查看: 

#umask   

022  

#su  -  loring  

$umask   

002    

修改: 临时修改,只对当前终端有效

#umask反向掩码  

#umask   025   

创建文件: 

#touch   a.txt     

#ll   

-rw-r--r--. 1 root root 0 Mar 24 22:54 a.txt

默认root用户创建文件的权限位644

#su  - loring   

$touch  aa.txt  bb.txt  

$ll    

-rw-rw-r--. 1 loring loring 0 Mar 24 22:56 aa.txt

默认普通用户创建文件的权限位664   

例:  

#umask  025   

666  -  025   = 641   -->  rw-r----x   

#touch  aaaa.txt  

#ls   -l   

rw-r---w-发现权限不是计算出的

注意: 一旦计算出某个用户具有执行权限,会自动进位

创建目录:

#mkdir   abc   bcd  

rwxr-xr-x

#umask  

022   

777   - 022  =  755  -->  rwxr-xr-x   

#su  - loring  

$mkdir  aaa   bbb   

$ll    

rwxrwxr-x      775    

注意: 反向掩码是如果分配,每个用户登录到系统后,都会有个默认的反向掩码  

由/etc/profile文件决定:  

#cat   /etc/profile    

if [ $UID -gt 199 ] && [ "`id -gn`" = "`id -un`" ]; then

umask 002

else

umask 022

fi

注释: 一旦用户的uid大于199,而且用户名和主要组的名一样,那么用户的umask就为002;否则用户的umask就为022   

(二)特殊权限:

suid:一旦一个文件具有了该权限,那么在文件执行的时候,会以文件的所有者身份去运行

例:passwd命令,普通用户使用只能修改自己的密码;修改完的密码,要保存在/etc/shadow中 

#ls  -l  /etc/shadow    

----------. 1 root root 1566 Mar 24 22:03 /etc/shadow

#which  passwd查看命令的绝对路径    

/usr/bin/passwd  

#su  -  loring 

$passwd   

别改完  

另打开一个标签:  

#ps  -eo   ruser,euser,comm   |  grep  passwd 

loring    root   passwd    

注释:ruser--> 真实用户  

euser-->有效用户   

comm -->执行的命令 

#chmod  u-s   /usr/bin/passwd  

再使用普通用户修改密码就不可以了  

给文件增加或者减少suid权限: 

增加: 

#chmod  u+s文件名   

减少:  

#chmod  u-s文件名  

注意:suid会占用所有者基本权限位的x位置;

如果所有者具有x权限,那么s就是小写的;

如果所有者没有x权限,那么S就是大写的



实验:  

#echo  hello  loring  > hello.txt      

#chmod   000   hello.txt  

#su  -  loring  

$cat   hello.txt

$which   cat    

/bin/cat   

使用root用户: 

#chmod   u+s    /bin/cat  


$cat   hello.txt   

通常suid都是给命令文件设定的

注意:在某种层次上,suid可以当作临时提权;使用情况不多,以后提权都用sudo

sgid:一旦一个目录具有该权限,那么将来在目录下创建的任何目录和文件,都会继承父母录的所属组

增加 、减少sgid权限:  

增加:

#chmod   g+s目录名   

减少:

#chmod   g-s目录名    

实验:  

#mkdir    /haha     

#chown    .loring   /haha    

#chmod   g+s   /haha   

#ll   -d   /haha   

#su  -  tom   

$touch   /haha/tom.txt   

$ll   /haha/tom.txt   

所属组为loring  

#su  -  jerry   

$mkdir  -p  /haha/a/b/c

$ls  -R -l    /haha   

发现a、b、c的所属组都为loring   

sticky:一旦一个目录具有了该权限,那么将来在目录下创建的任何文件,都只有文件的所有者和root有权限删除

增加 、减少sticky权限:  

增加:

#chmod   o+t目录名   

减少:

#chmod   o-t目录名 

#mkdir   /haha   

#chmod   777   /haha   

#chmod  o+t   /haha    

#su  -  loring    

$touch  /haha/loring.txt   

#su   -  tom  

$rm  -rf  /haha/loring.txt  

发现tom用户,再也没有权限删除loring创建的文件了

#su  - loring  

$rm  -rf   /haha/loring.txt  

(三)acl访问控制 决定用户的身份和基本权限 

查看acl访问控制: 

#getfacl文件名(目录)

#getfacl  /etc/passwd   

# file: passwd文件名   

# owner: root文件的所有者  

# group: root文件的所属组  

user::rw-所有者的权限 

group::r--所属组的权限  

other::r--其他人的权限  

将来任何一个用户,来访问该文件,都要遵循访问控制列表

例如用户tom用户访问该文件,那么tom应该有什么权限??

设定acl访问控制:

#setfacl选项    权限列表    文件名   

#setfacl   -m  u:tom:rwx    /etc/passwd 

删除:  

#setfacl   -x   u:用户名     /etc/passwd 

注意:这是单独删除某个用户的列表  

#setfacl   -x   u:tom     /etc/passwd   

清空acl设定: 

#setfacl  -b文件名   

#setfacl  -b   /etc/passwd    

设定默认acl访问控制: 

#setfacl  -m  d:u:用户名:权限    目录   

#setfacl  -m  d:u:tom:rw      /loring/abc     

注意:会让子目录和文件,继承父目录的acl访问控制列表   

清除默认acl:  

#setfacl -x  d:u:tom   abc   

设定默认acl:  

#setfacl  -d  -m  u::rwx    abc

注意:-m必须放在所有选项最后

清空默认acl:  

#setfacl  -k   abc   

(四)attr系统权限

注意:attr的系统权限,对root用户依然生效

查看attr权限:  

#lsattr文件名   

#lsattr    a.txt  

修改权限:  

#chattr   [+-]权限     文件名   

#man  chattr    

常用选项:a  i    A  

a:只能向文件中追加,不能修改文件属性,也不能删除

i:只能查看,不能追加,不能修改文件属性,也不能删除

A:会锁定文件的访问时间

#chattr   +a   a.txt增加一个a权限   

验证:  

#vim   a.txt发现文件没法写入  

#rm  -rf  a.txt发现也不能删除   

#echo   haha  >  a.txt不能覆盖写入  

#echo   haha   >>  a.txt只能追加写入  

#chattr   +i   a.txt增加一个a权限   

验证:  

#vim   a.txt发现文件没法写入  

#rm  -rf  a.txt发现也不能删除   

#echo   haha  >  a.txt不能覆盖写入  

#echo   haha   >>  a.txt不能追加写入  

#chattr  +A    a.txt  

#cat    a.txt  

#head   a.txt   

发现访问时间,始终没有变化  

#vim  a.txt修改文件内容   

#stat   a.txt发现时间变化  

注意: 通过编辑器,修改了文件中的内容,访问时间依然会变化

你可能感兴趣的:(五.权限管理)