1.1 对于文件rwx含义
1.root用户下面修改权限 测试r权限
oldboy用户只有r 权限
[root@oldboyedu50-lnb /oldboy]# chmod u=r test.sh
[root@oldboyedu50-lnb /oldboy]# ll test.sh
-r--r--r--. 1 oldboy oldboy 9 Aug 6 12:32 test.sh
#oldboy用户下面测试
[oldboy@oldboyedu50-lnb /oldboy]$ ll test.sh
-r--r--r--. 1 oldboy oldboy 9 Aug 6 12:32 test.sh
[oldboy@oldboyedu50-lnb /oldboy]$ cat test.sh
hostname
[oldboy@oldboyedu50-lnb /oldboy]$ echo 'pwd'>>test.sh
-bash: test.sh: Permission denied
[oldboy@oldboyedu50-lnb /oldboy]$ /oldboy/test.sh
-bash: /oldboy/test.sh: Permission denied
2.root用户下面修改权限 测试w权限
oldboy用户只有w 权限
[root@oldboyedu50-lnb /oldboy]# chmod u=w test.sh
[root@oldboyedu50-lnb /oldboy]# ll test.sh
--w-r--r--. 1 oldboy oldboy 9 Aug 6 12:32 test.sh
oldboy用户下面测试
[oldboy@oldboyedu50-lnb /oldboy]$ ll test.sh
--w-r--r--. 1 oldboy oldboy 9 Aug 6 12:32 test.sh
[oldboy@oldboyedu50-lnb /oldboy]$ cat test.sh
cat: test.sh: Permission denied
[oldboy@oldboyedu50-lnb /oldboy]$ echo 'pwd' >>test.sh
[oldboy@oldboyedu50-lnb /oldboy]$ echo 'pwd' >>test.sh
[oldboy@oldboyedu50-lnb /oldboy]$ echo 'pwd' >>test.sh
[oldboy@oldboyedu50-lnb /oldboy]$ echo 'pwd' >>test.sh
[oldboy@oldboyedu50-lnb /oldboy]$ cat test.sh
cat: test.sh: Permission denied
[oldboy@oldboyedu50-lnb /oldboy]$
[oldboy@oldboyedu50-lnb /oldboy]$ /oldboy/test.sh
-bash: /oldboy/test.sh: Permission denied
3.root用户下面修改权限 测试x权限
oldboy用户 只有x 权限
[root@oldboyedu50-lnb /oldboy]# chmod u=x test.sh
[root@oldboyedu50-lnb /oldboy]# ll test.sh
---xr--r--. 1 oldboy oldboy 13 Aug 6 12:56 test.sh
oldboy用户下面测试
[oldboy@oldboyedu50-lnb /oldboy]$ ll test.sh
---xr--r--. 1 oldboy oldboy 13 Aug 6 12:56 test.sh
[oldboy@oldboyedu50-lnb /oldboy]$ cat test.sh
cat: test.sh: Permission denied
[oldboy@oldboyedu50-lnb /oldboy]$ echo 'pwd' >>test.sh
-bash: test.sh: Permission denied
[oldboy@oldboyedu50-lnb /oldboy]$ /oldboy/test.sh
bash: /oldboy/test.sh: Permission denied
rwx权限小结:
1.r读取文件内容
2.w修改文件内容 需要r权限配合
只有w权限的时候 强制保存退出会导致源文件内容丢失
3.x权限表示是否能执行脚本 需要r权限配合
1.2 对于目录rwx含义
创建环境
mkdir -p /oldboy/test
touch /oldboy/test/oldboy{01..5}.txt
chown oldboy.oldboy /oldboy/test/
[root@oldboyedu50-lnb /oldboy]# ll /oldboy/test -d
drwxr-xr-x. 2 oldboy oldboy 4096 Aug 6 13:02 /oldboy/test
[root@oldboyedu50-lnb /oldboy]# ll /oldboy/test
total 4
-rw-r--r--. 1 root root 8 Jul 16 19:24 del.sh
-rw-r--r-- 1 root root 0 Aug 6 13:02 oldboy01.txt
-rw-r--r-- 1 root root 0 Aug 6 13:02 oldboy02.txt
-rw-r--r-- 1 root root 0 Aug 6 13:02 oldboy03.txt
-rw-r--r-- 1 root root 0 Aug 6 13:02 oldboy04.txt
-rw-r--r-- 1 root root 0 Aug 6 13:02 oldboy05.txt
目录的rwx权限
r 查看目录内容 ls
w 可以删除 创建 重命名 目录中的文件
x 是否能进入到目录 cd
1.root用户下面修改权限 测试r权限
oldboy用户 只有r 权限
[root@oldboyedu50-lnb /oldboy]# chmod u=r test
[root@oldboyedu50-lnb /oldboy]# ll -d test
dr--r-xr-x. 2 oldboy oldboy 4096 Aug 6 13:02 test
oldboy用户下面测试
[oldboy@oldboyedu50-lnb /oldboy]$ ls test
ls: cannot access test/oldboy05.txt: Permission denied
ls: cannot access test/oldboy04.txt: Permission denied
ls: cannot access test/oldboy01.txt: Permission denied
ls: cannot access test/del.sh: Permission denied
ls: cannot access test/oldboy02.txt: Permission denied
ls: cannot access test/oldboy03.txt: Permission denied
del.sh oldboy01.txt oldboy02.txt oldboy03.txt oldboy04.txt oldboy05.txt
[oldboy@oldboyedu50-lnb /oldboy]$ ls -l test
ls: cannot access test/oldboy05.txt: Permission denied
ls: cannot access test/oldboy04.txt: Permission denied
ls: cannot access test/oldboy01.txt: Permission denied
ls: cannot access test/del.sh: Permission denied
ls: cannot access test/oldboy02.txt: Permission denied
ls: cannot access test/oldboy03.txt: Permission denied
total 0
-????????? ? ? ? ? ? del.sh
-????????? ? ? ? ? ? oldboy01.txt
-????????? ? ? ? ? ? oldboy02.txt
-????????? ? ? ? ? ? oldboy03.txt
-????????? ? ? ? ? ? oldboy04.txt
-????????? ? ? ? ? ? oldboy05.txt
2.root用户下面修改权限 测试w权限
oldboy用户 只有w 权限
[root@oldboy50-01 ~]# mkdir -p /oldboy/test
[root@oldboy50-01 ~]# cd /oldboy/test/
[root@oldboy50-01 /oldboy/test]# touch old{1..5}.txt
[root@oldboy50-01 /oldboy/test]# chown oldboy.oldboy /oldboy/test/
d-wxr--r-- 2 oldboy oldboy 4096 Aug 6 22:46 test
[root@oldboy50-01 /oldboy]# chmod o=w test/
[root@oldboy50-01 /oldboy]# ll -d test/
d-wxr---w- 2 oldboy oldboy 4096 Aug 6 22:46 test/
oldboy用户下面测试
[oldboy@oldboy50-01 /oldboy]$ cd /oldboy/test
[oldboy@oldboy50-01 /oldboy/test]$ ll
ls: cannot open directory .: Permission denied
[oldboy@oldboy50-01 /oldboy/test]$ \rm -rf /oldboy/test/old1.txt
[root@oldboy50-01 /oldboy]# ll /oldboy/test/
total 0
-rw-r--r-- 1 root root 0 Aug 6 22:46 old2.txt
-rw-r--r-- 1 root root 0 Aug 6 22:46 old3.txt
-rw-r--r-- 1 root root 0 Aug 6 22:46 old4.txt
-rw-r--r-- 1 root root 0 Aug 6 22:46 old5.txt
-rw-r--r-- 1 root root 0 Aug 6 19:33 oldboy03.txt
-rw-r--r-- 1 root root 0 Aug 6 19:33 oldboy04.txt
-rw-r--r-- 1 root root 0 Aug 6 19:33 oldboy05.txt
目录权限小结:
1. r 显示目录内容 需要x权限配合
2. w 是否能删除目录内容 在目录中创建文件 修改(重命名)
3. x 是否能进入到目录 cd (你是否能查看目录中文件的属性)
4. 删除一个文件 看文件所在目录的权限 是否有wx权限
1.3 初步排错
1.没有可读或可执行权限
[oldboy@oldboyedu50-lnb /]$ ls /root/
ls: cannot open directory /root/: Permission denied
2.没有可写可执行权限
[oldboy@oldboyedu50-lnb /]$ touch /etc/passwd.txt
touch: cannot touch `/etc/passwd.txt': Permission denied
3.当前目录没有课写可执行权限
[oldboy@oldboyedu50-lnb /]$ \rm -f /etc/sysconfig/network
rm: cannot remove `/etc/sysconfig/network': Permission denied
4.没有可写权限
[oldboy@oldboyedu50-lnb /]$ echo '#oldboy' >>/etc/hosts
-bash: /etc/hosts: Permission denied
5.此文件没有任何权限
[oldboy@oldboyedu50-lnb /]$ cat /etc/shadow
cat: /etc/shadow: Permission denied
1.4 文件访问过程与权限
cat oldboy.txt
inode block
文件 文件属性 数据(文件内容)
目录 目录属性 文件名
cat /oldboy/lidao/test.sh
权限可能与文件所在的目录及上级目录 及 目录有关
控制系统默认权限 umask
umask
022
文件一般可以给的最大权限:666
目录一般可以给的最大权限:777
文件默认的权限
666
-022
=644
目录默认的权限
777
-022
=755
特殊情况:
umask 032
文件
666
032
634
+010
=644
umask是 035 系统文件默认权限是? 目录权限是?
文件
666
-035
=631
+011
642
目录
777
035
742
1.5 要求创建的文件默认权限是000,目录的权限是111 umask ?
666
1.6 如何通过控制权限的方法 保护网站安全
网站 blog.oldboyedu.com
1.网站通过www用户运行(虚拟用户)
2.控制目录/app/blog 权限
file 644 root root
dir 755 root root
3.网站上传目录upload
file 644 www www
dir 755 www www
模拟环境
mkdir -p /app/blog /app/blog/upload
touch /app/blog/tao.avi /app/blog/dao.mp4 /app/blog/ndd.torrent
useradd www
[www@oldboyedu50-lnb /app/blog]$ touch upload/499G.torrent
touch: cannot touch `upload/499G.torrent': Permission denied
什么原因及怎么解决
[root@oldboyedu50-lnb /oldboy]# chown www.www /app/blog/upload/
网站整体结构
1.7 隐藏属性(文件系统权限)
1.7.1 lsattr(查看文件扩展属性)
查看文件扩展属性。
文件扩展属性和文件权限最重要的不同在于属性并不依赖于某个用户帐号
1.7.2 chattr(设置扩展属性)
改变文件的扩展属性。
权限设定
+ 增加权限
- 取消权限
= 唯一设定权限
属性
a:只能在添加模式下打开用于写入. 只有root可以设置或清除该属性
i:该文件属性无法修改,只有root可设置或清除该属性(在网卡DNS覆盖/etc/resolv.conf中的DNS时,将resolv.conf的属性设为i,可防止覆盖)
[root@oldboyedu50-lnb /oldboy]# chattr +a test.sh
[root@oldboyedu50-lnb /oldboy]# lsattr test.sh
-----a-------e- test.sh
[root@oldboyedu50-lnb /oldboy]# #a append 只能追加
[root@oldboyedu50-lnb /oldboy]# >test.sh
-bash: test.sh: Operation not permitted
[root@oldboyedu50-lnb /oldboy]# echo pwd >>test.sh
[root@oldboyedu50-lnb /oldboy]# \rm -f test.sh
rm: cannot remove `test.sh': Operation not permitted