3月21日第16天课堂笔记

第12章 Linux系统权限知识及应用实践

1、 Linux基础权限是9个字符。
[root@yuzhiwei~]# ls -lhi
total 16K
33651696 -rw-r--r-- 1 root root 8 Mar 14 18:45 1.txt
-rw-r--r--

分3组:
前三个字符标识用户(属主)权限位 user(用户) u
中三个字符是标识用户组权限位 group(用户组) g
后三个字符是其他用户权限位 orhers(其他用户) o
同一组的三个字符权限也是有位置的:

r--
第一个字符的位置是读的权限位
第二个字符的位置是写的权限位
第三个字符的位置是执行的权限位

r 4
w 2
x 1

  • 0

2、文件权限详细说明:

(1)可读r:表示具有读取、浏览文件内容(读取文件实体block)的权限。
(2)可写w:表示具有新增、修改、删除文件内容的权限。
(3)可执行x:表示具有执行文件的权限。

2.1、其中,对于可写r,有两点需要说明:
a、如果没有可读r配合,那么使用vi编辑文件时会提示无法编辑(但可强制编辑),可以使用echo等命令进行重定向或追加;
b、删除文件或创建文件的权限是受上一级目录的权限控制的(因为文件名没有存放在Inode里,而是在上级目录的Block里存放,若修改上级目录的Block,当然会受上级目录的Inode权限控制),和文件本身的权限无关,因此,文件本身的可写w权限和文件是否能被删除和改名无关。

2.2、对于可执行x,有三点需要说明:
a、首先文件的本身要能够执行(命令或脚本)。
b、如果是普通用户,同时还需要具备可读r的权限才能执行文件。
c、root用户只要有可执行x的权限就能执行文件。

3、目录权限详细说明:
(1)可读r:表示具有浏览目录下面文件及子目录内容的权限。
(2)可写w:表示具有增加、删除或修改目录内文件的权限。
(3)可执行x:表示具有进入目录的权限。例如可以执行cd dir命令切刀目录下,但是无法列出目录下的文件及子目录。

测试准备:
incahome(家、组)
oldboy 家庭男主人,用来代表用户(User)角色,是文件的所有者
oldgirl 女主人(和所有者oldboy属于相同组,oldboy的家人)用来代表用户组incahome的角色
test 其他人 其他(others)人,用来代表其他用户角色
[root@oldboyedu ~]# groupadd incahome
[root@oldboyedu ~]# useradd oldboy
useradd: user 'oldboy' already exists
[root@oldboyedu ~]# usermod -g incahome oldboy
[root@oldboyedu ~]# id oldboy
uid=1000(oldboy) gid=1004(incahome) groups=1004(incahome),1000(oldboy)

如果此前没有创建oldboy,可以执行下面命令,而不需要usermod命令。
[root@oldboyedu ~]# useradd oldboy -g incahome

[root@oldboyedu ~]# useradd oldgirl -g incahome
useradd: user 'oldgirl' already exists
[root@oldboyedu ~]# id oldgirl
uid=1001(oldgirl) gid=1001(oldgirl) groups=1001(oldgirl)
[root@oldboyedu ~]# usermod -g incahome oldgirl
[root@oldboyedu ~]# id oldgirl
uid=1001(oldgirl) gid=1004(incahome) groups=1004(incahome)
[root@oldboyedu ~]# useradd test
useradd: user 'test' already exists

图片11.png

权限修改:
777 +x -x u=w g-x

4、Linux权限有两种表现形式:
4.1、数字表示法
r 4
w 2
x 1
- 0
实际的权限表示就是将没三位相加即可。
rwxr-xr-x 755
rwx 7
r-x 5
r-x 5

4.2、字符表示法
chmod 修改文件权限
-R 递归修改
rw-rw-r-x 代表的数字权限为665
--xr-x-wx 代表的数字权限为153
-wx--x--x 代表的数字权限为311

而以下数字权限表示的字符权限如下:
755 代表的字符权限为rwxr-xr-x
644 代表的字符权限为rw-r--r--
134 代表的字符权限为--x-wxr--

5、修改文件属性的用户和组
chown 用户.用户组 文件 这里的.可以用:代替
chown 用户 文件
chwom .用户组 文件

chgrp incahome test.txt
[root@oldboyedu /oldboy]# chown oldboy test.sh
[root@oldboyedu /oldboy]# ls -l
total 4
---x--x--x 1 oldboy root 12 Oct 7 22:16 test.sh
[root@oldboyedu /oldboy]# chown .incahome test.sh
[root@oldboyedu /oldboy]# ls -l
total 4
---x--x--x 1 oldboy incahome 12 Oct 7 22:16 test.sh
[root@oldboyedu /oldboy]# chown root:root test.sh
[root@oldboyedu /oldboy]# ls -l
total 4
---x--x--x 1 root root 12 Oct 7 22:16 test.sh
[root@oldboyedu /oldboy]#

6、企业环境下文件和目录的安全核心知识
安全权限临界点:
文件不想被修改被执行:644
创建文件默认权限:644
目录不想被修改(删除移动创建)被执行(进入):755
创建目录默认权限:755

7、企业真实案例:网站文件被恶意修改了。。。。打开网站后有弹窗广告(不是你网站的)用户打开网站,报警。原因:权限设置不到位。chmod -R 777 目录 开发人员习惯 解决方案:
1、备份 tar zcvf /opt/oldboy_$(date +%F).tar.gz ./oldboy/
2、找到被修改的文件 [root@oldboyedu /]# find /oldboy -type f |xargs grep 'ddddddddddddd' /oldboy/oldboy.txt:

你可能感兴趣的:(3月21日第16天课堂笔记)