账户权限

目录

1. 文件的一般权限

1.1. 文件详细信息

1.2. 文件权限构成

示例:

1.3. chmod命令

1.3.1. 参数

示例:

扩展:隐藏权限(chattr  +a)

1.4. chown命令

 示例:

2. 特殊权限

2.1. 概述

2.2. SUID权限

2.3. SGID 权限

2.4. Sticky Bit权限

2.5. 设置特殊权限

3. ACL 权限

3.2. ACL权限管理命令

 示例:

3.3. 删除acl权限

4. 权限掩码umask

4.1. 新建文件权限与umask关系

4.2. 查看默认umask值

4.3. 修改默认umask


1. 文件的一般权限

1.1. 文件详细信息

账户权限_第1张图片

账户权限_第2张图片

1.2. 文件权限构成

1.2.1. 权限针对三类对象定义

        owner 所有者(属主),缩写u

        group 所属组,缩写g

        other 其他人,缩写o

1.2.2. 访问者三种权限

账户权限_第3张图片

1.2.3. 组成

账户权限_第4张图片

账户权限_第5张图片

1.2.4. 文件与目录权限含义

账户权限_第6张图片

注意:root账户不受文件权限的读写限制,执行权限受限制

示例:

例1:写出下列文件的字符权限

        764 : rwx rw- r--

        642: rw- r-- -w

        153: --x r-x -wx

        731: rwx -wx --x

例2:写出下列文件的数字权限

        r-x rw- r-- : 564

        rw- -w- -wx : 623

        rw- r-- r-- : 644  (默认创建的文件权限)

        rwx r-x r-x: 755(默认创建的目录权限)

1.3. chmod命令

      作用 chmod(change mode):修改文件或目录的权限

      格式:

          # 格式1

                chmod [选项] [ugoa][+-=][rwx] 文件或目录...

           # 格式2

                chmod [选项] nnn 文件或目录...`

1.3.1. 参数

        -R:递归修改指定目录下所有文件、子目录的权限

        u g o a:表示权限设置所针对的用户类别,可以是其中字母中的一个或组合,u(user)表示文件或目录的属 主(所有者)g(group)表示属组内的用户o(others)表示其他用户a(all)表示所有用户(即u+g+o)

        + 或 - 或 =:表示设置权限的操作动作,+代表添加-代表取消=表示只赋予给定的权限,并取消原有的权限

        rwx:用字符形式表示的所设置的权限,可以是其中一个字母或组合

        nnn:用数字表示的权限,例如755   644  等。

示例:

修改文件权限:灵活使用命令 u g o a,+ 或 - 或 =,  rwx以及  nnn。

账户权限_第7张图片

修改目录权限:灵活使用命令 -R

账户权限_第8张图片

扩展:隐藏权限(chattr  +a)

命令: [root@server ~]# chattr +a t4.txt 

        意义:含有不能删除的隐藏权限。使用该命令后将无法删除该文件。

                  日常工作中常用该方法保护文件,防止被分正常删除。

查看方法:[root@server ~]# lsattr t4.txt 
账户权限_第9张图片

取消方法:[root@server ~]#  chattr -a t4.txt 

账户权限_第10张图片

1.4. chown命令

        作用:修改文件或目录的所有者和属组(修改文件的归属对象)

        格式:修改文件或目录的所属者

                chown         -参数         所有者        :        所属组         文件名或目录名

                 # 参数-R递归设置

 示例:

例:将文件t1.txt所有者和属组修改为fox

                [root@server ~]# chown fox:fox  t1.txt 

账户权限_第11张图片

例:将目录m1下所有文件的所有者和属组修改为fox

        [root@server ~]# chown -R fox:fox m1

账户权限_第12张图片

2. 特殊权限

2.1. 概述

        在Linux系统中,用户对文件或目录的访问权限除了r、w、x三种一般权限外,还有SET UID(SU ID)SET GID(SGID)Sticky Bit(粘滞位)三种特殊权限,用于对文件或目录进行更加灵活方便的访问控制。

        SUID 权限的含义:是为了让一般用户在执行某些程序的时候, 在程序的运行期间, 暂时获得该程序文件 所属者的权限。

2.2. SUID权限

2.2.1. 使用场景

        例如:student用户要更改自己的密码

        student 在执行 passwd 修改自己的密码时, 其修改的密码, 最终是需要保存到 /etc/shadow 这个文件 中, 而这个文件的权限是 --------- ,它的拥有者是 root ,也只有 root 可以“ 强制” 存储, 其他用户连看都 不行

        可偏偏 student 去执行 passwd (/usr/bin/passwd) ,却可以更新自己的密码

        这就是因为有 s 权限的存在,当 s权限在拥有者的权限位上时, 即如 -rwsr-xr-x 这样时, 称为 SUID 。 SUID 即 Set UID , UID 指的是拥有者的的 ID, 而这个程序 (/usr/bin/passwd) 的拥有者为(root) 。

[root@server ~]# ll /usr/bin/passwd

-rwsr-xr-x. 1 root root 32648 8月 10 2021 /usr/bin/passwd

注意:

        suid仅对二进制文件有效

        在执行过程中,调用者会暂时获得该文件的所有者权限

        该权限只在程序执行的过程中有效

2.3. SGID 权限

SGID 可以用在两个方面:

        文件: 如果 SGID 设置在二进制文件上, 则不论用户是谁,在执行该程序的时候,程序的所属组将会变成 该程序文件的所属组。

        目录:如 果 SGID 是设置在 A 目录上, 则在 A 目录内所建立的文件或目录的所属组, 将会是此 A 目录的 所属组

注意:

         一般SGID 多用在特定的多人团队的项目开发上,在系统中用的很少

2.4. Sticky Bit权限

        Sticky Bit (SBit) 当前只针对目录有效, 对文件没有效果。

        其对目录的作用:

                 在 具 有 SBit 的目录下, 用户若在该目录下具有 w 及 x 权限 , 则当用户在该目录下建立文件或目录 时, 只有文件拥有者与 root 才有权力删除。

                例如:当 student 用户属于 A 目录的组成员或属于 other ,且拥有 wx 权限时, 可以对该目录内任 何人建立的目录或文件进行“ 删除/重命名/移动” 等操作。 如果将 A 目录加上了 Sticky Bit 权限, 则 student用户只能针对自己建立的文件或目录进行“ 删除/重命名/移动” 等操作。

2.5. 设置特殊权限

        为文件或目录添加三种特殊权限同样可以通过chmod命令来实施,使用“u±s”、“g±s”、“o±t”的字符权限模式 分别用于添加和移除SUID、GUID、sticky权限。

        若使用数字形式的权限模式,可采用“nnnn”格式的四位八进制数字表示,其中:后面三位是一般权限的数字 表示,前面第一位则是特殊权限的标志数字:

        0——表示不设置特殊权限

        1——表示只设置sticky

        2——表示只设置GUID权限

        3——表示只设置SGID和sticky权限

        4——表示只设置SUID权限

        5——表示只设置SUID和sticky权限

        6——表示只设置SUID和SGID

        7——表示同时设置SUID、GUID、sticky3种权限

3. ACL 权限

        作用:给指定的用户指定目录分配指定的权限。

3.2. ACL权限管理命令

3.2.1. 查看ACL权限

        格式:                getfacl         文件名

例: [root@server ~]# getfacl t1.txt  # getfacl命令

账户权限_第13张图片

3.2.2. 设定ACL权限

格式:setfacl -参数 文件名

参数:

        -m:设定 ACL 权限

                给用户设定 ACL 权限:setfacl -m u:用户名:权限 指定文件名

                给用户组设定 ACL 权限:setfacl -m g:组名:权限 指定文件名

        -x:删除指定的 ACL 权限;

        -b:删除所有的 ACL 权限;

        -d:设定默认 ACL 权限。只对目录生效,指目录中新建立的文件拥有此默认权限;

        -k:删除默认 ACL 权限;

        -R:递归设定 ACL 权限。指设定的 ACL 权限会对目录下的所有子文件生效

 示例:

        例:root用户在根目录下创建目录/project及所属工作组QQgroup,所属组里面创建两个用户zhangsan和 lisi,此文件权限是770,再创建一个旁听用户 pt,给他设定/project目录的 ACL 为 r-x。

[root@server ~]# mkdir /project

[root@server ~]# useradd zhangsan

[root@server ~]# useradd lisi

[root@server ~]# groupadd QQgroup

[root@server ~]# gpasswd -M zhangsan,lisi  QQgroup 

[root@server ~]# chown root:QQgroup /project/
账户权限_第14张图片

[root@server ~]# useradd pt
[root@server ~]# setfacl -m u:pt:r-x /project/

[root@server ~]# ll -d /project/
drwxr-xr-x+ 2 root QQgroup 6 10月  9 14:41 /project/
[root@server ~]# getfacl /project/
账户权限_第15张图片

此时,当我们在pt用户下时不具有写的权限。

3.3. 删除acl权限

# 删除指定用户的 ACL 权限

        setfacl         -x         u:用户名         文件名

# 删除指定用户组的 ACL 权限

        setfacl         -x         g:组名         文件名

# 删除文件的所有 ACL 权限

        setfacl         -b         文件名

账户权限_第16张图片

4. 权限掩码umask

4.1. 新建文件权限与umask关系

        在Linux系统中,当用户创建一个新的文件或目录时,系统都会为新建的文件或目录分配默认的权限,该默 认权限与umask值有关

        新建文件的默认权限=0666-umask值 (减去)

        新建目录的默认权限=0777-umask值

4.2. 查看默认umask值

        0666-umask值 (0022)=644

        0777-umask值=755

4.3. 修改默认umask

账户权限_第17张图片

账户权限_第18张图片

你可能感兴趣的:(linux,运维,服务器)