LinuxBasicsForHackers笔记 -- 控制文件和目录权限
对于每个文件和目录,我们可以指定文件所有者、特定用户组以及所有其他用户的权限状态。
不同类型的用户
在Linux中,root用户是拥有一切权力的。 root 用户基本上可以在系统上执行任何操作。 系统上的其他用户具有有限的能力和权限,并且几乎永远不具有 root 用户所拥有的访问权限。
这些其他用户通常被收集到通常共享类似功能的组中。 在商业实体中,这些组可能是财务、工程、销售等。 在 IT 环境中,这些组可能包括开发人员、网络管理员和数据库管理员。 这个想法是将具有相似需求的人放入一个被授予相关权限的组中; 那么该组的每个成员都会继承该组的权限。 这主要是为了便于管理权限,从而提高安全性。
默认情况下,root 用户是 root 组的一部分。 系统上的每个新用户都必须添加到一个组中才能继承该组的权限。
授予权限
每个文件都必须为使用它的不同身份分配特定级别的权限。 三个级别的权限如下:
r– 允许阅读。 仅授予打开和查看文件的权限。w– 允许写。 允许用户查看和编辑文件。x– 允许执行。 允许用户执行文件(但不一定查看或编辑它)。
向个人用户授予所有权
要将文件的所有权移至其他用户,以便他们能够控制权限,我们可以使用 chown (change owner)命令:chown <用户名> <文件名>
这条命令授予用户名对应文件的拥有权。
授予组所有权
要将文件的所有权从一个组转移到另一个组,我们可以使用 chgrp(change group)命令。
chgrp <组名> <文件或目录名>
检查权限
当您想要了解授予哪些用户对某个文件或目录的权限时,请使用ls -l <文件/目录名>命令显示 — 此列表将包含权限,会出现以下相似内容:
对上图的解释:
- 1 – 文件类型(这是列出的第一个字符),其中
d代表目录,破折号-表示文件。 这是两种最常见的文件类型。 - 2 – 分别为所有者、组和其他用户对文件的权限。如果任何 r、w 或 x 被短划线 (-) 替换,则表示尚未授予相应的权限。 请注意,用户只能有权执行二进制文件或脚本。这些权限并不是一成不变的。 作为 root 用户或文件所有者,您可以更改它们。
- 3 – 链接数量
- 4 – 文件的所有者
- 5 – 文件大小(以字节为单位)
- 6 – 文件创建或最后修改时间
- 7 – 文件名
更改权限
我们可以使用Linux命令chmod(change mode)来更改权限。 只有 root 用户或文件所有者才能更改权限。
使用十进制更改权限
我们可以使用一个快捷方式来表示权限,即使用单个数字来表示一组 rwx 权限。您可以将 rwx 权限视为三个 ON/OFF 开关,因此当授予所有权限时,这相当于二进制的 111。
一个八进制数字代表一组三个二进制数字,这意味着我们可以用一个数字代表整个 rwx 集。 表 5-1 包含所有可能的权限组合及其八进制和二进制代表。
通过向 chmod 传递三个八进制数字(每个 rwx 集是一个数字),后跟一个文件名,我们可以更改每种类型用户对该文件的权限。 在命令行中输入以下内容:
chmod 774 <文件名> ,我们可以看到这条语句赋予了所有者和组所有权限,而其他人(其他)只有读取权限。
使用 UGO 更改权限
尽管数字方法可能是 Linux 中更改权限的最常见方法,但有些人发现 chmod 的符号方法更直观,两种方法效果同样好,因此只需找到适合您的一种即可。 符号方法通常称为 UGO 语法,它代表用户(或所有者)、组和其他。
UGO语法非常简单。 输入 chmod 命令,然后输入要更改其权限的对象,用户 – u,组 – g,其他 – o,后跟三个运算符之一:
-– 删除权限+– 增加权限=– 设置权限
在运算符之后,包含要添加或删除的权限 (rwx),最后包含要应用该权限的文件的名称。
因此,如果您想删除文件 hashcat.hcstat 所属用户的写权限,您可以输入以下内容:chmod u-w hashcat.hcstat
您还可以仅使用一个命令来更改多个权限。 如果您想同时授予该用户和其他用户(不包括该组)执行权限,可以输入以下内容:chmod u+x, o+x hashcat.hcstat
授予新工具的 root 执行权限
chmod 777 <文件名>,授予文件权限。
使用掩码设置更安全的默认权限
正如您所见,Linux 自动分配基本权限 — 通常为文件分配 666,为目录分配 777。 您可以使用 umask(user file-creation mask)方法更改分配给每个用户创建的文件和目录的默认权限。 umask 方法表示您想要从文件或目录的基本权限中删除的权限,以使它们更安全。
umask 是一个三位八进制数,对应于三个权限位,从权限数中减去 umask 数即可得到新的权限状态。 这意味着当创建新文件或目录时,其权限将设置为默认值减去umask中的值。
在 Debian 系统中,umask 预配置为 022,这意味着默认文件权限为 644,目录权限为 755。
umask 值并不适用于系统上的所有用户。 每个用户都可以为其个人 .profile 文件中的文件和目录设置个人默认 umask 值。 要以用户身份登录时查看当前值,只需输入命令 umask 并记下返回的内容即可。 要更改用户的 umask 值,请编辑文件 /home/username/.profile,例如添加 umask 007 进行设置,以便只有用户和用户组的成员具有权限。
特殊权限
除了rwx这三个通用权限之外,Linux还有三个稍微复杂一些的特殊权限。 这些特殊权限是设置用户 ID(或 SUID)、设置组 ID(或 SGID)和粘滞位(已经过时)。
使用 SUID 授予临时 root 权限
您现在应该知道,只有当用户有权执行某个特定文件时,他们才能执行该文件。 如果用户只有读和/或写权限,则无法执行。 这看起来似乎很简单,但这条规则也有例外。
基本上,SUID 位表示任何用户都可以在所有者的权限下执行该文件,但这些权限不会超出该文件的使用范围。
要设置 SUID 位,请在常规权限之前输入 4,因此当设置 SUID 位时,新生成的权限为 644 的文件将表示为 4644。
在文件上设置 SUID 不是典型用户会做的事情,但如果您想这样做,您将使用 chmod 命令,如 chmod 4644 所示。
授予Root用户组权限SGID
SGID 还授予临时提升的权限,但它授予文件所有者组的权限,而不是文件所有者的权限。 这意味着,通过设置 SGID 位,如果所有者属于有权执行该文件的组,则没有执行权限的人也可以执行该文件。
SGID 位在常规权限之前表示为 2,因此当设置 SGID 位时,结果权限为 644 的新文件将表示为 2644。 同样,您可以使用 chmod 命令来执行此操作,例如 chmod 2644 。