Linux 权限管理
一、简述
权限主要用于约束用户能对系统所做的操作。因为系统中不可能只有存在一个 root 用户,一定会存在多个用户,所以我们要用权限来约束用户。在 Linux 系统中针对文件定义了三种身份,分别是属主(owner)、属组(group)、其他用户(others)。每一种身份又对应着三种劝权限,可读(readable)、可写(writable)、可执行(executable)。
二、权限字段说明
~]# touch file.txt
~]# ll file.txt
-rw-r--r-- 1 root root 0 Jan 24 10:25 file.txt
rw-:代表属主的权限,root 代表属主
r--:代表属组的权限,第二个 root 代表的是属组
r--:其他用户权限,不是属主也不在属组中的其他用户
root:属主,文件或目录的所属用户
root:属组,文件或目录的所属用户组通过以上内容可看到,-rw-r--r-- 权限字段共十个字符,第一个字符在 文件属性 中有说到代表的是文件类型,其他的九个字符代表的就是三种身份的权限,前三个代表的是属主的权限,中间三个代表的是属组的权限,最后三个代表的是其他用户的权限。
三、权限代表方式
权限可以分为两种方式来表示,第一种,ugo(user group other);第二种,number。
| 字母 | 含义 | 对应数字 | 对文件的影响 | 对目录的影响 |
| r(read) | 读取权限 | 4 | 具有读取文件内容的权限 | 具有浏览目录及子目录的权限 |
| w(write) | 写入权限 | 2 | 具有新增、修改文件内容的权限 | 具有增加和删除目录内文件的权限 |
| x(execute) | 执行权限 | 1 | 具有执行文件的权限 | 具有访问目录的内容权限(取决于文件的权限) |
| -(没有权限) | 没有权限 | 0 | 没有权限 | 没有权限 |
例:
ugo:
#给所有用户添加读写执行权限
~]# chmod a=rwx file.txt
~]# ll file.txt
-rwxrwxrwx 1 root root 0 Jan 24 10:25 file.txt
#取消所有用户的所有权限
~]# chmod a=-rwx file.txt
~]# ll file.txt
---------- 1 root root 0 Jan 24 10:25 file.txt
#给属主读写执行权限,给属组读写权限,给其他用户只读权限
~]# chmod u=rwx,g=rw-,o=r-- file.txt
~]# ll file.txt
-rwxrw-r-- 1 root root 0 Jan 24 10:25 file.txt
#给属组读写执行权限,其他用户读写权限
~]# chmod g=rwx,o=rw- file.txt
~]# ll file.txt
-rwxrwxrw- 1 root root 0 Jan 24 10:25 file.txt
number:
#给所有用户添加读写执行权限
~]# chmod 777 file.txt
~]# ll file.txt
-rwxrwxrwx 1 root root 0 Jan 24 10:25 file.txt
#取消所有用户的所有权限
~]# chmod 000 file.txt
~]# ll file.txt
---------- 1 root root 0 Jan 24 10:25 file.txt
#给属主读写执行权限,给属组读写权限,给其他用户只读权限
~]# chmod 764 file.txt
~]# ll file.txt
-rwxrw-r-- 1 root root 0 Jan 24 10:25 file.txt
#给属组读写执行权限,其他用户读写权限
~]# chmod 776 file.txt
~]# ll file.txt
-rwxrwxrw- 1 root root 0 Jan 24 10:25 file.txt四、常用权限
文件默认权限:644
目录默认权限:755
密码文件默认权限:600
日志文件默认权限:600
可执行文件默认权限:755
软链接文件默认权限:777
针对文件的权限:
rw: 能看文件,能编辑文件,不能执行,不能删除,不能移动,不能复制。
rx: 能看文件,不能编辑文件,能执行,不能删除,不能移动,不能复制。
rwx:能看文件,不能编辑文件,能执行,不能删除,不能移动,不能复制。针对目录的权限:
rx: 能进入目录,能查看目录下的文件,至于操作文件需要看文件本身的权限。
rwx:如果赋予了w权限,那么该目录下的文件可以复制/删除/移动/修改。五、属主和属组的变更(chown)
#语法
##同时修改属主和属组
chown [要修改的属主].[要修改的属组] [文件或目录]
或
chown [要修改的属主]:[要修改的属组] [文件或目录]
##仅修改属主
chown [要修改的属主] [文件或目录]
##仅修改属组
chown .[要修改的属组] [文件或目录]
#参数说明
-R 修改目录以及目录下的所有文件属主和属组
六、切换用户和提权
su & su -(切换用户)
su 命令是用切换用户使用的,普通用户于普通用户之间的用户是需要输入密码的,root 用户切换普通用户无需输入密码。su 和 su - 的区别就在于加载的环境变量不一样。
使用方法:
~]# su - [用户]sudo(提权)
当普通用户需要执行一些管理员操作的时候就需要用到 sudo 。
1.快速提权
直接将普通用户切换至wheel组中 (wheel组是默认拥有sudo权限的)
~]# usermod test -g wheel
~]# id test
uid=2002(test) gid=10(wheel) groups=10(wheel)2.手动提权
可使用 visudo 命令或者 vim /etd/sudoers (visudo有语法检测功能,输入错误无法保存退出)
#用户提权方式
root ALL=(ALL) ALL
root: 用户
ALL: 主机名
(ALL): 角色名
ALL: 所有权限
#用户组提权方式
%wheel ALL=(ALL) ALL
%: 组
wheel: 组名
ALL: 主机名
(ALL): 角色名
ALL: 所有权限七、特殊权限
1.suid(set uid)
当命令设定了 suid 特殊权限的话,无论是谁运行这个命令都会被暂时的定义为属主在运行这个命令。
例:
#语法:
~]# chmod u+s /usr/bin/cat #加特殊权限
~]# chmod u-s /usr/bin/cat #取消特殊权限
~]# chmod 4755 /usr/bin/cat #数字代表方式(4000)
#查看 file.txt 文件的权限及属主、属组
~]# ll /tmp/file.txt
-rw-r----- 1 root root 4 Jan 24 15:37 /tmp/file.txt
#创建一个 test 用户
~]# useradd test
#测试 test 用户是否可以查看 file.txt 文件
~]# su - test
~]$ cat /tmp/file.txt
cat: /tmp/file.txt: Permission denied(报错没有权限无法查看文件内容)
#为 cat 添加 suid 权限
~]# chmod u+s /usr/bin/cat
~]# ll /usr/bin/cat
-rwsr-xr-x. 1 root root 54080 Nov 17 2020 /usr/bin/cat
#再次测试
~]# su - test
~]$ cat /tmp/file.txt
123(本次测试没有可以查看文件内容)
#取消权限
~]# chmod u-s /usr/bin/cat2.sgid
sgid 通常是对目录操作的,将目录设置为 sgid 后,往后目录下创建的文件都与该目录属组保持一致。
例:
#语法:
~]# chmod g+s test #加特殊权限
~]# chmod g-s test #取消特殊权限
~]# chmod 2755 test #数字代表方式(2000)
#创建一个 test 目录
~]# mkdir test
#给 test 目录添加 sgid 权限
~]# chmod g+s test
~]# ll -d test
drwxr-sr-x 2 root root 6 Jan 24 16:17 test
#修改 test 的属组
~]# chown root:test test/
#创建在 test 目录下创建一个 1.txt 文件
~]# echo 123 > test/1.txt
~]# ll -d test/1.txt
-rw-r--r-- 1 root test 4 Jan 24 16:18 test/1.txt
#取消权限
~]# chmod g-s test
~]# echo 123 > test/2.txt
~]# ll -d test/2.txt
-rw-r--r-- 1 root root 4 Jan 24 16:24 test/2.txt3.sbit
如果一个目录设定了 sbit (粘滞位)那么谁都可以在这个目录下创建文件,但是删除文件只能是谁创建的文件谁删除文件。除此之外 root 和该目录的属组也可以删除该目录下的文件。
#语法:
~]# chmod o+t test #加特殊权限
~]# chmod o-t test #取消特殊权限
~]# chmod 1755 test #数字代表方式(1000)八、特殊属性
lsattr:查看文件的特殊属性
chattr:修改文件的特殊属性
#用法
chattr +[参数] [文件名称] 添加特殊属性
chattr -[参数] [文件名称] 取下特殊属性
#参数
+a 只能往文件中追加内容,不能做任何操作
+i 锁定文件,不能删除,不能追加,不能移动