用户权限管理之二
2020.10.29星期四 正式班D18
目录
10.2 用户权限管理之基本权限rwx管理
10.2.1 基本概念
-
权限的类型
r –> 4
w –>2
x –>1
-
权限的归类
u –>属主
g –>属组
o –>其他人
-
文件类型
– # 文本wendang
d # 目录
b # 设备block块
c # 字符设备
s # 套接字文件
l # 软链接
10.2.2 设置
-
chmod权限修改
加减法
[root@ccc test]# ll c.txt-rw-r--r-- 1 root root 158 10月 21 22:52 c.txt[root@ccc test]# chmod u+x,g+wx,o-r c.txt[root@ccc test]# ll c.txt-rwxrwx--- 1 root root 158 10月 21 22:52 c.txt
赋值
[root@ccc test]# ll b.txt-rw-r--r-- 1 root root 0 10月 21 22:46 b.txt[root@ccc test]# chmod u=rw,g=wx,o=x b.txt[root@ccc test]# ll b.txt-rw--wx--x 1 root root 0 10月 21 22:46 b.txt
数字
[root@ccc test]# ll a.txt-rw-r--r-- 1 root root 158 10月 21 22:50 a.txt[root@ccc test]# chmod 777 a.txt[root@ccc test]# ll a.txt-rwxrwxrwx 1 root root 158 10月 21 22:50 a.txt
-R递归修改
[root@ccc ~]# chmod o=x -R /a[root@ccc ~]# ll -d /adrwxr-x--x 3 root root 15 10月 29 15:21 /a[root@ccc ~]# ll -d /a/b/drwxr-x--x 3 root root 15 10月 29 15:21 /a/b/[root@ccc ~]# ll -d /a/b/c/drwxr-x--x 2 root root 20 10月 29 15:21 /a/b/c/[root@ccc ~]# ll /a/b/c/111.py-rw-r----x 1 root root 23 10月 29 15:20 /a/b/c/111.py
-
chown用户与组修改
更改文件属性
[root@ccc ~]# chown cjx. /test/a.txt # 只改属主时,属组随之一起改动[root@ccc ~]# ll /test/a.txt-rwxrwxrwx 1 cjx 5200 158 10月 21 22:50 /test/a.txt[root@ccc ~]# chown .zzz /test/b.txt # 只改属组,属主不改变[root@ccc ~]# ll /test/b.txt-rw--wx--x 1 root zzz 0 10月 21 22:46 /test/b.txt
更改文件夹属性(-R递归)
[root@ccc ~]# chown -R cjx.5200 /test/[root@ccc ~]# ll -d /test/drwxr-xr-x 2 cjx 5200 99 10月 27 09:42 /test/[root@ccc ~]# ll /test/总用量 45824-rwxrwxrwx 1 cjx 5200 158 10月 21 22:50 a.txt-rw-r--r-- 1 cjx 5200 46902355 10月 27 09:42 bak.zip-rw--wx--x 1 cjx 5200 0 10月 21 22:46 b.txt-rwxrwx--- 1 cjx 5200 158 10月 21 22:52 c.txt-rw-r--r-- 1 cjx 5200 158 10月 21 22:52 d.txt-rw-r--r-- 1 cjx 5200 158 10月 21 22:52 e.txt-rw-r--r-- 1 cjx 5200 158 10月 21 22:49 hosts
10.2.3 权限的作用(文件、文件夹)
-
针对文件(ll 文件名)
r:读取文件的内容
w:修改文件内容
x:可以把文件当成一个命令/程序运行,解释型的脚本程序还需要文件的r程序
-
针对目录(ll -d 文件名)
r:可以浏览该目录下的子目录名和子文件名字
w:创建、删除、移动文件
x:可以进去该目录(只要我们要操作目录下的内容,一定要对该目录有x权限)
-
查看文件内容的权限
[root@ccc ~]# mkdir -p /a/b/c[root@ccc ~]# touch /a/b/c/d.py[root@ccc ~]# vim /a/b/c/d.py[root@ccc ~]# ll /a/b/c/d.py-rw-r--r-- 1 root root 0 10月 29 11:34 /a/b/c/d.py[root@ccc ~]# chmod o=- /a/b/c/d.py[root@ccc ~]# su - zzz -c "cat /a/b/c/d.py"/usr/bin/id: cannot find name for group ID 5200cat: /a/b/c/d.py: 权限不够[root@ccc ~]# chmod o=r /a/b/c/d.py[root@ccc ~]# su - zzz -c "cat /a/b/c/d.py"qqqqq
-
想操作文件或文件夹必须要有对沿途所有文件夹的x执行权限
想要在文件夹下添加文件要有w写权限和x执行权限
想浏览文件夹下内容必须要有r读权限和x执行权限
想编辑文件必须对沿途文件夹有x,对该文件有w或r
-
对文件的执行权限
对解释性语言的脚本,不仅需要x权限,还需要r权限
[root@ccc ~]# mkdir -p /a/b/c[root@ccc ~]# vim /a/b/c/111.py[root@ccc ~]# ll /a/b/c/111.py-rw-r--r-- 1 root root 23 10月 29 15:20 /a/b/c/111.py[root@ccc ~]# chmod o=x -R /a[root@ccc ~]# ll -d /adrwxr-x--x 3 root root 15 10月 29 15:21 /a[root@ccc ~]# ll -d /a/b/drwxr-x--x 3 root root 15 10月 29 15:21 /a/b/[root@ccc ~]# ll -d /a/b/c/drwxr-x--x 2 root root 20 10月 29 15:21 /a/b/c/[root@ccc ~]# ll /a/b/c/111.py # 此时仅有x权限-rw-r----x 1 root root 23 10月 29 15:20 /a/b/c/111.py[root@ccc ~]# su - zzz -c "/a/b/c/111.py"bash: /a/b/c/111.py: 权限不够[root@ccc ~]# chmod o+r /a/b/c/111.py # 此时其他用户权限为rx[root@ccc ~]# su - zzz -c "/a/b/c/111.py"nice666
10.3 用户权限管理之特殊权限
10.3.1 SUID
-
普通用户不是root也不属于root组,所以他对/etc/shadow文件没有任何权限
[root@ccc ~]# ll /etc/shadow---------- 1 root root 666 10月 28 21:22 /etc/shadow
-
但是普通用户可以用passwd命令修改密码,而修改密码都是在修改/etc/shadow文件
[root@ccc ~]# ll `which passwd`-rwsr-xr-x. 1 root root 27856 4月 1 2020 /usr/bin/passwd
-
原因是passwd有一个s权限
SUID权限仅对二进制可执行的文件有效
若执行者对该二进制可执行文件有x权限,执行者将具有该文件的所有者权限
本执行权限仅在执行该二进制可执行文件的过程有效
-
示例
[root@ccc ~]# su - zzz -c "cat /etc/shadow"cat: /etc/shadow: 权限不够[root@ccc ~]# ll `which cat`-rwxr-xr-x. 1 root root 54080 8月 20 2019 /usr/bin/cat[root@ccc ~]# chmod u+s `which cat` # 或者chmod 4755 `which cat`来增加s权限[root@ccc ~]# ll `which cat`-rwsr-xr-x. 1 root root 54080 8月 20 2019 /usr/bin/cat[root@ccc ~]# su - zzz -c "cat /etc/shadow"root:$6$8Pjcu5JO$PbL98SMmUWvlEFu7iRBPVgKtRl3mRJpT3kA0nPuAkSkbKGKQOl1fVA76gW/4Py887etb/U5X8EenYm/H5DG7m1:18554:0:99999:7:::bin:*:18353:0:99999:7:::daemon:*:18353:0:99999:7:::...zzz:!!:18561:0:99999:7:::cjx:$1$cjxcjxcj$e9/G6tp0yKw7gcywyOTSZ/:18561:0:99999:7:::[root@ccc ~]# chmod 755 `which cat` # 或者chmod u-s `which cat`来取消s权限[root@ccc ~]# ll /usr/bin/cat-rwxr-xr-x. 1 root root 54080 8月 20 2019 /usr/bin/cat
↓↓↓↓↓↓↓↓↓↓没有x权限,光有S权限也没用(注意此时为S非s)↓↓↓↓↓↓↓↓↓↓
# 没有x权限,光有S权限也没用(注意此时为S非s)[root@ccc ~]# ll /usr/bin/cat-rwxr-xr-x. 1 root root 54080 8月 20 2019 /usr/bin/cat[root@ccc ~]# chmod a-x /usr/bin/cat # a代表所有用户,此时取消所有用户的x执行权限[root@ccc ~]# ll !$ll /usr/bin/cat-rw-r--r--. 1 root root 54080 8月 20 2019 /usr/bin/cat[root@ccc ~]# chmod u+s /usr/bin/cat[root@ccc ~]# ll !$ll /usr/bin/cat-rwSr--r--. 1 root root 54080 8月 20 2019 /usr/bin/cat[root@ccc ~]# su - zzz -c "cat /etc/shadow"-bash: /bin/cat: 权限不够[root@ccc ~]# chmod a+x /usr/bin/cat # 此时加上所有用户的x执行权限[root@ccc ~]# ll !$ll /usr/bin/cat-rwsr-xr-x. 1 root root 54080 8月 20 2019 /usr/bin/cat[root@ccc ~]# su - zzz -c "cat /etc/shadow"root:$6$8Pjcu5JO$PbL98SMmUWvlEFu7iRBPVgKtRl3mRJpT3kA0nPuAkSkbKGKQOl1fVA76gW/4Py887etb/U5X8EenYm/H5DG7m1:18554:0:99999:7:::bin:*:18353:0:99999:7:::...zzz:!!:18561:0:99999:7:::cjx:$1$cjxcjxcj$e9/G6tp0yKw7gcywyOTSZ/:18561:0:99999:7:::[root@ccc ~]# chmod 755 /usr/bin/cat # 还原环境[root@ccc ~]# ll !$ll /usr/bin/cat-rwxr-xr-x. 1 root root 54080 8月 20 2019 /usr/bin/cat
10.3.2 SGID
-
普通做法
当SGID作用于普通文件时于SUID类似,在执行该文件时用户获得该文件所属组的权限
-
重要用法
1、当一个用户对某一目录有写和执行权限时,该用户就可在该目录下建立文件
2、如果该目录同时用SGID修饰,则该用户在此目录下建立的文件都属于这个目录所在的组
[root@ccc ~]# mkdir /test[root@ccc ~]# touch /test/a.py[root@ccc ~]# echo 666 >> /test/a.py[root@ccc ~]# chmod 000 /test/a.py[root@ccc ~]# ll /test/a.py---------- 1 root root 0 10月 29 19:50 /test/a.py[root@ccc ~]# ll /usr/bin/cat-rwxr-xr-x. 1 root root 54080 8月 20 2019 /usr/bin/cat[root@ccc ~]# chmod g+s /usr/bin/cat[root@ccc ~]# ll -d !$ll -d /usr/bin/cat-rwxr-sr-x. 1 root root 54080 8月 20 2019 /usr/bin/cat[root@ccc ~]# su - zzz -c "cat /test/a.py"cat: /test/a.py: 权限不够[root@ccc ~]# chmod g+r /test/a.py[root@ccc ~]# ll /test/a.py----r----- 1 root root 0 10月 29 19:50 /test/a.py[root@ccc ~]# su - zzz -c "cat /test/a.py"666
[root@ccc ~]# mkdir /test[root@ccc ~]# ll -d /test/drwxr-xr-x 2 root root 6 10月 29 19:31 /test/[root@ccc ~]# chmod g+s /test/ # 给/test目录的组加上s权限[root@ccc ~]# groupadd it[root@ccc ~]# chown .it /test/ # 为了区分,将/test目录的组改为it[root@ccc ~]# ll -d /test/drwxr-sr-x 2 root it 6 10月 29 19:31 /test/[root@ccc ~]# su - zzz -c "touch /test/a.py"touch: 无法创建"/test/a.py": 权限不够 # 要在目录下创建文件必须对该目录有w写权限[root@ccc ~]# chmod o+w /test/[root@ccc ~]# su - zzz -c "touch /test/a.py"[root@ccc ~]# touch /test/b.py[root@ccc ~]# ll /test总用量 0-rw-rw-r-- 1 zzz it 0 10月 29 19:36 a.py-rw-r--r-- 1 root it 0 10月 29 19:37 b.py# 在目录被SGID修饰后,所有用户在此目录下创建的文件的组都属于这个目录所在的组
10.3.3 SBIT(Sticky)
-
目前仅对目录有效,用来阻止非文件的所有者删除文件,常见的就是/tmp目录
[root@ccc ~]# ll -d /tmp/drwxrwxrwt. 28 root root 4096 10月 29 09:09 /tmp/
-
权限信息最后一位t表明目录被设置SBIT权限,表明自己和root才有权力删除,主要作用于共享文件夹。
-
用o+t或1755增加权限
===================目录未设置SBIT权限,任意用户都可删除目录下文件======================[root@ccc ~]# mkdir /share[root@ccc ~]# chmod 777 /share/[root@ccc ~]# useradd user01[root@ccc ~]# useradd user02[root@ccc ~]# useradd user03[root@ccc ~]# useradd user04[root@ccc ~]# su - user01 -c "touch /share/1.py"[root@ccc ~]# su - user02 -c "touch /share/2.py"[root@ccc ~]# su - user03 -c "touch /share/3.py"[root@ccc ~]# su - user04 -c "touch /share/4.py"[root@ccc ~]# ll /share/总用量 0-rw-rw-r-- 1 user01 user01 0 10月 29 20:07 1.py-rw-rw-r-- 1 user02 user02 0 10月 29 20:08 2.py-rw-rw-r-- 1 user03 user03 0 10月 29 20:08 3.py-rw-rw-r-- 1 user04 user04 0 10月 29 20:08 4.py[root@ccc ~]# su - user04上一次登录:四 10月 29 20:08:17 CST 2020pts/1 上[user04@ccc ~]$ rm -rf /share/1.py[user04@ccc ~]$ rm -rf /share/2.py[user04@ccc ~]$ rm -rf /share/3.py[user04@ccc ~]$ rm -rf /share/4.py[user04@ccc ~]$ exit登出[root@ccc ~]# ll /share/总用量 0===================目录设置SBIT权限,用户只可删除自己创建的文件=======================[root@ccc ~]# chmod o+t /share/[root@ccc ~]# ll -d /share/drwxrwxrwt 2 root root 6 10月 29 20:09 /share/[root@ccc ~]# su - user01 -c "touch /share/1.py"[root@ccc ~]# su - user02 -c "touch /share/2.py"^[[A[root@ccc su - user03 -c "touch /share/3.py"[root@ccc ~]# su - user04 -c "touch /share/4.py"[root@ccc ~]# su - user04上一次登录:四 10月 29 20:14:57 CST 2020pts/1 上[user04@ccc ~]$ rm -rf /share/1.pyrm: 无法删除"/share/1.py": 不允许的操作 # 不能删除其他用户创建的文件[user04@ccc ~]$ rm -rf /share/2.pyrm: 无法删除"/share/2.py": 不允许的操作[user04@ccc ~]$ rm -rf /share/3.pyrm: 无法删除"/share/3.py": 不允许的操作[user04@ccc ~]$ rm -rf /share/4.py # 只能删除自己创建的文件[user04@ccc ~]$ exit登出[root@ccc ~]# rm -rf /share/* # root用户可以删除无论谁创建的一切文件[root@ccc ~]# ll /share/总用量 0================================必须要有x执行权限=================================[root@ccc ~]# chmod o+t /share/[root@ccc ~]# chmod o-x /share/[root@ccc ~]# ll -d /share/drwxrwxrwT 2 root root 6 10月 29 20:16 /share/[root@ccc ~]# su - user01 -c "touch /share/1.py"touch: 无法创建"/share/1.py": 权限不够
10.4 用户权限管理之umask
10.4.1 umask作用
-
新建文件、目录的默认权限都是由umask决定的
UID>199并且属主与属组相等的用户下,umask:0002
①文件664
②目录775
其他用户,如root用户,umask:0022
①文件644
②目录755
-
Linux中文件默认权限666,目录默认权限777
-
文件权限计算方法:偶数位直接相减,奇数位相减后加1
文件起始权限值 umask值 操作 计算后文件权限 666 022(都是偶数) 相减 644 666 033(都是奇数) 相减,奇数位相减后+1 644 666 325(有奇数和偶数) 相减,奇数位相减后+1 442 -
目录权限计算方法:直接相减
文件起始权限值 umask值 操作 计算后文件权限 777 022 相减 755 777 033 相减 744 777 325 相减 452 -
umask设置的值越小,权限越大,要慎用
-
示例
[root@ccc ~]# umask 777[root@ccc ~]# umask0777[root@ccc ~]# touch 1.py[root@ccc ~]# mkdir 1[root@ccc ~]# ll 1.py---------- 1 root root 0 10月 29 20:39 1.py[root@ccc ~]# ll -d 1d--------- 2 root root 6 10月 29 20:39 1
10.4.2 设置umask
-
临时设置
[root@ccc ~]# umask 777[root@ccc ~]# umask0777
-
永久设置
[root@ccc ~]# vim /etc/profileif [ $UID -gt 199 ] && [ "`/usr/bin/id -gn`" = "`/usr/bin/id -un`" ]; thenumask 002 # 表示uid>=199的默认umask值,普通用户elseumask 022 # 表示uid<199的默认umask值,表示rootfi
版权声明:本文为caojiaxin原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。