Linux权限管理

权限概述

Linux系统一般将文件可存/取访问的身份分为3个类别:owner(拥有者)、group(和所有者同组的用户)、others(其他人,除了所有者,除了同组的用户以及除了超级管理员),且3种身份各有read(读)、write(写)、execute(执行)等权限。

权限介绍

什么是权限?
在多用户(可以不同时)计算机系统的管理中,权限是指某个特定的用户具有特定的系统资源使用权力,像是文件夹、特定系统指令的使用或存储量的限制。
在Linux中分别有读、写、执行权限:

读权限:
对于目录来说,读权限影响用户是否能够列出目录结构
  对于文件来说,读权限影响用户是否可以查看文件内容
ls

写权限:重点
  对目录来说,写权限影响用户是否可以在文件夹下“创建/删除/复制到/移动到”文档
cp, mv, rm, touch, mkdir
  对于文件来说,写权限影响用户是否可以编辑文件内容

执行权限:重点
对于目录来说:执行权限影响用户是否可以执行cd操作
  对于文件来说,特别脚本文件。执行权限影响文件是否可以运行。
cd

身份介绍

Owner身份(文件所有者,默认为文档的创建者)

由于Linux是多用户、多任务的操作系统,因此可能常常有多人同时在某台主机上工作,但每个人均可在主机上设置文件的权限,让其成为个人的“私密文件”,即个人所有者。因为设置了适当的文件权限,除本人(文件所有者)之外的用户无法查看文件内容。

Group身份(与文件所有者同组的用户)

与文件所有者同组最有用的功能就体现在多个团队在同一台主机上开发资源的时候。例如主机上有A、B两个团体(用户组),A中有a1,a2,a3三个成员,B中有b1,b2两个成员,这两个团体要共同完成一份报告F。由于设置了适当的权限,A、B团体中的成员都能互相修改对方的数据,但是团体C的成员则不能修改F的内容,甚至连查看的权限都没有。同时,团体的成员也能设置自己的私密文件,让团队的其它成员也读取不了文件数据。在Linux中,每个账户支持多个用户组。如用户a1、b1即可属于A用户组,也能属于B用户组【主组和附加组】。

Others身份(其他人,相对于所有者与同组用户)

这个是个相对概念。打个比方,大明、二明、小明一家三兄弟住在一间房,房产证上的登记者是大明(owner所有者),那么,大明一家就是一个用户组,这个组有大明、二明、小明三个成员;另外有个人叫张三,和他们三没有关系,那么这个张三就是其他人(others)了。同时,大明、二明、小明有各自的房间,三者虽然能自由进出各自的房间,但是小明不能让大明看到自己的情书、日记等,这就是文件所有者(用户)的意义。

Root用户(超级用户)

在Linux中,还有一个神一样存在的用户,这就是root用户,因为在所有用户中它拥有最大的权限 ,所以管理着普通用户。

Linux权限介绍

要设置权限,就需要知道文件的一些基本属性和权限的分配规则。在Linux中,ls命令常用来查看文件的属性,用于显示文件的文件名和相关属性。
标红的部分就是Linux的文档权限属性信息。
Linux中存在用户(owner)、用户组(group)和其他人(others)概念,各自有不同的权限,对于一个文档来说,其权限具体分配如下:

十位字符表示含义:
  第1位:表示文档类型,取值常见的有“d表示文件夹”、“-表示文件”、“l表示软连接”、“s表示套接字”、“c表示字符设备”、“b表示块状设备”等等;
  第2-4位:表示文档所有者的权限情况,第2位表示读权限的情况,取值有r、-;第3位表示写权限的情况,w表示可写,-表示不可写,第4位表示执行权限的情况,取值有x、-。
  第5-7位:表示与所有者同在一个组的用户的权限情况,第5位表示读权限的情况,取值有r、-;第6位表示写权限的情况,w表示可写,-表示不可写,第7位表示执行权限的情况,取值有x、-。
  第8-10位:表示除了上面的前2部分的用户之外的其他用户的权限情况,第8位表示读权限的情况,取值有r、-;第9位表示写权限的情况,w表示可写,-表示不可写,第10位表示执行权限的情况,取值有x、-。权限分配中,均是rwx的三个参数组合,且位置顺序不会变化。没有对应权限就用 – 代替。

rw-;属主有读写权限,没有执行权限
r--;属组只有读权限,没有执行权限
r--;其他人只有读权限

权限设置

语法:#chmod 选项 权限模式 文档
注意事项:
常用选项:
-R:递归设置权限 (当文档类型为文件夹的时候)
权限模式:就是该文档需要设置的权限信息
文档:可以是文件,也可以是文件夹,可以是相对路径也可以是绝对路径。
注意点:如果想要给文档设置权限,操作者要么是root用户,要么就是文档的所有者。

1、字母形式

给谁设置:
u:表示所有者身份owner(user)属主
g:表示给所有者同组用户设置(group)属组
o:表示others,给其他用户设置权限
a:表示all,给所有人(包含ugo部分)设置权限
如果在设置权限的时候不指定给谁设置,则默认给所有用户设置

权限字符:
r:读
w:写
x:表示执行
-:表示没有权限

权限分配方式:
+:表示给具体的用户新增权限(相对当前)
-:表示删除用户的权限(相对当前)
=:表示将权限设置成具体的值(注重结果)【赋值】

1.给属主权限
方法一
chmod u=rwx text
方法二
chmod u-rwx text
chmod u+rwx text

2.给text文件,其他人拥有执行权限
chmod o=x
取消权限
chmod o= text

3.属主拥有读写权限,属组拥有读权限,其他人有读权限
chmod u=rw,g=r,o=r text
-R 给目录下和目录所有文件加上权限
不加-R,只改变目录本身的权限
补充; 目录创建时默认权限为;777-022=755
普通文件创建时默认权限为;666-022=644
022=umask

2、数字形式

经常会在一些技术性的网页上看到类似于#chmod  777  a.txt  这样的一个权限,这种形式称之为数字形式权限(777)。
读:r        4
写:w       2
执行:x    1
没有任何权限:0   对应—
数字表示

例如:需要给anaconda-ks.cfg设置权限,权限要求所有者拥有全部权限,同组用户拥有读执行权限,其他用户只读。
所有者权限 = 全部权限 = 读 + 写 +执行 = 4 + 2 + 1 = 7
同组用户权限 = 读权限 + 执行权限 = 4 + 1 = 5
其他用户权限 = 读权限 = 4
最终得出的结果是754
例子; 为text文件,设置属主有读写执行权限,属组有读写,其他人有读
chmod 764 text

补充:
chmod =w text 只针对属主,其他不行

面试题:用超级管理员设置文档的权限命令是#chmod -R 731 aaa,请问这个命令有没有什么不合理的地方?
所有者 = 7 = 4 + 2 + 1 = 读 + 写 + 执行
同组用户 = 3 = 2 + 1 = 写 + 执行
其他用户 = 1 = 执行
问题在权限731中3表示写+执行权限,但是写又不必须需要能打开之后才可以写,因此必须需要具备读权限,因此权限不合理。以后建议各位在设置权限的时候不要设置这种“奇葩权限”。
单独出现2、3的权限数字一般都是有问题的权限

属主和属组设置

属主:所属的用户(文件的主人),文档所有者
属组:所属的用户组
前面的那个root就是属主
后面的那个root就是属组
这两项信息在文档创建的时候会使用创建者的信息(用户名放在前面的root、用户所属的主组名称放在后面的root)。
之所以需要设置这个:如果有时候去删除某个用户,则该用户对应的文档的属主和属组信息就需要去修改(类似离职之前的工作交接)。

1、chown

作用:更改文档的所属用户(change owner)
语法:#chown  -R  新的username 文档路径
-R:表示选项  文件不需要-R
目录需要加-R
如果你要对目录进行操作,加参数  -R

案例****:
chown user:group filename   比如:chown hr:san a.txt  把文件的属主和属组改为hr,san
chown user filename  比如:chown san a.txt  把文件的属主改为san用户
chown :group filename  比如: chown :miao a.txt   把文件的属组改为miao这个组
chown user: filename 比如:chown san: a.txt  自动继承这个用户所有的组
chgrp hr filename 比如: chgrp hr f.txt
-R :递归(目录下的所有内容都更改,否则只修改目录)

属主和属组都换成root
chown root : text
chown root :root text
chown root .root text

文件的特殊权限

suid  sgid和文件扩展权限ACL

其实文件与目录设置不止这些,还有所谓的特殊权限。由于特殊权限会拥有一些“特权”.
特殊权限:suid sgid

1、SUID(set uid设置用户ID):限定:只能设置在二进制可执行程序上面。对目录设置无效
功能:程序运行时的权限从执行者变更成程序所有者的权限
测试:

[root@ken ~]# chmod u+s `which cat`
[root@ken ~]# su – ken
Last login: Fri May 10 11:29:52 CST 2019 on pts/1
[ken@ken ~]$ cat /etc/shadow
root:$6$aeEfcI9h$3pgIzTHQyVi5ChkTCzxFdzYsQKGs1Ey/.CoYRseAfLV
W1Jq0TFsLyqB4kglKCFLXauml49Hla9jOmGbSMDOQc0:17969:0:99999:7:::
bin:*:17632:0:99999:7:::
daemon:*:17632:0:99999:7:::

注意:其他人需要拥有执行权限

2、SGID:限定:既可以给二进制可执行程序设置,也可以对目录设置
功能:在设置了SGID权限的目录下建立文件时,新创建的文件的所属组会,继承上级目录的所属组
| SUID | SGID |
| u+s或u=4 | g+s或g=2 |
SUID属性一般用在可执行文件上,当用户执行该文件时,会临时拥有该执行文件的所有者权限。使用”ls -l” 或者”ll” 命令浏览文件时,如果可执行文件所有者权限的第三位是一个小写的”s”,就表明该执行文件拥有SUID属性。

SGID

限定:既可以给二进制可执行程序设置,也可以给目录设置。
功能:在设置了SGID权限的目录下建立文件时,新创建的文件的所属组会继承上级目录的权限。
测试:

[root@ken ~]# chmod g+s test
[root@ken ~]# ll
total 0
drwxr-sr-x 2 root root 6 May 10 11:22 test
[root@ken ~]# chown :ken test
[root@ken ~]# useradd ken1
[root@ken ~]# su – ken1cho
[ken1@ken ~]$ cd /root/test
[ken1@ken test]$ mdkir test1
-bash: mdkir: command not found
[ken1@ken test]$ mkdir test1
mkdir: cannot create directory ‘test1’: Permission denied
[ken1@ken test]$ cd ..
[ken1@ken root]$ ls -ld test
drwxr-sr-x 2 root ken 6 May 10 11:22 test
[ken1@ken root]$ exit
logout
[root@ken ~]# chmod -R o+w test
[root@ken ~]# su – ken1
Last login: Fri May 10 11:34:56 CST 2019 on pts/1
[ken1@ken ~]$
[ken1@ken ~]$ cd /root/test
[ken1@ken test]$ mkdir tes1
[ken1@ken test]$ ls -l
total 0
drwxrwsr-x 2 ken1 ken 6 May 10 11:36 tes1

SBIT

对于设置sbit权限的文件,用户只能删除自己创建的文件,无法删除其他用户的文件
对目录/tmp添加sbit权限,删除文件的时候显示拒绝操作
测试:

[root@ken tmp]# su – ken
Last login: Fri May 10 11:30:34 CST 2019 on pts/1
[ken@ken ~]$ touch /tmp/ken
[ken@ken ~]$ su – ken1
Password:
Last login: Fri May 10 11:35:55 CST 2019 on pts/1
[ken1@ken ~]$ touch /tmp/ken1
[ken1@ken ~]$ su – ken
Password:
Last login: Fri May 10 11:39:09 CST 2019 on pts/1
r[ken@ken ~]$ rm -rf /tmp/ken1
rm: cannot remove ‘/tmp/ken1’: Operation not permitted
[ken@ken ~]$ ls -ld /tmp
drwxrwxrwt. 8 root root 193 May 10 11:39 /tmp

[root@ken ~]# chmod o-t /tmp
[root@ken ~]# su – ken
Last login: Fri May 10 11:39:39 CST 2019 on pts/1
[ken@ken ~]$ rm -rf /tmp/ken1
[ken@ken ~]$ ls /tmp
ken  systemd-private-78aa908103c244d7b64c0fbbde1fea0e-httpd.service-h8aYd8

8、文件扩展权限ACL

扩展ACL  :access control list
[root@ken ~]# setfacl -m u:ken:r ken

查看权限:
[root@ken ~]# getfacl ken
file: ken
owner: root
group: root
user::rw-
user:ken:r–
group::r–
mask::r–
other::rw-
测试:

[root@ken ~]# su - ken
Last login: Fri May 10 11:43:19 CST 2019 on pts/1
[ken@ken ~]$ echo “123” >> ken
[ken@ken ~]$ echo “123” >> /root/ken
-bash: /root/ken: Permission denied
[ken@ken ~]$ cat /root/ken
123
123

取消权限:

[root@ken ~]# setfacl -b ken
[root@ken ~]# getfacl ken
# file: ken
# owner: root
# group: root
user::rw-
group::r–
other::rw-
[root@ken ~]# su - ken
Last login: Fri May 10 11:45:42 CST 2019 on pts/1
[ken@ken ~]$ echo “123” >> /root/ken
[ken@ken ~]$ cat /root/ken
123
123

sudo用法

visudo打开配置
跳转到92行处修改
root ALL=(ALL) ALL
root: 允许执行命令的用户
ALL: 可以从那台主机登录
(ALL): 以属主(root)身份运行
ALL: 可执行的命令

实例:
ken ALL=(ALL) /usr/sbin/useradd
表示ken可以在任何主机之上以root身份执行useradd命令

测试:

[root@ken ~]# su – ken
Last login: Fri May 10 11:49:03 CST 2019 on pts/1
[ken@ken ~]$ useradd kenken-bash: /usr/sbin/useradd: Permission denied
[ken@ken ~]$ sudo useradd kenken
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:
1) Respect the privacy of others.
2) Think before you type.
3) With great power comes great responsibility.
[sudo] password for ken:
[ken@ken ~]$ id kenken
uid=1003(kenken) gid=1003(kenken) groups=1003(kenken)
posted @ 2019-07-03 15:04  BeiteJohn  阅读(252)  评论(0编辑  收藏  举报