权限问题
1、重要: r、w、x权限对文件和目录的意义:
补充:
(1)w(目录):可以创建或删除目录中任意一个空目录。如果被删除的目录不
是空目录且该目录没有w权限,则该目录无法被删除。
(2)建议权限设置:
1)目录:755(drwxr-xr-x)
2)文件:644(-rw-r--r--)
3)可执行文件:755(-rwxr-xr-x)
2、高级权限:
(1)高级权限的类型
suid 4
sgid 2
sticky 1 粘滞位
文件 目录
suid 执行的时候以所有者身份执行
sgid 继承属组
sticky 谁可以删除:root、文件的所有者、目录的所有者
(2)设置特殊权限
1)字符
chmod u+s file
#用户位的x位上设置
chmod g+s dir
#用户组位的x位上设置
chmod o+t dir
#其它用户位的x位上设置
2)数字
chmod 4755 file
chmod 2755 dir
chmod 1777 dir
(3)示例:
1)示例1:suid 普通用户通过suid提权 <针对文件>
在进程文件(二进制,可执行)上增加suid权限
[root@localhost ~]# chmod u+s /bin/cat
[root@localhost ~]# ls -l /bin/cat
-rwsr-xr-x. 1 root root 54080 4月 11 2018 /bin/cat
[alice@tianyun ~]$ cat /root/install.log
2)示例2:sticky 用户只能删除自己的文件 <针对目录>
[root@localhost ~]# mkdir /home/dir1
[root@localhost ~]# chmod 777 /home/dir1
[root@localhost ~]# chmod o+t /home/dir1
[root@localhost ~]# ll -d /home/dir1
drwxrwxrwt 2 root root 21 5月 25 23:36 /home/dir1
测试:user1在/home/dir1建立文件, user2尝试删除!
=================================================================
小知识:注意以下目录的正确权限,否则会导致程序不能正常运行
[root@wangcy ~]# ll -d /tmp /var/tmp/
drwxrwxrwt. 8 root root 105 5月 25 23:51 /tmp
drwxrwxrwt. 3 root root 18 5月 25 23:29 /var/tmp/
=================================================================
3)示例3:sgid 新建文件继承目录属组 <针对目录>
[root@localhost ~]# mkdir /home/hr
[root@localhost ~]# groupadd hr
[root@localhost ~]# chgrp hr /home/hr/
[root@localhost ~]# chmod g+s /home/hr
[root@localhost ~]# ll -d /home/hr/
drwxr-sr-x 2 root hr 33 5月 25 23:52 /home/hr/
[root@localhost ~]# touch /home/hr/file92
[root@localhost ~]# mkdir -p /home/hr/test
[root@localhost ~]# ll /home/hr/
drwxr-sr-x 2 root hr 0 5月 8 21:31 test
-rw-r--r-- 1 root hr 0 5月 26 23:53 file92
3、基本权限 ACL
(1)说明
文件权限管理之: ACL设置基本权限(r、w、x)
UGO设置基本权限: 只能一个用户,一个组和其他人
ACL 设置基本权限: r,w,x
(2)ACL基本用法
[root@localhost ~]# touch /home/test.txt
[root@localhost ~]# ll /home/test.txt
-rw-r--r-- 1 root root 0 6月 8 22:07 /home/test.txt
# 查看文件的acl
[root@localhost ~]# getfacl /home/test.txt
getfacl: Removing leading '/' from absolute path names
# file: home/test.txt
# owner: root
# group: root
user::rw-
group::r--
other::r--
1)增加用户lc权限
[root@localhost ~]# setfacl -m u:lc:rwx /home/test.txt
###############################################################
#增加用户jack权限
#[root@localhost ~]# setfacl -m u:jack:- /home/test.txt
#增加其他用户权限
#[root@localhost ~]# setfacl -m o::rw /home/test.txt
#增加组用户赋权
#[root@localhost ~]# setfacl -m g:hr:r /home/test.txt
###############################################################
2)查看
[root@localhost ~]# ll /home/test.txt
-rw-rwxr--+ 1 root root 0 6月 8 22:11 /home/test.txt
[root@localhost ~]# getfacl /home/test.txt
getfacl: Removing leading '/' from absolute path names
# file: home/test.txt
# owner: root
# group: root
user::rw-
user:lc:rwx
group::r--
mask::rwx
other::r--
3)删除
#删除用户lc的acl权限
[root@localhost ~]# setfacl -x u:lc /home/test.txt
#删除所有acl权限
[root@localhost ~]# setfacl -b /home/test.txt
4)查看帮助
[root@localhost ~]# man setfacl
#复制file1的ACL权限给file2
[root@localhost ~]# getfacl file1 | setfacl --set-file=file2
(3)ACL高级用法
1)mask:
用于临时降低用户或组(除属主和其他人)的权限
建议:为了方便管理文件权限,其他人的权限置为空
[root@localhost ~]# setfacl -m m::--- /home/file100.txt
2)default: 继承(默认)
要求:希望lc能够对/home以及以后在/home下新建的文件或目录有读、写、执行权限
思路:
步骤一: 赋予lc对/home读、写、执行权限
[root@localhost ~]# setfacl -m u:lc:rwx /home
步骤二: 赋予lc对以后在/home下新建的文件或目录有读、写、执行权限 (使lc的权限继承)
[root@localhost ~]# setfacl -m d:u:lc:rwx /home
#d 表示将权限放在/home目录的 default:user:lc:rwx 上,user:lc:rwx 被下一层文件和目录所继承,如果下一层是目录,
#目录上也会显示 default:user:lc:rwx ,然后以此类推的继承下去
说明:可用 -R 进行递归操作赋权
setfacl -R -x u:lc /home
#表示清除/home目录以及/home目录下所有文件和目录的 user:lc:rwx 的 acl 权限
setfacl -R -x d:u:lc /home
#表示清除/home目录以及/home目录下所有文件夹上默认继承给下层的 default:user:lc:rwx 的acl权限
setfacl -R -b /tools
#表示清除tools目录下所有文件和目录的上有关acl权限的所有设置
示例:
[root@centos7 ~]# getfacl /home/
getfacl: Removing leading '/' from absolute path names
# file: home/
# owner: root
# group: root
user::rwx
user:lc:rwx
group::r-x
mask::rwx
other::r-x
default:user::rwx
default:user:lc:rwx
default:group::r-x
default:mask::rwx
default:other::r-x
