正式班D18
2020.10.29星期四 正式班D18
目录
10.2 用户权限管理之基本权限rwx管理
10.2.1 基本概念
-
权限的类型
r --> 4
w -->2
x -->1
-
权限的归类
u -->属主
g -->属组
o -->其他人
-
文件类型
- # 文本wendang
d # 目录
b # 设备block块
c # 字符设备
s # 套接字文件
l # 软链接
10.2.2 设置
-
chmod权限修改
加减法
[root@ccc test]# ll c.txt -rw-r--r-- 1 root root 158 10月 21 22:52 c.txt [root@ccc test]# chmod u+x,g+wx,o-r c.txt [root@ccc test]# ll c.txt -rwxrwx--- 1 root root 158 10月 21 22:52 c.txt赋值
[root@ccc test]# ll b.txt -rw-r--r-- 1 root root 0 10月 21 22:46 b.txt [root@ccc test]# chmod u=rw,g=wx,o=x b.txt [root@ccc test]# ll b.txt -rw--wx--x 1 root root 0 10月 21 22:46 b.txt数字
[root@ccc test]# ll a.txt -rw-r--r-- 1 root root 158 10月 21 22:50 a.txt [root@ccc test]# chmod 777 a.txt [root@ccc test]# ll a.txt -rwxrwxrwx 1 root root 158 10月 21 22:50 a.txt-R递归修改
[root@ccc ~]# chmod o=x -R /a [root@ccc ~]# ll -d /a drwxr-x--x 3 root root 15 10月 29 15:21 /a [root@ccc ~]# ll -d /a/b/ drwxr-x--x 3 root root 15 10月 29 15:21 /a/b/ [root@ccc ~]# ll -d /a/b/c/ drwxr-x--x 2 root root 20 10月 29 15:21 /a/b/c/ [root@ccc ~]# ll /a/b/c/111.py -rw-r----x 1 root root 23 10月 29 15:20 /a/b/c/111.py -
chown用户与组修改
更改文件属性
[root@ccc ~]# chown cjx. /test/a.txt # 只改属主时,属组随之一起改动 [root@ccc ~]# ll /test/a.txt -rwxrwxrwx 1 cjx 5200 158 10月 21 22:50 /test/a.txt [root@ccc ~]# chown .zzz /test/b.txt # 只改属组,属主不改变 [root@ccc ~]# ll /test/b.txt -rw--wx--x 1 root zzz 0 10月 21 22:46 /test/b.txt更改文件夹属性(-R递归)
[root@ccc ~]# chown -R cjx.5200 /test/ [root@ccc ~]# ll -d /test/ drwxr-xr-x 2 cjx 5200 99 10月 27 09:42 /test/ [root@ccc ~]# ll /test/ 总用量 45824 -rwxrwxrwx 1 cjx 5200 158 10月 21 22:50 a.txt -rw-r--r-- 1 cjx 5200 46902355 10月 27 09:42 bak.zip -rw--wx--x 1 cjx 5200 0 10月 21 22:46 b.txt -rwxrwx--- 1 cjx 5200 158 10月 21 22:52 c.txt -rw-r--r-- 1 cjx 5200 158 10月 21 22:52 d.txt -rw-r--r-- 1 cjx 5200 158 10月 21 22:52 e.txt -rw-r--r-- 1 cjx 5200 158 10月 21 22:49 hosts
10.2.3 权限的作用(文件、文件夹)
-
针对文件(ll 文件名)
r:读取文件的内容
w:修改文件内容
x:可以把文件当成一个命令/程序运行,解释型的脚本程序还需要文件的r程序
-
针对目录(ll -d 文件名)
r:可以浏览该目录下的子目录名和子文件名字
w:创建、删除、移动文件
x:可以进去该目录(只要我们要操作目录下的内容,一定要对该目录有x权限)
-
查看文件内容的权限
[root@ccc ~]# mkdir -p /a/b/c [root@ccc ~]# touch /a/b/c/d.py [root@ccc ~]# vim /a/b/c/d.py [root@ccc ~]# ll /a/b/c/d.py -rw-r--r-- 1 root root 0 10月 29 11:34 /a/b/c/d.py [root@ccc ~]# chmod o=- /a/b/c/d.py [root@ccc ~]# su - zzz -c "cat /a/b/c/d.py" /usr/bin/id: cannot find name for group ID 5200 cat: /a/b/c/d.py: 权限不够 [root@ccc ~]# chmod o=r /a/b/c/d.py [root@ccc ~]# su - zzz -c "cat /a/b/c/d.py" qqqqq -
想操作文件或文件夹必须要有对沿途所有文件夹的x执行权限
想要在文件夹下添加文件要有w写权限和x执行权限
想浏览文件夹下内容必须要有r读权限和x执行权限
想编辑文件必须对沿途文件夹有x,对该文件有w或r
-
对文件的执行权限
对解释性语言的脚本,不仅需要x权限,还需要r权限
[root@ccc ~]# mkdir -p /a/b/c [root@ccc ~]# vim /a/b/c/111.py [root@ccc ~]# ll /a/b/c/111.py -rw-r--r-- 1 root root 23 10月 29 15:20 /a/b/c/111.py [root@ccc ~]# chmod o=x -R /a [root@ccc ~]# ll -d /a drwxr-x--x 3 root root 15 10月 29 15:21 /a [root@ccc ~]# ll -d /a/b/ drwxr-x--x 3 root root 15 10月 29 15:21 /a/b/ [root@ccc ~]# ll -d /a/b/c/ drwxr-x--x 2 root root 20 10月 29 15:21 /a/b/c/ [root@ccc ~]# ll /a/b/c/111.py # 此时仅有x权限 -rw-r----x 1 root root 23 10月 29 15:20 /a/b/c/111.py [root@ccc ~]# su - zzz -c "/a/b/c/111.py" bash: /a/b/c/111.py: 权限不够 [root@ccc ~]# chmod o+r /a/b/c/111.py # 此时其他用户权限为rx [root@ccc ~]# su - zzz -c "/a/b/c/111.py" nice 666
10.3 用户权限管理之特殊权限
10.3.1 SUID
-
普通用户不是root也不属于root组,所以他对/etc/shadow文件没有任何权限
[root@ccc ~]# ll /etc/shadow ---------- 1 root root 666 10月 28 21:22 /etc/shadow -
但是普通用户可以用passwd命令修改密码,而修改密码都是在修改/etc/shadow文件
[root@ccc ~]# ll `which passwd` -rwsr-xr-x. 1 root root 27856 4月 1 2020 /usr/bin/passwd -
原因是passwd有一个s权限
SUID权限仅对二进制可执行的文件有效
若执行者对该二进制可执行文件有x权限,执行者将具有该文件的所有者权限
本执行权限仅在执行该二进制可执行文件的过程有效
-
示例
[root@ccc ~]# su - zzz -c "cat /etc/shadow" cat: /etc/shadow: 权限不够 [root@ccc ~]# ll `which cat` -rwxr-xr-x. 1 root root 54080 8月 20 2019 /usr/bin/cat [root@ccc ~]# chmod u+s `which cat` # 或者chmod 4755 `which cat`来增加s权限 [root@ccc ~]# ll `which cat` -rwsr-xr-x. 1 root root 54080 8月 20 2019 /usr/bin/cat [root@ccc ~]# su - zzz -c "cat /etc/shadow" root:$6$8Pjcu5JO$PbL98SMmUWvlEFu7iRBPVgKtRl3mRJpT3kA0nPuAkSkbKGKQOl1fVA76gW/4Py887etb/U5X8EenYm/H5DG7m1:18554:0:99999:7::: bin:*:18353:0:99999:7::: daemon:*:18353:0:99999:7::: ... zzz:!!:18561:0:99999:7::: cjx:$1$cjxcjxcj$e9/G6tp0yKw7gcywyOTSZ/:18561:0:99999:7::: [root@ccc ~]# chmod 755 `which cat` # 或者chmod u-s `which cat`来取消s权限 [root@ccc ~]# ll /usr/bin/cat -rwxr-xr-x. 1 root root 54080 8月 20 2019 /usr/bin/cat↓↓↓↓↓↓↓↓↓↓没有x权限,光有S权限也没用(注意此时为S非s)↓↓↓↓↓↓↓↓↓↓
# 没有x权限,光有S权限也没用(注意此时为S非s) [root@ccc ~]# ll /usr/bin/cat -rwxr-xr-x. 1 root root 54080 8月 20 2019 /usr/bin/cat [root@ccc ~]# chmod a-x /usr/bin/cat # a代表所有用户,此时取消所有用户的x执行权限 [root@ccc ~]# ll !$ ll /usr/bin/cat -rw-r--r--. 1 root root 54080 8月 20 2019 /usr/bin/cat [root@ccc ~]# chmod u+s /usr/bin/cat [root@ccc ~]# ll !$ ll /usr/bin/cat -rwSr--r--. 1 root root 54080 8月 20 2019 /usr/bin/cat [root@ccc ~]# su - zzz -c "cat /etc/shadow" -bash: /bin/cat: 权限不够 [root@ccc ~]# chmod a+x /usr/bin/cat # 此时加上所有用户的x执行权限 [root@ccc ~]# ll !$ ll /usr/bin/cat -rwsr-xr-x. 1 root root 54080 8月 20 2019 /usr/bin/cat [root@ccc ~]# su - zzz -c "cat /etc/shadow" root:$6$8Pjcu5JO$PbL98SMmUWvlEFu7iRBPVgKtRl3mRJpT3kA0nPuAkSkbKGKQOl1fVA76gW/4Py887etb/U5X8EenYm/H5DG7m1:18554:0:99999:7::: bin:*:18353:0:99999:7::: ... zzz:!!:18561:0:99999:7::: cjx:$1$cjxcjxcj$e9/G6tp0yKw7gcywyOTSZ/:18561:0:99999:7::: [root@ccc ~]# chmod 755 /usr/bin/cat # 还原环境 [root@ccc ~]# ll !$ ll /usr/bin/cat -rwxr-xr-x. 1 root root 54080 8月 20 2019 /usr/bin/cat
10.3.2 SGID
-
普通做法
当SGID作用于普通文件时于SUID类似,在执行该文件时用户获得该文件所属组的权限
-
重要用法
1、当一个用户对某一目录有写和执行权限时,该用户就可在该目录下建立文件
2、如果该目录同时用SGID修饰,则该用户在此目录下建立的文件都属于这个目录所在的组
[root@ccc ~]# mkdir /test [root@ccc ~]# touch /test/a.py [root@ccc ~]# echo 666 >> /test/a.py [root@ccc ~]# chmod 000 /test/a.py [root@ccc ~]# ll /test/a.py ---------- 1 root root 0 10月 29 19:50 /test/a.py [root@ccc ~]# ll /usr/bin/cat -rwxr-xr-x. 1 root root 54080 8月 20 2019 /usr/bin/cat [root@ccc ~]# chmod g+s /usr/bin/cat [root@ccc ~]# ll -d !$ ll -d /usr/bin/cat -rwxr-sr-x. 1 root root 54080 8月 20 2019 /usr/bin/cat [root@ccc ~]# su - zzz -c "cat /test/a.py" cat: /test/a.py: 权限不够 [root@ccc ~]# chmod g+r /test/a.py [root@ccc ~]# ll /test/a.py ----r----- 1 root root 0 10月 29 19:50 /test/a.py [root@ccc ~]# su - zzz -c "cat /test/a.py" 666[root@ccc ~]# mkdir /test [root@ccc ~]# ll -d /test/ drwxr-xr-x 2 root root 6 10月 29 19:31 /test/ [root@ccc ~]# chmod g+s /test/ # 给/test目录的组加上s权限 [root@ccc ~]# groupadd it [root@ccc ~]# chown .it /test/ # 为了区分,将/test目录的组改为it [root@ccc ~]# ll -d /test/ drwxr-sr-x 2 root it 6 10月 29 19:31 /test/ [root@ccc ~]# su - zzz -c "touch /test/a.py" touch: 无法创建"/test/a.py": 权限不够 # 要在目录下创建文件必须对该目录有w写权限 [root@ccc ~]# chmod o+w /test/ [root@ccc ~]# su - zzz -c "touch /test/a.py" [root@ccc ~]# touch /test/b.py [root@ccc ~]# ll /test 总用量 0 -rw-rw-r-- 1 zzz it 0 10月 29 19:36 a.py -rw-r--r-- 1 root it 0 10月 29 19:37 b.py # 在目录被SGID修饰后,所有用户在此目录下创建的文件的组都属于这个目录所在的组
10.3.3 SBIT(Sticky)
-
目前仅对目录有效,用来阻止非文件的所有者删除文件,常见的就是/tmp目录
[root@ccc ~]# ll -d /tmp/ drwxrwxrwt. 28 root root 4096 10月 29 09:09 /tmp/ -
权限信息最后一位t表明目录被设置SBIT权限,表明自己和root才有权力删除,主要作用于共享文件夹。
-
用o+t或1755增加权限
===================目录未设置SBIT权限,任意用户都可删除目录下文件====================== [root@ccc ~]# mkdir /share [root@ccc ~]# chmod 777 /share/ [root@ccc ~]# useradd user01 [root@ccc ~]# useradd user02 [root@ccc ~]# useradd user03 [root@ccc ~]# useradd user04 [root@ccc ~]# su - user01 -c "touch /share/1.py" [root@ccc ~]# su - user02 -c "touch /share/2.py" [root@ccc ~]# su - user03 -c "touch /share/3.py" [root@ccc ~]# su - user04 -c "touch /share/4.py" [root@ccc ~]# ll /share/ 总用量 0 -rw-rw-r-- 1 user01 user01 0 10月 29 20:07 1.py -rw-rw-r-- 1 user02 user02 0 10月 29 20:08 2.py -rw-rw-r-- 1 user03 user03 0 10月 29 20:08 3.py -rw-rw-r-- 1 user04 user04 0 10月 29 20:08 4.py [root@ccc ~]# su - user04 上一次登录:四 10月 29 20:08:17 CST 2020pts/1 上 [user04@ccc ~]$ rm -rf /share/1.py [user04@ccc ~]$ rm -rf /share/2.py [user04@ccc ~]$ rm -rf /share/3.py [user04@ccc ~]$ rm -rf /share/4.py [user04@ccc ~]$ exit 登出 [root@ccc ~]# ll /share/ 总用量 0 ===================目录设置SBIT权限,用户只可删除自己创建的文件======================= [root@ccc ~]# chmod o+t /share/ [root@ccc ~]# ll -d /share/ drwxrwxrwt 2 root root 6 10月 29 20:09 /share/ [root@ccc ~]# su - user01 -c "touch /share/1.py" [root@ccc ~]# su - user02 -c "touch /share/2.py" ^[[A[root@ccc su - user03 -c "touch /share/3.py" [root@ccc ~]# su - user04 -c "touch /share/4.py" [root@ccc ~]# su - user04 上一次登录:四 10月 29 20:14:57 CST 2020pts/1 上 [user04@ccc ~]$ rm -rf /share/1.py rm: 无法删除"/share/1.py": 不允许的操作 # 不能删除其他用户创建的文件 [user04@ccc ~]$ rm -rf /share/2.py rm: 无法删除"/share/2.py": 不允许的操作 [user04@ccc ~]$ rm -rf /share/3.py rm: 无法删除"/share/3.py": 不允许的操作 [user04@ccc ~]$ rm -rf /share/4.py # 只能删除自己创建的文件 [user04@ccc ~]$ exit 登出 [root@ccc ~]# rm -rf /share/* # root用户可以删除无论谁创建的一切文件 [root@ccc ~]# ll /share/ 总用量 0 ================================必须要有x执行权限================================= [root@ccc ~]# chmod o+t /share/ [root@ccc ~]# chmod o-x /share/ [root@ccc ~]# ll -d /share/ drwxrwxrwT 2 root root 6 10月 29 20:16 /share/ [root@ccc ~]# su - user01 -c "touch /share/1.py" touch: 无法创建"/share/1.py": 权限不够
10.4 用户权限管理之umask
10.4.1 umask作用
-
新建文件、目录的默认权限都是由umask决定的
UID>199并且属主与属组相等的用户下,umask:0002
①文件664
②目录775
其他用户,如root用户,umask:0022
①文件644
②目录755
-
Linux中文件默认权限666,目录默认权限777
-
文件权限计算方法:偶数位直接相减,奇数位相减后加1
文件起始权限值 umask值 操作 计算后文件权限 666 022(都是偶数) 相减 644 666 033(都是奇数) 相减,奇数位相减后+1 644 666 325(有奇数和偶数) 相减,奇数位相减后+1 442 -
目录权限计算方法:直接相减
文件起始权限值 umask值 操作 计算后文件权限 777 022 相减 755 777 033 相减 744 777 325 相减 452 -
umask设置的值越小,权限越大,要慎用
-
示例
[root@ccc ~]# umask 777 [root@ccc ~]# umask 0777 [root@ccc ~]# touch 1.py [root@ccc ~]# mkdir 1 [root@ccc ~]# ll 1.py ---------- 1 root root 0 10月 29 20:39 1.py [root@ccc ~]# ll -d 1 d--------- 2 root root 6 10月 29 20:39 1
10.4.2 设置umask
-
临时设置
[root@ccc ~]# umask 777 [root@ccc ~]# umask 0777 -
永久设置
[root@ccc ~]# vim /etc/profile if [ $UID -gt 199 ] && [ "`/usr/bin/id -gn`" = "`/usr/bin/id -un`" ]; then umask 002 # 表示uid>=199的默认umask值,普通用户 else umask 022 # 表示uid<199的默认umask值,表示root fi
