末学者笔记--Linux权限管理
一.权限概述
Linux系统一般将文件可存/取访问的身份分为3个类别:owner(拥有者)、group(和所有者同组的用户)、others(其他人,除了所有者,除了同组的用户以及除了超级管理员),且3种身份各有read(读)、write(写)、execute(执行)等权限。
二.权限介绍
1. 权限:
在多用户(可以不同时)计算机系统的管理中,权限是指某个特定的用户具有特定的系统资源使用权力,像是文件夹、特定系统指令的使用或存储量的限制。
2.在Linux中分别有读、写、执行权限:
1)读权限:
对于目录来说,读权限影响用户是否能够列出目录结构
对于文件来说,读权限影响用户是否可以查看文件内容
2)写权限:
对目录来说,写权限影响用户是否可以在文件夹下“创建/删除/复制到/移动到”文档
对于文件来说,写权限影响用户是否可以编辑文件内容
3)执行权限:
对于目录来说:执行权限影响用户是否可以执行cd操作
对于文件来说,特别脚本文件。执行权限影响文件是否可以运行。
三.Linux中的身份介绍
- Owner身份:文件所有者,默认为文档的创建者。
由于Linux是多用户、多任务的操作系统,因此可能常常有多人同时在某台主机上工作,但每个人均可在主机上设置文件的权限,让其成为个人的“私密文件”,即个人所有者。因为设置了适当的文件权限,除本人(文件所有者)之外的用户无法查看文件内容。
2.Group身份:与文件所有者同组的用户。
与文件所有者同组最有用的功能就体现在多个团队在同一台主机上开发资源的时候。例如主机上有A、B两个团体(用户组),A中有a1,a2,a3三个成员,B中有b1,b2两个成员,这两个团体要共同完成一份报告F。由于设置了适当的权限,A、B团体中的成员都能互相修改对方的数据,但是团体C的成员则不能修改F的内容,甚至连查看的权限都没有。同时,团体的成员也能设置自己的私密文件,让团队的其它成员也读取不了文件数据。在Linux中,每个账户支持多个用户组。如用户a1、b1即可属于A用户组,也能属于B用户组【主组和附加组】。
3.Others身份:其他人,相对于所有者与同组用户。
4.Root用户:超级用户。
在Linux中,还有一个神一样存在的用户,这就是root用户,因为在所有用户中它拥有最大的权限 ,所以管理着普通用户。
四.Linux权限介绍
在Linux中,ls命令常用来查看文件的属性,用于显示文件的文件名和相关属性。
标红的部分就是Linux的文档权限属性信息。
Linux中存在用户(owner)、用户组(group)和其他人(others)概念,各自有不同的权限,对于一个文档来说,其权限具体分配如下:
十位字符表示含义:
第1位:表示文档类型,取值常见的有“d表示文件夹”、“-表示文件”、“l表示软连接”、“s表示套接字”、“c表示字符设备”、“b表示块状设备”等等;
第2-4位:表示文档所有者的权限情况,第2位表示读权限的情况,取值有r、-;第3位表示写权限的情况,w表示可写,-表示不可写,第4位表示执行权限的情况,取值有x、-。
第5-7位:表示与所有者同在一个组的用户的权限情况,第5位表示读权限的情况,取值有r、-;第6位表示写权限的情况,w表示可写,-表示不可写,第7位表示执行权限的情况,取值有x、-。
第8-10位:表示除了上面的前2部分的用户之外的其他用户的权限情况,第8位表示读权限的情况,取值有r、-;第9位表示写权限的情况,w表示可写,-表示不可写,第10位表示执行权限的情况,取值有x、-。
权限分配中,均是rwx的三个参数组合,且位置顺序不会变化。没有对应权限就用 – 代替。
五.权限设置
语法:#chmod 选项 权限模式 文档
常用选项:
-R:递归设置权限 (当文档类型为文件夹的时候)
权限模式:就是该文档需要设置的权限信息
文档:可以是文件,也可以是文件夹,可以是相对路径也可以是绝对路径。
注意:如果想要给文档设置权限,操作者要么是root用户,要么就是文档的所有者
1.字母形式:
1)给谁设置:
u:表示所有者身份owner(user)
g:表示给所有者同组用户设置(group)
o:表示others,给其他用户设置权限
a:表示all,给所有人(包含ugo部分)设置权限
如果在设置权限的时候不指定给谁设置,则默认给所有用户设置。
2)权限字符:
r:读
w:写
x:表示执行
-:表示没有权限
3)权限分配方式:
+:表示给具体的用户新增权限(相对当前)
-:表示删除用户的权限(相对当前)
=:表示将权限设置成具体的值(注重结果)【赋值】
4)例:
给user配置x 执行权限:
去除user的(w)写与(x)执行权限:
给user配置读,写,执行权限(rwx):
给所有人设置执行权限(x):
2.数字形式:
读:r——4
写:w——2
执行:x——1
没有任何权限:0——---
例如:需要给anaconda-ks.cfg设置权限,权限要求所有者拥有全部权限,同组用户拥有读执行权限,其他用户只读。
所有者权限 =全部权限 =读 + 写 +执行 =4 + 2 + 1 =7
同组用户权限 =读权限 + 执行权限 =4 + 1 =5
其他用户权限 = 读权限 = 4
最终得出的结果是754
【注】:
1)一般创建一个目录默认权限:777-022=755
2)创建一个文件默认权限:666-022=644
实例:数字设置与递归设置权限(R)
六.属主和属组设置
属主:所属的用户(文件的主人),文档所有者
属组:所属的用户组。
前面的那个root就是属主
后面的那个root就是属组
这两项信息在文档创建的时候会使用创建者的信息(用户名放在前面的root、用户所属的主组名称放在后面的root)。
之所以需要设置这个:如果有时候去删除某个用户,则该用户对应的文档的属主和属组信息就需要去修改(类似离职之前的工作交接)。
“Chown”:
作用:更改文档的所属用户(change owner)
语法:#chown -R 新的username 文档路径
-R:表示选项。
文件不需要-R,目录需要加-R如果你要对目录进行操作,加参数 -R
七.文件的特殊权限(suid,sgid,sbit和文件扩展权限ACL)
1、SUID(set uid设置用户ID):
限定:只能设置在二进制可执行程序上面。对目录设置无效。
功能:程序运行时的权限从执行者变更成程序所有者的权限(就是设置后,任何用户用这个命令时都是超管权限)。
命令:u+s或 4777(u=4)
SUID属性一般用在可执行文件上,当用户执行该文件时,会临时拥有该执行文件的所有者权限。使用”ls -l” 或者”ll” 命令浏览文件时,如果可执行文件所有者权限的第三位是一个小写的”s”,就表明该执行文件拥有SUID属性。
例如:
普通用户不能创建用户,现在赋予文件passwd特殊权限suid,再次执行即可创建
2、SGID:
限定:既可以给二进制可执行程序设置,也可以对目录设置。
功能:在设置了SGID权限的目录下建立文件时,新创建的文件的所属组会,继承上级目录的所属组。
命令:g+s或2777(g=2)
[root@ken ~]# mkdir test1
[root@ken ~]# ls -ld test1
drwxr-xr-x 2 root root 6 Feb 27 22:38 test1
[root@ken ~]# chmod g+s test1
[root@ken ~]# chown :ken test1
[root@ken ~]# touch test1/test.txt
[root@ken ~]# ls -ld test1/test.txt
-rw-r--r-- 1 root ken 0 Feb 27 22:40 test1/test.txt
3.SBIT:
对于设置sbit权限的文件,用户只能删除自己创建的文件,无法删除其他用户的文件
命令:o+t
例如:对目录/tmp添加sbit权限,删除文件的时候显示拒绝操作;
[root@ken ~]# chmod o+t /tmp
[root@ken ~]# useradd ken
[root@ken ~]# useradd ken1
去掉sbit权限之后,再次删除即可
[root@ken ~]# chmod o-t /tmp
4.文件扩展权限ACL:
例:设置用户ken对文件a.txt拥有的rwx权限 ,ken不属于a.txt的所属主和组,ken是other怎么做?
设置权限:
[root@ken ~]# setfacl -m u:ken:rwx a.txt
-m表示设置的意思
查看扩展权限getfacl:
[root@ken ~]# getfacl a.txt
# file: a.txt
# owner: root
# group: root
user::rw-
user:ken:rwx
group::r--
mask::rwx
other::r--
去除权限:(3种)
[root@ken ~]# setfacl -R -m u:ken:rw- testdirectory/ #-R一定要在-m前面,表示目录下所有文件
[root@ken ~]# setfacl -x u:ken /tmp/a.txt # 去掉单个权限
[root@ken ~]# setfacl -b /tmp/a.txt # 去掉所有acl权限
实例:
八.实战sudo
问题:reboot、shutdown、init、halt、user管理,在普通用户身份上都是操作不了,但是有些特殊的情况下又需要有执行权限。又不可能让root用户把自己的密码告诉普通用户,这个问题该怎么解决?
该问题是可以被解决的,可以使用sudo(switch user do)命令来进行权限设置。Sudo可以让管理员(root)事先定义某些特殊命令谁可以执行。
默认sudo中是没有除root之外用户的规则,要想使用则先配置sudo。
Sudo配置文件:/etc/sudoers
该文件默认只读,不允许修改,因此不能直接修改。
1. 配置sudo文件请使用“#visudo”,打开之后其使用方法和vim一致。
2. 配置普通用户的权限。
一般在91,92行。
Root表示用户名,如果是用户组,则可以写成“%组名”
ALL:表示允许登录的主机(地址白名单)
(ALL):表示以谁的身份执行,ALL表示root身份
ALL:表示当前用户可以执行的命令,多个命令可以使用“,”分割
注意:在写sudo规则的时候不建议写直接形式的命令,而是写命令的完整路径。
路径可以使用which命令来查看
语法:#which 指令名称
在添加好对应的规则之后就可以切换用户,切换到普通用户ken,再去执行:
此时要想使用刚才的规则,则以以下命令进行:
#sudo 需要执行的指令
在输入sudo指令之后需要输入当前的用户密码进行确认的操作(不是root用户密码),输入之后在接下来5分钟内再次执行sudo指令不需要密码。