概述 Linux系统是一个多人多任务的操作系统,系统上同时可能有很多人登录,每个人都会利用系统上的各类资源完成一定的操作。那么如何合理的规范这些用户的行为,保证资源的合理分配,则就需要用到权限管理的相关内容了。权限管理是Linux系统上最基础,也是最重要的一部分内容,本章就简要说明下权限管理的相关内容。内容主要包含以下几个部分:
1、权限管理的一些基础概念理解
2、普通权限管理的相关命令详解
3、特殊权限管理SUID、SGID、STICKY
4、ACL相关内容
5、chattr特殊权限简介
本章涉及到的命令有:chmod、chown、chgrp、umask、setfacl、getfacl、chattr、lsattr
一、权限管理的一些基础概念理解1、权限位介绍
在Linux系统上,普通权限分为三类:读(r)、写(w)、执行(x)
文件的从属关系也分为三类:
属主(u):标明这个文件是谁的
属组(g):标明该文件属于哪个用户组
other(o):除开文件属主和属组之外的所有人
利用命令:ls -l /etc/passwd
可以看到:-rw-r–r– 1 root root 1701 8月 1 20:12 /etc/passwd
其中-rw-r–r–这部分就显示了该文件权限相关的定义
最前面一位,代表该文件的类型,主要有-、d、l、s、p、c、b等类型具体后期在进行说明。
剩下的9位,每3位分成一个组,共3组,其中:
左3位:代表文件的属主的权限,3位的顺序固定格式,rwx,分别代表读写执行,如果某位上为-,代表无该权限
中3位:代表文件的属组的权限
右3位:代表除开属主和属组之外的其他人对该文件的权限
针对上面提到的rw-r–r–这个权限表示文件的属主,也就是对该文件有读、写权限,属组对该文件具有读权限,其他人对该文件具有读权限
2、各权限位对文件和目录的意义
在Linux系统上,读写执行三个权限针对文件和目录是具有不同的效果的,具体的功能如下:
对文件而言:
r:表示可获取文件的数据;cat、nano文件内容
w:表示可修改文件的数据;可修改内容,不能删除文件本身,但文件内容可以删
x:表示可将此文件发起运行为进程;针对可执行程序文件或脚本,一般的文件不需要加x权限
对目录而言:
r:表示可使用ls命令获取其下的所有文件列表信息,但是获取不到ls -l的详细信息
w:表示可修改此目录下的文件列表,即创建或删除文件
x:表示可cd至目录中,且可使用ls -l来获取所有文件的详细属性信息
除了以上三种常见的权限表示外,还有一个权限表示:
X:功能是递归赋权时,会自动检测是目录还是文件,目录的话,会自动加上x权限,如果是文件,就看文件之前有没有x权限,有的话,就+x权限,如果文件之前没有x权限,就不加x权限
3、权限表示法
针对各个权限的表示,除了常规的r、w、x之外,还有一种方法进行表示(利用二进制数字)
001:代表执行x
010:代表写w
100:代表读r
换算成十进制就是:
r:4
w:2
x:1
0-7的数字可代表—、–x、-w-、-wx、r–、r-x、rw-、rwx
常见的权限:
664 rw-rw-r–
640 rw-r—–
600 rw——-
755 rwxr-xr-x
750 rwxr-x—
775 rwxrwxr-x
4、UMASK介绍
在我们创建文件或目录时,系统会自动为我们分配一些权限,这些权限是怎么得来的,这就是依赖于umask值了
umask:文件的权限反向掩码
能够实现在创建文件时的默认权限为:666-umask
能够实现在创建目录时的默认权限为:777-umask
注意:之所以文件用666去减,表示文件默认不能拥有执行权限;如果得到的结果中,仍然有执行权限,这需要将其+1
系统上默认的umask值为:
root:默认umask是022
普通用户:默认umask是002
查看umask值可以直接在命令行下:umask
指定umask值可以直接在命令行下:umask 数字 来指定umask值,值只能是3位数字,不大于777
umask -S 显示以权限直观方式显示创建目录时的umask,显示结果类似这种格式:u=rwx,g=rx,o=rx
umask -p 显示uamsk本身和其值,显示结果类似这种格式:umask 0022
注意:在命令行里设置的umask只对当前shell有效,退出登录后失效
想永久生效,对当前用户生效,可放在家目录的.bashrc里面
如果要对所有用户都生效,全局设置在/etc/profile和/etc/bashrc里面定义了关于默认umask的定义
umask.png
5、安全上下文:
1、进程以某用户的身份运行,进程是发起此进程用户的代理,因此以此用户的身份和权限完成所有操作;
2、权限匹配模型
a) 判断进程的属主(谁发起的进程谁就是该进程的属主),是否为被访问文件的属主;如果是,则应用属主的权限;否则进入第2步;
b) 判断进程的属主,是否属于被访问文件的属组;如果是,则应用属组权限;否则进入第3步;
c) 应用other的权限;
通俗的理解就是:
当A用户运行某个程序文件,例如cat,由于cat命令本身就是一个二进制程序文件,那么此时就对cat文件的权限进行判断,A属不属于cat文件的属主,如果属于,查看cat文件上关于属主的权限的定义,根据权限的定义来判断A能对cat文件进行哪些操作;然后如果A不属于cat的属主,就判断A是不是cat文件的属组,如果属于属组,那就根据属组权限定义的权限,对cat文件能执行哪些操作,如果既不属于cat的属主,又不属于文件的属组,那么就执行cat文件上关于其他用户的权限定义,根据定义的权限,执行相应的操作。那么通过查看,我们发现A既不属于cat文件的属主,也不属于文件的属组,就执行了关于其他人的权限,其他人的权限具有x权限,就是执行,故A可以运行cat命令。
当A执行cat命令时,如果cat程序需要调用一个文件,例如我们执行cat /etc/passwd 此时,一旦cat程序运行起来,那么A就是cat进程的属主,该进程是发起此进程的用户的代理,也就是说,cat进程调用的一些资源,当请求/etc/passwd时,请求的身份是cat进程的身份,此时,cat进程的身份是A,那么就判断A用户对/etc/passwd文件的权限是什么,就对应的可以进行哪些操作
二、普通权限管理的相关命令详解1、chmod命令
格式:
- [align=left]chmod [OPTION]… MODE[,MODE]… FILE…[/align][align=left]chmod [OPTION]… OCTAL-MODE FILE…[/align][align=left]chmod [OPTION]… –reference=RFILE FILE…[/align]
三类用户:
u:属主
g:属组
o:其他
a:所有
选项:
-R 表示递归修改目录及其子目录和文件的权限
用法一、chmod [OPTION]… MODE[,MODE]… FILE…
MODE表示法
赋权表示法(直接操作一类用户的所有权限位):u=、g=、o=、a=、ug=、uo=、…..
如: - [align=left]chmod g=rx /test/11.xx[/align][align=left]chmod uo=rx /test/11.xx[/align][align=left]chmod u=rx,g=w /test/11.xx[/align]
授权表示法:直接操作一类用户的一个权限位:u+、u-、g+…..
如:
- [align=left]chmod u-x /test/11.xx[/align][align=left]chmod o+r /test/11.xx[/align][align=left]chmod ug+x /test/11.xx[/align][align=left]chmod ug-rx /test/11.xx[/align][align=left]chmod u-r,g+x /test/11.xx[/align]
用法二、chmod [OPTION]… OCTAL-MODE FILE…(八进制权限表示)
例如:chmod 660 /test/11.xx
注意:普通用户仅能够修改属主为自己的文件的权限
2、chown命令
语法:
- [align=left]chown [OPTION]… [OWNER][:[GROUP]] FILE…[/align][align=left]chown [OPTION]… –reference=RFILE FILE…[/align]
选项:
-R:表示递归修改
例如:
- [align=left]chown -R nwc:newbee /test/[/align][align=left]chown newbee /test/11.xx[/align][align=left]chown nwc.newbee /test/11.xx[/align]
