本节所讲内容:
- 文件的基本权限:r w x (UGO+ACL)
- 文件的高级权限:suid sgid sticky
第1章 文件的基本权限
1.1 权限的作用
通过对文件设定权限可以达到以下三种访问限制权限:
- 只允许用户自己访问;
- 允许一个预先指定的用户组中的用户访问;
- 允许系统中的任何用户访问。
1.2 查看文件权限
我们可以通过ls命令来查看一个文件的具体信息,加参数 –l 可以查看这个文件的权限信息
文件权限基本解释:
-
rwx
r-x
r-x
user1
group
time
FILENAME
文件类型
拥有者的权限
所属组的权限
其他人的权限
拥有者
属组
最后修改时间
对象
其中:文件类型,可以为p、d、l、s、c、b和 –
- p表示命名管道文件
- d表示目录文件
- l表示符号连接文件
- -表示普通文件
- s表示socket套接口文件,比如我们启用mysql时,会产生一个mysql.sock文件
- c表示字符设备文件
- b表示块设备文件
1.4 文件拥有者
所有者(属主)-用户组(属组)-其他用户
所有者: 就是创建文件的用户,这个用户拥有对它所创建的文件的一切权限,所有者可以允许其所在的用户组可以访问所有者的文件。
用户组: 用户组是具有相同特征用户的逻辑集合,有时我们需要让多个用户具有相同的权限,比如查看、修改某一个文件的权限,一种方法是分别对多个用户进行文件访问授权,如果有10个用户的话,就需要授权10次,显然这种方法不太合理;另一种方法是建立一个组,让这个组具有查看、修改此文件的权限,然后将所有需要访问此文件的用户放入这个组中,那么所有用户就具有了和组一样的权限。这就是用户组。
其它用户:系统内的其他所有者用户就是other用户类
1.5 举例说明
1.5.1 常见几种文件权限组成
- -rwx------:文件所有者对文件具有读取、写入和执行的权限。
- -rwxr--r--: 文件所有者具有读、写与执行的权限,用户组里用户及其他用户则具有读取的权限
- -rw-rw-r-x:文件所有者与同组用户对文件具有读写的权限,而其他用户仅具有读取和执行的权限。
- drwx--x--x: 目录所有者具有读写与进入目录的权限,其他用户近能进入该目录,却无法读取任何数据。
- drwx------: 除了目录所有者具有完整的权限之外,其他用户对该目录完全没有任何权限。
1.5.2 举例如下:
每个用户都拥有自己的专属目录,默认放置在/home目录下
这些专属目录的默认权限为【rwx------】表示目录所有者本身具有所有权限,其他用户无法进入该目录,如下图所示
1.5.2 更改文件的属主和属组
用到的命令:chown chgrp 如果对目录操作 -R
==》chown
语法:
- chown user:group 对象
- chown user 对象
- chown :group 对象
- -R :递归(目录下的所有内容全部更改,否则只修改目录)
[root@panda home]# chown harry test.txt ----只改文件的属主
[root@panda home]# chown :market test.txt ---只改文件的属组
[root@panda home]# chown xuegod-2:xuegod-4 test.txt ---改文件的属主、属组
[root@panda home]# chown -R harry:market /backup
==》chgrp
[root@panda home]# chgrp alice-2 test.txt ----n=改文件的属组
1.6 修改权限
1.6.1使用符号
修改权限的用到的命令:chmod
作用:修改文件、目录权限
用法:(中间的+、-、=表示添加还是删除该用户的对应权限)
u-w
user
拥有者
g+x
group
组
o=r
other
其他人
a+x
all
所有人
[root@panda mnt]# chmod u-w a.txt -----属主删除写权限
[root@panda san]# chmod g+x b.txt ----属组添加执行权限
[root@panda san]#chmod a=rwx file1 ----所有人等于读写执行
[root@panda san]#chmod a=- file1 ----所有人没有权限
[root@panda san]#chmod ug=rw,o=r file1 ----属主属组等于读写,其他人只读
查看修改的权限可以用ls –l 或 stat
1.6.2 使用数字
rwx
r--
-w-
--x
100
010
001
二进制
4
2
1
十进制
组合
值
u=rw
4+2=6 u=6
g=rx
4+1=5 g=5
rw-r--r--
rw-=6 r--=4 r--=4 rw-r—r--=644
扩展示例如下
建一个目录TEST,要求如下:
1、root用户和test用户可以读写执行 2、其他用户没有任何权限
1.7 权限对文件和目录的影响
有三种权限可以应用:读取,写入与执行,这些权限对访问文件和目录的影响如下:
权限
对文件的影响
对目录的影响
r(读取)
可以读取文件的内容
可以列出目录的内容(文件名)
w(写入)
可以更改文件的内容
可以创建或删除目录中的任意文件
x(执行)
可以作为命令执行文件
可以访问目录的内容(取决于目录中文件的权限)
- 对文件的影响
[root@panda ~]#
[root@panda ~]# mkdir /dir1
[root@panda ~]# touch /dir1/file1
[root@panda ~]# chmod 777 /dir1/file1
[root@panda ~]# ll /dir1/file1
-rwxrwxrwx. 1 root root 0 Sep 11 01:59 /dir1/file1
[root@panda ~]# ll -d /dir1/
drwxr-xr-x. 2 root root 18 Sep 11 01:59 /dir1/
[root@panda ~]# su - harry
Last login: Mon Sep 11 01:44:26 CST 2017 on pts/0
[harry@panda ~]$ cat /dir1/file1
[harry@panda ~]$ rm -f /dir1/file1
rm: cannot remove ‘/dir1/file1’: Permission denied
- 对目录的影响
[root@panda ~]#
[root@panda ~]# ll -d /dir1
drwxr-xr-x. 2 root root 18 Sep 11 01:59 /dir1
[root@panda ~]# chmod 777 /dir1/
[root@panda ~]# ll -d /dir1
drwxrwxrwx. 2 root root 18 Sep 11 01:59 /dir1
[root@panda ~]# ll /dir1/file1
-rwxrwxrwx. 1 root root 0 Sep 11 01:59 /dir1/file1
[root@panda ~]# chmod 000 /dir1/file1
[root@panda ~]# ll /dir1/file1
----------. 1 root root 0 Sep 11 01:59 /dir1/file1
[root@panda ~]# su - harry
Last login: Mon Sep 11 02:00:46 CST 2017 on pts/0
[harry@panda ~]$ cat /dir1/file1
cat: /dir1/file1: Permission denied
[harry@panda ~]$ rm -f /dir1/file1
[harry@panda ~]$ touch /dir1/file2
[harry@panda ~]$ ls /dir1/
file2
1.8 补码
为什么我们创建的文件的权限是644呢?
我们创建文件的默认权限是怎么来的?
如何改变这个默认权限呢?
umask命令允许你设定文件创建时的缺省模式,对应每一类用户(文件属主、同组用户、其他用户)存在一个相应的umask值中的数字
对于文件来说,这一数字的最大值分别是6;系统不允许你在创建一个文本文件时就赋予它执行权限,必须在创建后用chmod命令增加这一权限(为了安全考虑)
4 2
对于目录来说,则允许设置执行权限,这样针对目录来说,umask中各个数字最大可以到7
umask设置了用户创建文件的默认权限,它与chmod的效果刚好相反.;umask设置的是权限“补码”,而chmod设置的是文件权限码。我们只要记住umask是从权限中拿走相应的位即可 。如:umask值为022,则默认目录权限为755,默认文件权限为644
该命令的一般形式为:umask nnn
其中nnn为umask值000 – 777umask设置了用户创建文件的默认权限,它与chmod的效果刚好相反.;umask设置的是权限“补码”,而chmod设置的是文件权限码。我们只要记住umask是从权限中拿走相应的位即可 。如:umask值为022,则默认目录权限为755,默认文件权限为644
我们一般在/etc/profile、$ [HOME]/.bash_profile或$[HOME]/.profile中设置umask值。
计算方法:
文件默认权限=666-umask值 666-022=644
目录默认权限=777-umask 值 777-022=755
Umask表示的是要减掉的权限
永久生效,编辑用户的配置文件vim .bash_profile
第2章 特殊权限
其实文件与目录设置不止这些,还有所谓的特殊权限。由于特殊权限会拥有一些“特权”.
因而用户若无特殊需求,不应该启用这些权限,避免安全方面出现严重漏洞,造成入侵,甚至摧毁系统!!!
特殊权限:
- SUID(set uid设置用户ID):限定:只能设置在二进制可执行程序上面。对目录设置无效
功能:程序运行时的权限从执行者变更成程序所有者
- SGID:限定:既可以给二进制可执行程序设置,也可以对目录设置
功能:在设置了SGID权限的目录下建立文件时,新创建的文件的所属组会 继承上级目录的所属组
- Stickybit:粘滞位权限是针对目录的,对文件无效,也叫防删除位
- s对应的数值为
SUID
SGID
Stickybit
u=4、u+s
g=2、g+s
o=1、o+t
2.1.3 粘滞位举例如下:
SBIT(Sticky):只针对目录有效,对文件无效,作用是防止别人删除掉对方的资料,防止用户自己的文件被别的用户误删除
[root@panda ~]# mkdir /tencent
[root@panda ~]# chmod 1777 /tencent/
[root@panda ~]# su - test
Last login: Tue Oct 11 20:12:57 CST 2016 on pts/2
[test@panda ~]$ cd /tencent/
[test@panda tencent]$ touch aa
[test@panda tencent]$ touch bb
[test@panda tencent]$ exit
logout
切换用户
[root@panda ~]# su - xiaobai
Last login: Tue Oct 11 20:11:14 CST 2016 on pts/2
[xiaobai@panda ~]$ cd /tencent/
[xiaobai@panda tencent]$ touch cc
[xiaobai@panda tencent]$ touch dd
[xiaobai@panda tencent]$ ll
total 0
-rw-rw-r--. 1 test test 0 Oct 11 20:14 aa
-rw-rw-r--. 1 test test 0 Oct 11 20:14 bb
-rw-rw-r--. 1 xiaobai xiaobai 0 Oct 11 20:14 cc
-rw-rw-r--. 1 xiaobai xiaobai 0 Oct 11 20:14 dd
[xiaobai@panda tencent]$ rm -f aa
rm: cannot remove ‘aa’: Operation not permitted --提示没有权限
[xiaobai@panda tencent]$ exit
logout
这就是sticky位的功能
閱讀更多 攻防基地 的文章
