Linux學習筆記：用戶的權限管理

 在上週清明假期期間，咱們仍然在緊張的學習中，今天咱們學習了用戶的權限管理，用戶的權限管理顧名思義即爲用戶在使用操做系統時所能使用的權限及管理用戶使用相應的命令爲用戶添加相應的權限，其中用戶的權限分爲普通權限，特殊權限及文件的特殊權限。

  如下即爲本堂課所學內容整理記錄：

普通權限:

  進程安全上下文：

    1.判斷進程的全部者是否爲想要操做的文件的屬主，若是是，就按照屬主的權限進行受權；

    若是不是，就轉到第2條；

    2.判斷進程的全部者是否爲想要操做的文件的屬組中的成員，若是是，就按照屬組的權限進行受權；若是不是，就轉到第三條；

    3.按照其餘用戶的權限進行受權；

  權限的構成：

    MODE(Permission)：使用權

    r：readable，可讀

    w：Writable，可寫

    x：executable，可執行

    目錄：

      r：可使用ls命令得到其中全部的文件名的列表；ls -l命令來獲取目錄中文件的詳細的屬性信息也不能使用cd命令進入其中，也不能在路徑中引用該目錄；

      w：能夠修改此目錄中的文件名或文件列表，即：能夠再此目錄中建立、修改或刪除文件名；

      x：可使用ls -l命令來獲取其中的文件的詳細屬性信息；也能夠在路徑中引用該目錄；也可使用cd命令來進入其中；

      x權限是目錄的基本權限，任何目錄都必須對任何用戶開放x權限，不然，用戶將沒法進行任何操做。  

    文件：

      r：能夠查看或獲取該文件中存放的數據；

      w：能夠修改文件中存放的數據；

      x：能夠將此文件發起運行爲進程；

  ls -l <--> ll

    rw-r--r--：三個權限位--屬主、屬組、其餘用戶

    屬主權限：rw-

    屬組：r--

    其餘用戶權限：r--

    權限標識三元組：

      ---    000    0

      --x    001    1

      -w-    010    2

      -wx    011    3

      r--    100    4

      r-x    101    5

      rw-    110    6

      rwx    111    7

    注意：只有某個文件的屬主才能修改文件的使用權（root除外）；

    修改文件的使用權限：

      chmod --> change mode;chmod - change file mode bits

      chmod [OPTION] ...MODE [,MODE]...FILE

        MODE：符號權限標識法

        u，g，o，a表示全部權；

        +，-，=表示受權方式：

          +：在原有的權限基礎上添加新的權限；

          -：在原有的權限基礎上去除某些權限；

          =：不考慮又有權限，直接將權限設置爲目標權限；

        r，w，x 表示具體權限內容；

      注意：文件的執行權限，Linux的文件系統來講，很是重要的安全標識；由於一旦文件具有的執行權限，意味着該文件能夠發起執行爲進程；因此，默認狀況下，文件都不具有執行權限。

      chmod [OPTION]...OCTAL-MODE FILE...

        若是使用八進制數字標識法，則每次必須給足全部的權限位；

        若是給的權限位不完整，文件系統會自動補足，將給定的權限放置在右側，左側使用0來補；

        chmod 640 file

      chmod [OPTION]...--reference=RFILE FILE...

        chmod --reference=/PATH/TO/SOMEFILE DES_FILE

        chmod --reference=a b

      選項:

        -R，--Recursive：將目標目錄中的文件及子目錄中的文件統一的設置爲指定的權限標識；   

    OWNERSHIP：全部權

      屬主：資源掌控的某個特定用戶；owner（user），u

      屬組：資源掌控的某些特定用戶 ；group， g

      其餘用戶：不曾掌控資源的那些用戶；other，o

      所有用戶：all，a

      chown：能夠修改文件的屬主和屬組；

        chown [OPTION]...

    install:安裝，複製文件，爲文件賦予執行權限

       多源複製：

       install [OPTION]... SOURCE... DIRECTORY

       install [OPTION]... -t DIRECTORY SOURCE...

       建立目錄：

       install [OPTION]... -d DIRECTORY...

       

       經常使用選項：

         -m，--mode=MODE ：指定目錄文件的權限，，默認爲755

         -o，--owner=OWNER：設置文件的屬主；只能是root可用；

         -g，--group=GROUP:設定目標文件的屬組，僅root可用。

       注意：install命令不能複製目錄，即其源不能爲目錄；若是其源爲目錄，則install經歷了會進入目錄，依次複製其中的全部非目錄文件到目標位置。

    mktemp命令：

      通常來說，臨時文件都會建立在/tmp或/var/tmp目錄中；無需手動刪除，系統會按期自動清除這兩個目錄中的文件

      選項：

        -d，--directory：能夠建立臨時目錄；

        例子：mktemp [-d] /path/to/tmp.XXXXXXXXX

特殊權限：

  SUID , SGID , STICKY

  默認狀況下，用戶發起一個進程，該進程的屬主是其發起者，也就是說，該進程是以其發起者的身份在運行。

  SUID：

    功能做用：用戶發起執行一個進程時，改程序文件若是擁有SUID權限的話，那麼此程序發起的進程其屬主爲該程序文件的屬主，而不是其發起者；

    SUID權限所顯示的位置：文件的屬主權限中的執行權限位；若是屬主原本就有執行權限，顯示爲s；不然，顯示爲S；

    管理文件的SUID權限：

      chmod u+|-s FILE...

  SGID：

    若是某個目錄對於一些用戶有寫權限而且設置了SGID權限時，則全部對此目錄有寫權限的用戶再建立新的文件或目錄之後，新文件的屬組再也不是建立用戶的基本組，而是繼承了該目錄的屬組；

    SGID權限顯示的位置：文件的屬組權限中的執行權限位；若是屬組原本就執行權限，顯示爲s，不然顯示爲S；

  STICKY：sticky（粘性的）：粘滯位

    若是某個目錄中，有超過一個用戶能夠有寫權限，則這多個用戶均可以在該目錄中隨意建立、修改和刪除文件名；

    STICKY的功能做用：

      若是爲上述相似的目錄設置了STICKY權限，則每一個用戶依舊能建立和修改文件名，但每一個用戶只能刪除那些屬於爲其自身的文件名。

      STICKY權限的顯示位置：在文件權限的其餘用戶的執行權限位；若是原來就有執行權限，則顯示爲t；不然，顯示爲T；

      管理文件的STICKY權限：

        chmod o+|-t FILE...

    suid  sgid  sticky

    ---   000   0

    --t   001   1

    -s-   010   2

    -st   011   3

    s--   100   4

    s-t   101   5

    ss-   110   6

    sst   111   7

      特殊權限的另外一種修改方式：

        將特殊權限對應的八進制數字放置於普通權限八進制數字的前面便可

        例如：想要給某個目錄加上粘滯位：

          chmod 1755 DIRECTORY...

  umask的權限生成標準；

    root：0022

      不考慮特殊權限位

      對於新建立的文件或目錄，不遮擋屬主的任何權限，遮住了屬組的寫權限和其餘用戶的寫權限；

      文件的默認權限是：666-umask

      目錄的默認權限是：777-umask

      理解遮罩碼：

    權限遮罩碼在建立文件或目錄時默認

        將遮罩碼的值變爲二進制，凡有1的位置，其權限在建立文件時，就不設置；

        0033  000011011 --- 110100100  644

                        --- 111100100  744

        默認狀況下，文件的遮罩碼已經有了一個0111，在此基礎上再次應用umask來遮罩權限

    

文件的特殊屬性：

  查看文件的特殊屬性：

    lsattr - list file attributes on a Linux second extended file system

    lsattr [ -RVadv ] [ files...  ]

  修改設置文件的特殊屬性、；

    chattr：change file attributes on a Linux file system

    chattr [ -RVf ] [ -v version ] [ mode ] files...

      mode：會使用+-=的方式來設置;

      整個chattr命令最關鍵最核心的設置就是[mode]部分；

      [aAcCdDeijsStTu]都是所須要的屬性；

      +：在原有屬性設定的基礎上，添加新屬性；

      -：從原有屬性設置中移除指定的屬性；

      =：不考慮原有的屬性設置，直接將文件的屬性更新爲指定的屬性內容；

      a：append，設置這個屬性的文件，其內容不能被更改和刪除，只能以追加的方式向文件中寫數據；多數的服務器日誌類文件會設置爲此屬性；

      A：atime，文件的訪問時間戳；IO瓶頸，設置A屬性，可使得文件在被訪問時不更改文件的訪問時間戳，從而能夠有效地防止IO瓶頸的發生。

      c：設置文件是否自動壓縮後在行存儲；

      C：設置文件是否開啓寫實複製屬性。

      d：設置文件在使用dump進行備份的時候，不會稱爲備份目標。

      D：設置文件在文件系統中的異步寫操做。

      i：設置文件不能被刪除、修改、設置鏈接關係。

      s：設置文件的保密性刪除，一旦設置s屬性的文件被刪除，其對應存儲設備中的使用空間會被一併收回。

      u：跟s屬性相反，若是這樣的文件被刪除，則其儲存於儲存設備中的數據會被留存；

      最經常使用的屬性：i 和 a

      chattr +i file

    經常使用選項：

      -R：遞歸的設置指定目錄中的全部文件和子目錄的屬性；

爲文件賦予額外的權限機制：FACL:File Access Conterol list，文件訪問控制列表

  文件的額外賦權機制：

  在原有的u，g，o權限位以外，讓普通用戶可以控制權限賦予另外的用戶和組的一種賦權機制；

  通常在Centos或RHEL7版本之後的發行版中，才逐漸成熟。

  與FACL有關的命令：

    getfacl - get file access control lists

      getfacl [-aceEsRLPtpndvh] file ...

        user：USERNAME:MODE

        group：GROUPNAME:MODE

        other：：MODE

    setfacl：set file access control lists

      setfacl [-bkndRLPvh] [{-m|-x} acl_spec] [{-M|-X} acl_file] file ...

      acl_spec:acl_specification,指定的訪問控制列表

        u：USERNAME：MODE

        g：GROUPNAME:MODE

        MODE：通常使用符號權限標識法；

      爲用戶賦予額外權限：

        setfacl -m u：USERNAME:MODE FILE...

      爲組賦予額外權限：

        setfacl -m g：GROUPNAME:MODE FILE...

      撤銷爲用戶賦予的額外權限：

        setfacl -x u：USERNAME

      撤銷爲組富裕的額外權限：

        setfacl -x g：GROUPNAME

    注意：若是設置了FACl以後在修改目標文件的使用權限，那麼FACL中設置的條目就可能受到影響而致使與要求不符；所以，若是真的須要設置FACL，就要在已經肯定目標文件的使用權限之後再行設置；