linux-文件權限

rwx

root用戶除外 root用戶不受任何限制shell

文件:數據庫

r(Read,讀取):對文件而言,具備讀取文件內容的權限;vim

w(Write,寫入):對文件而言,具備新增、修改文件內容的權限;centos

x(eXecute,執行):對文件而言,具備執行文件的權限;安全

[skyuser1@VM_158_86_centos test]$ll
total 0
-r-xr-xr-x 1 skyuser1 skyuser1 0 May 23 17:25 a.txt
#沒有w寫入權限
[skyuser1@VM_158_86_centos test]$echo "aaa" > a.txt
-bash: a.txt: Permission denied

#沒有r讀取權限
[skyuser1@VM_158_86_centos test]$chmod 333 a.txt
[skyuser1@VM_158_86_centos test]$ll a.txt 
--wx-wx-wx 1 skyuser1 skyuser1 0 May 23 17:27 a.txt
[skyuser1@VM_158_86_centos test]$cat a.txt 
cat: a.txt: Permission denied

複製代碼

目錄:bash

r(Read,讀取):具備瀏覽目錄的權限。測試

w(Write,寫入):具備刪除、移動、修改目錄內文件的權限。ui

x(eXecute,執行):該用戶具備進入目錄的權限。spa

exec:code

#根目錄的目錄權限
[skyuser1@VM_158_86_centos /]$ ll -d
dr-xr-xr-x. 20 root root 4096 May 23 11:39 .
#沒有寫入權限,因此對於普通用戶而言不能建立任何文件
[skyuser1@VM_158_86_centos /]$ touch a.txt
touch: cannot touch ‘a.txt’: Permission denied
#不能刪除文件
[skyuser1@VM_158_86_centos /]$ ll /a.txt 
-rw-r--r-- 1 root root 24 Mar 12 17:34 /a.txt
[skyuser1@VM_158_86_centos /]$ rm -rf a.txt
rm: cannot remove ‘a.txt’: Permission denied
#不能移動文件
[skyuser1@VM_158_86_centos /]$ mv /a.txt  /home
mv: cannot move ‘/a.txt’ to ‘/home/a.txt’: Permission denied

複製代碼

root用戶 無所不能

[root@VM_158_86_centos /]# touch b.txt
[root@VM_158_86_centos /]# ls /b.txt 
/b.txt

複製代碼

文件的x執行權限

能夠經過sh或bash執行.sh文件

可是不能經過./bill.sh執行文件

[skyuser1@VM_158_86_centos test]$ll bill.sh 
-rw-rw-r-- 1 skyuser1 skyuser1 23 May 23 17:30 bill.sh
[skyuser1@VM_158_86_centos test]$sh bill.sh
123
[skyuser1@VM_158_86_centos test]$./bill.sh
-bash: ./bill.sh: Permission denied

複製代碼

感受這個機制仍是有問題的,只要執行bash xxx.sh文件在根目錄下的root .sh文件就能夠執行了 那拿x權限來幹啥呢?

[wuyuhong@VM_158_86_centos temp_bird]$ su - root
Password: 
Last login: Thu May 23 17:54:36 CST 2019 on pts/0
Last failed login: Thu May 23 17:59:49 CST 2019 on pts/0
There was 1 failed login attempt since the last successful login.
welcome to my world.please smile

[root@VM_158_86_centos ~]# cd /
[root@VM_158_86_centos /]# vim test.sh
[root@VM_158_86_centos /]# bash test.sh 
我是root建立的可執行文件
[root@VM_158_86_centos /]# su - skyuser1
Last login: Thu May 23 17:52:27 CST 2019 on pts/0
welcome to my world.please smile

[skyuser1@VM_158_86_centos /]$bash test.sh 
我是root建立的可執行文件
[skyuser1@VM_158_86_centos /]$ll test.sh 
-rw-r--r-- 1 root root 54 May 23 18:00 test.sh
複製代碼

umask

創建一個新的文件或目錄時,該文件的默認權限會根據umask來設定

umask就是指定 目前用戶在創建文件或目錄時候的權限默認值

[root@VM_158_86_centos vbird]# umask 
0022
[root@VM_158_86_centos vbird]# umask -S
u=rwx,g=rx,o=rx

複製代碼

通常文件的創建不該該有執行權限,通常文件一般用於數據的記錄,因此不須要x權限

-rw-rw-rw-
複製代碼

目錄的x權限決定用戶是否能進入該目錄,因此通常須要x權限

drwxrwxrwx
複製代碼

umask的分數指的是該默認值須要減掉的權限

因此上面減下來:

-rw-r--r--
drwxr-xr-x
複製代碼

出於安全考慮root的默認umask 022,普通用戶的默認umask 002,保留同羣組的寫入權利

文件隱藏屬性

操做:

+ :增長一個特殊參數
- :移除一個特殊參數
= :設定一個特殊參數
複製代碼

option:

a:這個文件只能新增數據,不能刪除,修改數據,只有root能設定
i:不能刪除,更名,設定連結,沒法新增編輯數據,只有root能設定
複製代碼

command:

lsattr [-adR] file Or Directory
-a:隱藏文件的屬性顯示出來
-d: 目錄自己的隱藏屬性
-R:連同子目錄也一併列出來
複製代碼

chattr:

chattr +aiS testFile
複製代碼

文件特殊權限

rwt rws

[root@VM_158_86_centos ~]# ll -d /tmp
drwxrwxrwt. 7 root root 4096 5月  27 03:31 /tmp
[root@VM_158_86_centos ~]# ll /usr/bin/passwd
-rwsr-xr-x. 1 root root 27832 6月  10 2014 /usr/bin/passwd
複製代碼

Set UID(SUID)

/etc/shadow:保存着帳戶信息

[root@VM_158_86_centos ~]# ll /etc/shadow
---------- 1 root root 1133 May 23 17:55 /etc/shadow
複製代碼

/etc/shadow這個文件只有root能夠讀寫

但普通用戶能經過/usr/bin/passwd命令執行寫入或更改密碼的操做,也就是能夠經過passwd向文件/etc/shadow寫入修改數據的緣由就是SUID

-rwsr-xr-x. 1 root root 27832 6月  10 2014 /usr/bin/passwd
複製代碼
[wuyuhong@VM_158_86_centos ~]$ passwd
Changing password for user wuyuhong.
Changing password for wuyuhong.
(current) UNIX password: 
New password: 
Retype new password: 
passwd: all authentication tokens updated successfully.
複製代碼

SUID生效過程

wuyuhong對於/usr/bin/passwd具備x權限,表示wuyuhong能執行passwd

passwd的擁有者是root;

wuyuhong執行passwd的過程,會<暫時>得到root的權限;

/etc/shadow就能夠被wuyuhong所執行的passwd所修改;prefect
複製代碼

然而

[wuyuhong@VM_158_86_centos ~]$ cat /etc/shadow
cat: /etc/shadow: Permission denied
[wuyuhong@VM_158_86_centos ~]$ ll /usr/bin/cat
-rwxr-xr-x 1 root root 54160 Oct 31  2018 /usr/bin/cat
複製代碼

cat指令沒有SUID屬性,so 不能cat /etc/shadow

SUID只對二進制可執行文件有效

SET GID(SGID)

locate指令具備SGID屬性

[root@VM_158_86_centos ~]# ll /usr/bin/locate 
-rwx--s--x 1 root slocate 40520 Apr 11  2018 /usr/bin/locate
複製代碼

locate的本質是去查詢/var/lib/mlocate/mlocate.db數據庫,從而獲取結果

updatedb手動更新數據庫,更新新增的文件、配置等

[root@VM_158_86_centos ~]# ll /var/lib/mlocate/mlocate.db 
-rw-r----- 1 root slocate 3107582 May 27 16:13 /var/lib/mlocate/mlocate.db
複製代碼

這裏能夠看出只有root能讀寫mlocate.db,slocate羣組能讀取mlocate.db

見證奇蹟

[root@VM_158_86_centos ~]# ll /usr/bin/locate 
-rwx--s--x 1 root slocate 40520 Apr 11  2018 /usr/bin/locate
[root@VM_158_86_centos ~]# ll /var/lib/mlocate/mlocate.db 
-rw-r----- 1 root slocate 3107582 May 27 16:13 /var/lib/mlocate/mlocate.db
[root@VM_158_86_centos ~]# su - wuyuhong
Last login: Mon May 27 16:13:58 CST 2019 on pts/0
welcome to my world.please smile

[wuyuhong@VM_158_86_centos ~]$ locate /usr/bin/passwd
/usr/bin/passwd

複製代碼
[root@VM_158_86_centos ~]# ll /usr/bin/locate 
-rwx--s--x 1 root slocate 40520 Apr 11  2018 /usr/bin/locate
和SUID很類似,locate的other用戶執行權限是x,具備執行權限
locate羣組擁有者是slocate
執行locate的過程,會<暫時>得到slocate的權限;
so.slocate能夠讀取mlocate;prefect

複製代碼
SGID對二進制程序有用;
程序執行者對於該程序來講,需具有x的權限;
執行者在執行的過程當中會得到該程序羣組的支持
複製代碼

SGID不只對二進制可執行文件有效,對目錄依然有效

用戶若對於此目錄具備r與x權限,該用戶可以進入此目錄;
用戶在此目錄下的有效羣組(effective group)將變成該目錄的羣組;
用途:若用戶在此目錄下具備w權限,則使用者所創建的新文件,該新文件的羣組與此目錄的羣組相同
複製代碼

模擬測試:

[root@VM_158_86_centos ~]# groupadd project
[root@VM_158_86_centos ~]# useradd -G project pro_user1
[root@VM_158_86_centos ~]# useradd -G project pro_user2
[root@VM_158_86_centos ~]# id pro_user1
uid=1006(pro_user1) gid=1011(pro_user1) groups=1011(pro_user1),1010(project)
[root@VM_158_86_centos ~]# id pro_user2
uid=1007(pro_user2) gid=1012(pro_user2) groups=1012(pro_user2),1010(project)
[root@VM_158_86_centos ~]# mkdir /srv/prohome
[root@VM_158_86_centos ~]# ll -d /srv/prohome/
drwxr-xr-x 2 root root 4096 May 27 16:51 /srv/prohome/
[root@VM_158_86_centos ~]# chgrp project /srv/prohome/
[root@VM_158_86_centos ~]# chmod 770 /srv/prohome/
[root@VM_158_86_centos ~]# ll -d /srv/prohome/
drwxrwx--- 2 root project 4096 May 27 16:51 /srv/prohome/

[root@VM_158_86_centos ~]# su - pro_user1
welcome to my world.please smile

[pro_user1@VM_158_86_centos ~]$ cd /srv/prohome/
[pro_user1@VM_158_86_centos prohome]$ touch abc.txt
[pro_user1@VM_158_86_centos prohome]$ exit
logout

[root@VM_158_86_centos ~]# su - pro_user2
welcome to my world.please smile

[pro_user2@VM_158_86_centos ~]$ cd /srv/prohome/
[pro_user2@VM_158_86_centos prohome]$ echo "hello" > abc.txt
-bash: abc.txt: Permission denied
[pro_user2@VM_158_86_centos prohome]$ ll abc.txt 
-rw-rw-r-- 1 pro_user1 pro_user1 0 May 27 17:14 abc.txt
複製代碼

abc.txt文件屬於pro_user1的用戶,同時也屬於pro_user1

所以 pro_user2沒有寫入權限 只有r只讀權限

這時就須要賦予/srv/prohome/的SGID權限 讓pro_user1和pro_user2建立的文件爲project羣組文件

[pro_user1@VM_158_86_centos ~]$ cd /srv/prohome/
[pro_user1@VM_158_86_centos prohome]$ touch hello
[pro_user1@VM_158_86_centos prohome]$ ll hello 
-rw-rw-r-- 1 pro_user1 project 0 May 27 22:37 hello


su: Authentication failure
[pro_user1@VM_158_86_centos prohome]$ su - root
Password: 
Last login: Mon May 27 22:28:36 CST 2019 from 183.220.26.92 on pts/0
welcome to my world.please smile


[root@VM_158_86_centos ~]# su - pro_user2
Last login: Mon May 27 17:14:36 CST 2019 on pts/0
Last failed login: Mon May 27 22:38:49 CST 2019 on pts/0
There was 1 failed login attempt since the last successful login.
welcome to my world.please smile

[pro_user2@VM_158_86_centos ~]$ cd /srv/prohome/
[pro_user2@VM_158_86_centos prohome]$ echo "123" > hello
[pro_user2@VM_158_86_centos prohome]$ cat hello
123

複製代碼

添加SGID後建立的文件就爲同組的主組project 同組的成員就能夠訪問和修改文件了

Sticky Bit

只對目錄有效

當用戶對於此目錄具備w,x權限,即具備寫入權限時;
當用戶在該目錄下創建文件或目錄時,僅有本身和root纔有權利操做該文件
複製代碼

意思就是隻有本身能操做該目錄下本身建立的文件,不能操做其餘人建立的文件,其餘人(同組,或other具備權限)有執行權限,也不能操做個人文件,我有其餘人(同組,或other具備權限)的執行權限,也不能操做其餘人的文件

設定SUID SGID SBIT

4爲SUID
2爲GID
1爲SBIT

chmod 4755 XXX;
chmod 7755 XXX;
chmod u=rwxs,go=x XXX;
chmod u+s g+s o+t XXX

chmod 7666 test;ls -l test;
-rwSrwSrwT 
666表示沒有執行權限 因此這裏設置7,因此爲SST,SST表示無效狀態

複製代碼

ACL (access control list)靈活的賦予特殊權限

爲何須要ACL?

傳統的Linux權限只能針對一個用戶(建立者),一個羣組以及非此羣組的其餘人設定權限

假如我須要對該文件設定3個不一樣用戶,兩個不一樣羣組的不一樣權限此時應該怎麼辦?
傳統的權限控制是沒法作到的,只有用ACL這個更細緻的權限控制能夠解決,
而傳統的權限控制控制了一個大的範圍,ACL再細分小的範圍,真是太完美啦
複製代碼

那 ACL 主要能夠針對哪些方面來控制權限呢?他主要能夠針對幾個項目:

使用者 (user):能夠針對使用者來配置權限;
羣組 (group):針對羣組爲對象來配置其權限;
默認屬性 (mask):還能夠針對在該目錄下在建立新文件/目錄時,規範新數據的默認權限;

複製代碼
相關文章
相關標籤/搜索