Linux權限管理(week1_day5)--技術流ken

 

權限概述

 

Linux系統通常將文件可存/取訪問的身份分爲3個類別：owner（擁有者）、group（和全部者同組的用戶）、others（其餘人，除了全部者，除了同組的用戶以及除了超級管理員），且3種身份各有read（讀）、write（寫）、execute（執行）等權限。

 

權限介紹

 

什麼是權限？

在多用戶（能夠不一樣時）計算機系統的管理中，權限是指某個特定的用戶具備特定的系統資源使用權力，像是文件夾、特定系統指令的使用或存儲量的限制。

 

在Linux中分別有讀、寫、執行權限：

讀權限：

　　對於目錄來講，讀權限影響用戶是否可以列出目錄結構

　　對於文件來講，讀權限影響用戶是否能夠查看文件內容

 

寫權限：

　　對目錄來講，寫權限影響用戶是否能夠在文件夾下「建立/刪除/複製到/移動到」文檔

　　對於文件來講，寫權限影響用戶是否能夠編輯文件內容

 

執行權限：

　　對於目錄來講：執行權限影響用戶是否能夠執行cd操做

　　對於文件來講，特別腳本文件。執行權限影響文件是否能夠運行。

 

身份介紹

 

Owner身份（文件全部者，默認爲文檔的建立者）

因爲Linux是多用戶、多任務的操做系統，所以可能經常有多人同時在某臺主機上工做，但每一個人都可在主機上設置文件的權限，讓其成爲我的的「私密文件」，即我的全部者。由於設置了適當的文件權限，除本人（文件全部者）以外的用戶沒法查看文件內容。

 

Group身份（與文件全部者同組的用戶）

與文件全部者同組最有用的功能就體如今多個團隊在同一臺主機上開發資源的時候。例如主機上有A、B兩個團體（用戶組），A中有a1,a2,a3三個成員，B中有b1,b2兩

個成員，這兩個團體要共同完成一份報告F。因爲設置了適當的權限，A、B團體中的成員都能互相修改對方的數據，可是團體C的成員則不能修改F的內容，甚至連查看

的權限都沒有。同時，團體的成員也能設置本身的私密文件，讓團隊的其它成員也讀取不了文件數據。在Linux中，每一個帳戶支持多個用戶組。如用戶a一、b1便可屬於A用戶組，也能屬於B用戶組【主組和附加組】。

 

Others身份（其餘人，相對於全部者與同組用戶）

這個是個相對概念。打個比方，大明、二明、小明一家三兄弟住在一間房，房產證上的登記者是大明（owner全部者），那麼，大明一家就是一個用戶組，這個組有大明、二明、小明三個成員；另外有我的叫張三，和他們三沒有關係，那麼這個張三就是其餘人（others）了。

同時，大明、二明、小明有各自的房間，三者雖然能自由進出各自的房間，可是小明不能讓大明看到本身的情書、日記等，這就是文件全部者（用戶）的意義。

 

Root用戶（超級用戶）

在Linux中，還有一個神同樣存在的用戶，這就是root用戶，由於在全部用戶中它擁有最大的權限 ，因此管理着普通用戶。

 root用戶能夠無視讀寫權限，root用戶無執行權限也是沒法執行，但自身能夠加上權限 。

 

 Linux權限介紹

 

要設置權限，就須要知道文件的一些基本屬性和權限的分配規則。在Linux中，ls命令經常使用來查看文件的屬性，用於顯示文件的文件名和相關屬性。

 

標紅的部分就是Linux的文檔權限屬性信息。

Linux中存在用戶（owner）、用戶組（group）和其餘人（others）概念，各自有不一樣的權限，對於一個文檔來講，其權限具體分配以下：

 

十位字符表示含義：

　　第1位：表示文檔類型，取值常見的有「d表示文件夾」、「-表示文件」、「l表示軟鏈接」、「s表示套接字」、「c表示字符設備」、「b表示塊狀設備」等等；

　　第2-4位：表示文檔全部者的權限狀況，第2位表示讀權限的狀況，取值有r、-；第3位表示寫權限的狀況，w表示可寫，-表示不可寫，第4位表示執行權限的狀況，取值有x、-。

　　第5-7位：表示與全部者同在一個組的用戶的權限狀況，第5位表示讀權限的狀況，取值有r、-；第6位表示寫權限的狀況，w表示可寫，-表示不可寫，第7位表示執行權限的狀況，取值有x、-。

　　第8-10位：表示除了上面的前2部分的用戶以外的其餘用戶的權限狀況，第8位表示讀權限的狀況，取值有r、-；第9位表示寫權限的狀況，w表示可寫，-表示不可寫，第10位表示執行權限的狀況，取值有x、-。

 

權限分配中,均是rwx的三個參數組合，且位置順序不會變化。沒有對應權限就用 – 代替。

 

權限設置

 

語法：#chmod 選項 權限模式 文檔

注意事項：

經常使用選項：

-R：遞歸設置權限 （當文檔類型爲文件夾的時候）

權限模式：就是該文檔須要設置的權限信息

文檔：能夠是文件，也能夠是文件夾，能夠是相對路徑也能夠是絕對路徑。

注意點：若是想要給文檔設置權限，操做者要麼是root用戶，要麼就是文檔的全部者。

 

一、字母形式

 

給誰設置：

u：表示全部者身份owner（user）

g：表示給全部者同組用戶設置（group）

o：表示others，給其餘用戶設置權限

a：表示all，給全部人（包含ugo部分）設置權限

若是在設置權限的時候不指定給誰設置，則默認給全部用戶設置

 

權限字符：

r：讀

w：寫

x：表示執行

-：表示沒有權限

 

權限分配方式：

+：表示給具體的用戶新增權限（相對當前）

-：表示刪除用戶的權限（相對當前）

=：表示將權限設置成具體的值（注重結果）【賦值】

 

例如：須要給/root/anaconda-ks.cfg文件（-rw-------.）設置權限，要求全部者擁有所有的權限，同組用戶擁有讀和寫權限，其餘用戶只讀權限。

答案：

全部者：所有權限（rwx）

同組用戶：讀寫（rw）

其餘：只讀（r）

[root@ken ~]# chmod u+x,g+rw,o+r anaconda-ks.cfg

 

二、數字形式

常常會在一些技術性的網頁上看到相似於#chmod  777  a.txt  這樣的一個權限，這種形式稱之爲數字形式權限（777）。

 

讀：r        4

寫：w       2

執行：x    1

沒有任何權限：0   對應---

 

 

例如：須要給anaconda-ks.cfg設置權限，權限要求全部者擁有所有權限，同組用戶擁有讀執行權限，其餘用戶只讀。

全部者權限 = 所有權限 = 讀 + 寫 +執行 = 4 + 2 + 1 = 7

同組用戶權限 = 讀權限 + 執行權限 = 4 + 1 = 5

其餘用戶權限 = 讀權限 = 4

最終得出的結果是754

[root@ken ~ ]# chmod 754 anaconda-ks.cfg

 

 

面試題：用超級管理員設置文檔的權限命令是#chmod -R 731 aaa，請問這個命令有沒有什麼不合理的地方？

全部者 = 7 = 4 + 2 + 1 = 讀 + 寫 + 執行

同組用戶 = 3 = 2 + 1 = 寫 + 執行 

其餘用戶 = 1 = 執行

問題在權限731中3表示寫+執行權限，可是寫又沒必要鬚鬚要能打開以後才能夠寫，所以必須須要具有讀權限，所以權限不合理。之後建議各位在設置權限的時候不要設置這種「奇葩權限」。

單獨出現二、3的權限數字通常都是有問題的權限

 

屬主和屬組設置

 

屬主：所屬的用戶（文件的主人），文檔全部者

屬組：所屬的用戶組

前面的那個root就是屬主

後面的那個root就是屬組

 

這兩項信息在文檔建立的時候會使用建立者的信息（用戶名放在前面的root、用戶所屬的主組名稱放在後面的root）。

 

之因此須要設置這個：若是有時候去刪除某個用戶，則該用戶對應的文檔的屬主和屬組信息就須要去修改（相似離職以前的工做交接）。

 

一、chown

做用：更改文檔的所屬用戶（change owner）

語法：#chown  -R  新的username 文檔路徑

 

-R：表示選項  文件不須要-R

目錄須要加-R

若是你要對目錄進行操做，加參數  -R

 

案例：

chown user:group filename   好比：chown hr:san a.txt  把文件的屬主和屬組改成hr,san

chown user filename  好比：chown san a.txt  把文件的屬主改成san用戶

chown :group filename  好比： chown :miao a.txt   把文件的屬組改成miao這個組

chown user: filename 好比：chown san: a.txt  自動繼承這個用戶全部的組

chgrp hr filename 好比： chgrp hr f.txt  

-R ：遞歸（目錄下的全部內容都更改，不然只修改目錄）

 

文件的特殊權限

 

suid  sgid和文件擴展權限ACL

其實文件與目錄設置不止這些，還有所謂的特殊權限。因爲特殊權限會擁有一些「特權」.

 

特殊權限：suid sgid

 

一、SUID（set uid設置用戶ID）：限定：只能設置在二進制可執行程序上面。對目錄設置無效

功能：程序運行時的權限從執行者變動成程序全部者的權限

 

二、SGID：限定：既能夠給二進制可執行程序設置，也能夠對目錄設置

功能：在設置了SGID權限的目錄下創建文件時，新建立的文件的所屬組會，繼承上級目錄的所屬組

SUID	SGID
u+s或u=4	g+s或g=2

SUID屬性通常用在可執行文件上，當用戶執行該文件時，會臨時擁有該執行文件的全部者權限。使用」ls -l」 或者」ll」 命令瀏覽文件時，若是可執行文件全部者權限的第三位是一個小寫的」s」，就代表該執行文件擁有SUID屬性。

 

 例如如今普通用戶不能查看/etc/shadow文件

[root@ken ~]# su - ken
Last login: Wed Feb 27 22:26:26 CST 2019 on pts/0

  [ken@ken ~]$ cat /etc/shadow
  cat: /etc/shadow: Permission denied

 

如今賦予文件passwd特殊權限suid

[root@ken ~]# chmod u+s `which cat`
[root@ken ~]# ls -l `which cat`
-rwsr-xr-x. 1 root root 27832 Jun 10  2014 /usr/bin/cat

 

再次切換普通用戶執行cat,能夠發現能夠查看該文件了

[ken@ken ~]$ cat /etc/shadow
root:$6$9XC/lEl96ujGI9c8$E55wvS9amcKFj7/0HmblYg0j28FHwfymL.mQliqQNSElicrQKkZLurkSvVAv6NXM/KiJWFYV8NAh8imLiFedb/::0:99999:7:::
bin:*:17632:0:99999:7:::
daemon:*:17632:0:99999:7:::
adm:*:17632:0:99999:7:::
lp:*:17632:0:99999:7:::
sync:*:17632:0:99999:7:::
shutdown:*:17632:0:99999:7:::
halt:*:17632:0:99999:7:::
mail:*:17632:0:99999:7:::
operator:*:17632:0:99999:7:::
games:*:17632:0:99999:7:::
ftp:*:17632:0:99999:7:::

 

SGID

 

限定：既能夠給二進制可執行程序設置，也能夠給目錄設置。

功能：在設置了SGID權限的目錄下創建文件時，新建立的文件的所屬組會繼承上級目錄的權限。

[root@ken ~]# mkdir test1
[root@ken ~]# ls -ld test1
drwxr-xr-x 2 root root 6 Feb 27 22:38 test1
[root@ken ~]# chmod g+s test1
[root@ken ~]# chown :ken test1
[root@ken ~]# touch test1/test.txt
[root@ken ~]# ls -ls test1/test.txt
0 -rw-r--r-- 1 root ken 0 Feb 27 22:40 test1/test.txt

 

SBIT

 

對於設置sbit權限的文件，用戶只能刪除本身建立的文件，沒法刪除其餘用戶的文件

對目錄/tmp添加sbit權限，刪除文件的時候顯示拒絕操做

[root@ken ~]# chmod o+t /tmp
[root@ken ~]# useradd t1
[root@ken ~]# useradd t2
[root@ken ~]# su - t1
Last login: Thu Mar 14 14:04:37 CST 2019 on pts/1
[t1@ken ~]$ touch /tmp/t1
[t1@ken ~]$ exit
logout
[root@ken ~]# su - t2
Last login: Thu Mar 14 14:03:59 CST 2019 on pts/1
[t2@ken ~]$ touch /tmp/t2
[t2@ken ~]$ rm -rf /tmp/t1
rm: cannot remove ‘/tmp/t1’: Operation not permitted

 

去掉sbit權限以後，再次刪除便可

[root@ken ~]# chmod o-t /tmp
[root@ken ~]# su - t2
Last login: Fri Mar 15 12:49:54 CST 2019 on pts/4
[t2@ken ~]$ rm -rf /tmp/t1

 

文件擴展權限ACL

 

擴展ACL  ：access control list

例：設置用戶ken對文件a.txt擁有的rwx權限 ，ken不屬於a.txt的所屬主和組，ken是other。怎麼作？

[root@ken ~]# setfacl -m u:ken:rwx a.txt

-m表示設置的意思

 

查看擴展權限getfacl

[root@ken ~]# getfacl a.txt
# file: a.txt
# owner: root
# group: root
user::rw-
user:ken:rwx
group::r--
mask::rwx
other::r--

 

去除權限

[root@ken ~]#  setfacl -R -m u:ken:rw- testdirectory/    #-R必定要在-m前面，表示目錄下全部文件
[root@ken ~]#  setfacl -x u:ken /tmp/a.txt          # 去掉單個權限
[root@ken ~]#  setfacl -b  /tmp/a.txt              # 去掉全部acl權限

 

實戰sudo

 

問題：reboot、shutdown、init、halt、user管理，在普通用戶身份上都是操做不了，可是有些特殊的狀況下又須要有執行權限。又不可能讓root用戶把本身的密碼告訴普通用戶，這個問題該怎麼解決？

 

該問題是能夠被解決的，可使用sudo（switch user do）命令來進行權限設置。Sudo可讓管理員（root）事先定義某些特殊命令誰能夠執行。

 

默認sudo中是沒有除root以外用戶的規則，要想使用則先配置sudo。

 

Sudo配置文件：/etc/sudoers

該文件默認只讀，不容許修改，所以不能直接修改。

 

a. 配置sudo文件請使用「#visudo」，打開以後其使用方法和vim一致

   

b. 配置普通用戶的權限

Root表示用戶名，若是是用戶組，則能夠寫成「%組名」

ALL：表示容許登陸的主機（地址白名單）

(ALL)：表示以誰的身份執行，ALL表示root身份

ALL：表示當前用戶能夠執行的命令，多個命令可使用「,」分割

 

案例：建立ken用戶，自己ken用戶不能添加用戶，要求使用sudo配置，將其設置爲能夠添加用戶。

 

[root@ken ~]# su - ken
Last login: Wed Feb 27 22:34:04 CST 2019 on pts/0
[ken@ken ~]$ useradd test
-bash: /usr/sbin/useradd: Permission denied

 

 

修改sudo文件

注意：在寫sudo規則的時候不建議寫直接形式的命令，而是寫命令的完整路徑。

路徑可使用which命令來查看

語法：#which 指令名稱

 

在添加好對應的規則以後就能夠切換用戶，切換到普通用戶ken，再去執行：

 

此時要想使用剛纔的規則，則以如下命令進行：

#sudo 須要執行的指令

[root@ken ~]# su - ken
Last login: Wed Feb 27 22:51:26 CST 2019 on pts/0
[ken@ken ~]$ useradd  test            #須要加上sudo
-bash: /usr/sbin/useradd: Permission denied
[ken@ken ~]$ sudo useradd test1

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

[sudo] password for ken: 

 

在輸入sudo指令以後須要輸入當前的用戶密碼進行確認的操做（不是root用戶密碼），輸入以後在接下來5分鐘內再次執行sudo指令不須要密碼。