redhat7:用戶、組和權限

 

 

用戶：

　　任何用戶被分配一個獨特的用戶id號（UID）  （UID 0標識root用戶    用戶帳號一般從UID 1000開始（在redhat6及以前的版本，從500開始））  。  

　　用戶名和UID信息一般存儲在/etc/passwd文件中 。   

　　當用戶登陸時它被分配一個主目錄而且運行一個程序。

　　沒有權限許可用戶不能讀取、寫或執行其它用戶的文件（這對root用戶無效）。

 

組：

　　用戶指派給組（linux的組是不能嵌套的。redhat7中，已經再也不限制用戶分配的組的數量；5版本及以前的版本，單個用戶最多隸屬於32個組。） 。   

　　每個組被分配一個獨特的組ID(gid)  。  

　　GID保存在/etc/group中。    

　　每個用戶都有本身的私有組。    

　　同一個組中的全部用戶能共享屬於這個組的文件。

用戶和組ID數字：    

　　用戶名映射到用戶ID數字(ll -n)。

　　組名映射到組ID數字。    

　　存儲在硬盤上的數據是數字形式存儲。

 

linux文件安全：

　　每個文件都屬於一個UID和GID全部

　　任何進程運行時都帶一個uid和一個或多個gid標識符（一般決定於哪一個用戶執行這個進程）

      三種訪問類別： 1. 運行的進程跟文件有着一樣的UID（user） 2. 運行的進程跟文件有着一樣的GID（group）  3.其它進程（other）

 

權限優先：    

　　若是UID匹配，用戶權限適用（優先級最高）；不然，若是GID匹配，組權限適用（優先級其次）；若是都不匹配，其它權限適用（優先級最低）。

 

權限類型：

　　在顯示權限的時候用到的四個符號（  r:容許讀取文件或者顯示一個目錄下的全部內容;  w：容許寫文件或者在一個目錄中建立和刪除文件;  x：容許執行一個應用程序或者進入一個目錄列出它下面的全部內容（若是沒有x權限，對於目錄來講，上面兩種權限就沒有意義，沒法使用）  -：沒有任何權限（在r,w或者x的顯示位置）)。

 

檢查權限：    

　　 經過ls -l可查看文件權限。

　　$ls -l /bin/login  -rwxr-xr-x. 1 root root 1980 Apr 1 18:26 /bin/login    

　　文件類型和權限經過11個字符來表示（第一個-號爲文件類型符；中間九個被稱爲文件權限位，每三個一組（用戶，組，其它）；最後一位"."被稱爲acl狀態符）。  

　　示例：      -rwxr-x---. 1 andersen trusted 2948 Oct 11 14:07 myscript     

　　myscript文件的全部者andersen具備讀取、寫和執行權限 ，trusted組成員對它具備讀取和執行權限，其它用戶或組對它不具備任何訪問權限，未設置ACL權限。

 

改變文件全部權：    

　　只有root用戶能改變一個文件的全部者    

　　只有root用戶或者全部者能改變文件的組（全部者只能將文件的組改到全部者所隸屬於的組的範圍中，不能改到全部者不屬於的組中）    

　　經過chown命令改變用戶全部權(能夠同時改變文件的擁有者和擁有組)  chown [-R] user_name file|directory...    

　　經過chgrp命令改變組全部權  chgrp [-R] group_name file|directory...

 

改變權限-符號方法：    

　　改變訪問模式：chmod [-R] mode file    

　　　　　　　　　模式包括  u,g或者o表示文件所屬用戶，組以及其它用戶  +或者-表示容許或者禁止  r,w或者x表示讀取，寫和執行。

　　　　 示例：  chmod ugo+r file  :容許全部用戶對該文件具備讀取權限

 

改變權限-數字方法：

　　使用三位數字模式  第一位數字指定全部者權限 ； 第二位數字指定所屬組權限 ； 第三位數字表示其它用戶的權限。權限經過累加的方式來計算：  4（讀取），2（寫），1（執行）,0(無權限)    

　　　　示例：  chmod 640 myfile

 

改變權限-Nautilus：

　　Nautilus能設置文件或者目錄的權限以及組成員  

　　在Nautilus窗口中，右鍵單擊一個文件  右鍵菜單中選擇‘屬性’，而後選擇‘權限’tab

 

默認許可：    

　　對目錄來講默認許可777是最小的掩碼    

　　對於文件默認許可同目錄默認許可，可是沒有執行權限，即666    

　　掩碼經過umask命令設置    

　　非特權用戶的掩碼是002：那麼文件將有許可664  目錄將有許可775    

　　root的掩碼是022

　　　　例：  用root建立目錄，默認生成的是777-022=755

 

賦執行權限：    

　　suid：命令運行時具備命令全部者權限，不是命令的執行者（僅做用在命令上）（經過chmod u+s賦權限）（大寫S表示該文件原先沒有執行x權限，小寫s表示文件原先具備執行x權限。）

　　sgid：命令運行時具備命令所在組權限的合併（可用在命令，也可用在目錄上）（經過chmod g+s賦權限）

 

給目錄賦權限：    

　　 sticky bit（只做用於目錄）（經過chmod o+t給目錄賦權限）。帶有sticky bit的目錄，目錄中的文件只能被全部者或者root刪除    

　　 sgid：  在帶有sgid位設置的目錄下建立的文件有目錄的組的權限的累加