首页 > 系统相关 >Linux权限管理

Linux权限管理

时间:2023-09-16 15:01:41浏览次数:37  
标签:文件 管理 list 用户 命令 Linux 权限 目录

Linux基本权限

1、权限:代表Linux中的用户能对文件和文件夹做哪些操作

  • 访问权限
  • 读取 r:允许查看文件内容、显示目录列表
  • 写入 w:允许修改文件内容,允许在目录中新建、移动、删除文件或子目录
  • 可执行 x:允许运行程序、切换目录
  • 归属(所有权)
  • 属主:拥有该文件或目录的用户帐号
  • 属组:拥有该文件或目录的组帐号

2、权限表示方法:

在表示属主、属组内用户或其他用户对该文件的访问权限时,主要使用了四种不同的权限字符:

  • r 可读 ;w 可写 ;x 可执行 ;- 无权限
  • r、w、x、- 权限字符还可分别表示为8进制数字4、2、1、0
  • 例如:
  • rw-r-----: 640
  • 660: rw-rw----
  • rwxrwxr-x: 775

3、设置文件和目录的权限命令chmod

格式:

  • chmod [ugoa] [+-=] [rwx] 文件或目录...
  • chmod nnn 文件或目录...

注:

  • u、g、o、a 分别表示属主、属组、其他用户、所有用户
  • +、-、= 分别表示增加、去除、设置权限
  • nnn 代表3位八进制数

常用命令选项

  • -R:递归修改指定目录下所有子项的权限

例:

  • chmod u+wx 给所有者增加写和执行权限
  • chmod o-rx 取消其他人的读和执行权限
  • chmod g=rwx 不管原来是什么权限,让所属组有所有权限

4、设置文件和目录的归属命令chown

格式:

  • chown 属主 文件或目录
  • chown : 属组 文件或目录
  • chown 属主 : 属组 文件或目录

常用命令选项:

  • -R:递归修改指定目录下所有文件、子目录的归属

5、命令名称 chgrp

  • 命令英文原意:change the file group ownership
  • 命令所在路径:/bin/chgrp
  • 执行权限:所有用户
  • 语法:chmod [用户组] 文件或目录
  • 功能描述:改变文件或目录的所属组
  • 范例:$chgrp adm file1
  • 改变文件 file1 的所属组为 adm

6、命令名称 umask

  • 命令所在路径:/bin/umask
  • 执行权限:所有用户
  • 语法:umask –S
  • -Srwx 形式显示新建文件或目录缺省权限
  • -S以rwx形式显示新建文件或目录缺省权限
  • 功能描述:显示、设置文件的缺省权限
  • 范例:
  • $ umask
  • $ umask -S

特殊权限

1、SUID

  • SUID简介:
  1. 只有可以执行的二进制程序文件才能设定SUID权限,非二进制文件设置SUID权限没任何意义.
  2. 命令执行者要对该程序文件拥有执行(x)权限.
  3. 命令执行者在执行该程序时获得该程序文件属主的身份.
  4. SUID权限只在该程序执行过程中有效,也就是说身份改变只在程序执行过程中有效。
  • 语法: chmod u+s file
  • 运行某程序时,相应进程的属主是程序文件自身的属主,而不是用户本身了,只对二进制程序有效,执行者对于程序需要有 x 权限
  • 例子:passwd命令是一个可执行的二进制文件,可以使用它进行用户密码的修改。 root和普通用户都可以执行
  • [root@mall ~]# ll /etc/passwd
    -rw-r--r-- 1 root root 1330 Apr 9 00:50 /etc/passwd

2、SGID

  • 对于目录:
  • 用户对此目录有rx权限可以进入目录
  • 用户进入此目录后,有效用户组会变成该目录的用户组
  • 若用户在此目录有w权限,则用户创建的文件用户组与该目录用户组相同
  • SGID简介:
  1. 只有可执行二进制程序才能设置SGID权限
  2. 命令执行者要对该程序拥有执行(x)权限
  3. 命令执行者在执行程序的时候,组身份升级为该可执行程序文件的属组
  4. SGID权限只在该程序执行过程中有效,也就是组身份只在程序执行过程中发生改变,命令结束用户组身份恢复.

3、Sticky(SBIT)

  • 只针对目录有效,当用户对目录拥有wx权限时,用户在该目录创建的文件或目录,只有自己与root才可以删除。
  • 在一个公共目录,每个人都可以创建文件,删除自己的文件,但是不能删除别人的文件(冒险位,粘贴位)
  • 语法:chmod o+t 文件夹名

4、SUID是4 SGID是2 SBIT是1

  • chmod 4755 filename
  • 第一个4代表的就是这三个特殊命令,后面的755是普通权限。上面的命令把filename这个文件加入了SUID权限。

FACL 权限

  • 文件系统访问控制列表
  • FACL: filesystem access control list
  • 利用文件的扩展属性,保存了额外的访问控制权限

getfacl 查看

查看caiwu文件夹的额外权限。

[root@mall abc]# getfacl /project/caiwu/

getfacl: Removing leading '/' from absolute path names

# file: project/caiwu/

# owner: caijing

# group: caiwubu

user::rwx

group::r-x

other::---

setfacl 设置

语法:setfacl [-bkRd] [-m|-x acl 参数] 目标文件名

选项与参数:

  • -m:设置权限,设置后续的acl参数,不可与-x一起使用
  • -x: 取消权限,删除后续的acl参数,不可与-m一起使用
  • -b:删除所有的acl参数
  • -k:删除默认的acl参数
  • -R:递归设置acl参数
  • -d:设置默认acl参数,只对目录有效

setfacl -m m:rw inittab

        -m设定,可以设定到用户或者是组上

             u:uid:perm

             g:gid:perm

权限的优先级

  • 设置的 facl 权限和普通权限有冲突时:
  • owner>facl,user> group > facl group>
  • 如果属于属主,则使用属主的权限,若不属于,再看facl 是的user,也不属于再看基本权限里的group,再看facl里的group
  • 所有权限都不能超过mask的权限


sudo 提权

  • su 命令切换用户的时候,需要输入对方账户的密码,导致密码安全性不够

sudo:

  • 某个用户能够以另外一个用户的身份通过某主机执行某命令,而不用输入对方账户密码
  • sudo 的配置文件 /etc/sudoers
  • 每一行就定义了一个sudo的条目:
  • who which——hosts = (runas)TAG:command
  • 基本配置格式
  • < user list > < host list > = < operator list > < tag list > < command list >
  • user list 用户/组,或者已经设置的用户的别名列表, 用户名直接 username,用户组加上%,比如%admin,
  • host list 主机名或别名列表
  • operator list runas用户,即可以以哪个用户、组的权限来执行
  • command list 可以执行的命令或列表,使用命令的绝对路径,多个命令间用逗号隔开
  • tag list 这个经常用到的是 NOPASSWD: ,添加这个参数之后可以不用输入密码
  • 别名机制:类似定义了一个组
  • 4类别名:
  • 用户别名: User_Alias
  • 主机别名: Hosts_Alias
  • 参照用户: Runas_Alias
  • 命令别名: Cmnd_Alias
  • 别名的名字只能使用大写的英文字母组合
  • 别名:可使用!取反
  • User_Alias USERADMIN = 系统用户名 或 %组名 或用户别名
  • Hosts_Alias 主机名 IP 网络地址 其它主机名 可以嵌套
  • Runas_Alias 用户名 #UID 别名
  • Cmnd_Alias 命令绝对路径 目录(下面所有命令) 其它定义的命令别名

记录 sudo 日志到指定的文件:

  • 编辑/etc/sudoers文件,添加如下行:
  • Defaults logfile=/var/log/sudo.log
  • Defaults !syslog
  • visudo -c 可以检查配置文件语法

标签:文件,管理,list,用户,命令,Linux,权限,目录
From: https://blog.51cto.com/u_16206331/7493879

相关文章

  • 10422电子商务运营管理
     第一章、电子商务概述 第二章、电子商务的基本模型 第三章、电子商务基础设施 第四章、电子商务安全技术 第五章、电子支付及电子货币 第六章、电子商务玉物流 第七章、EDI1、EDI组成三要素:通信网络(实现的基础)、由计算机硬件和软件组成(应用环境)、EDI标准......
  • Linux中可以建立新文件的命令
    整理了一些可以建立文件的命令首先,新建一个空目录$mkdirnewdir$cdnewdir/touchtouch命令是将每个文件的访问权限都更新为目前的时间,如果文件不存在则会创建一个新的文件。$touchfile1.txt$lsfile1.txtvimvim是使用vim编辑器打开一个文件,如果文件不存在,会创建一......
  • 已解决!在任务栏打开资源管理器,提示该文件没有与之关联的应用来执行该操作
    不知道怎么回事我点击任务栏中的资源管理器会提示如图 然后我就在网上搜索解决方法终于耗费几个小时找到了办法首先你需要在桌面新建一个文本文档然后在文档中输入WindowsRegistryEditorVersion5.00;RevertDefault[HKEY_CURRENT_USER\SOFTWARE\Classes\Directory\shel......
  • 基于微信小程序的学生管理系统
    互联网发展至今,无论是其理论还是技术都已经成熟,而且它广泛参与在社会中的方方面面。它让信息都可以通过网络传播,搭配信息管理工具可以很好地为人们提供服务。针对高校教师成果信息管理混乱,出错率高,信息安全性差,劳动强度大,费时费力等问题,采用小程序学生管理系统可以有效管理,使信息管......
  • 基于微信小程序的快递管理平台
    社会发展日新月异,用计算机应用实现数据管理功能已经算是很完善的了,但是随着移动互联网的到来,处理信息不再受制于地理位置的限制,处理信息及时高效,备受人们的喜爱。所以各大互联网厂商都瞄准移动互联网这个潮流进行各大布局,经过多年的大浪淘沙,各种移动操作系统的不断面世,而目前市场占......
  • 向上管理
    148人赞同了该回答管理大师德鲁克曾说:“你不必喜欢、崇拜或憎恨你的老板,但你必须管理他,让他为你的成效、成果和成功提供资源。”这种积极的做法,就叫作“向上管理”。有些人会说:“向上管理我知道啊,事实上我也一直都在管理。我经常跟老板表达需求,但是老板就是一意孤行,我觉得......
  • 数之能设备管理云平台是什么?有什么功能?
    为提供轻便化、灵活性、高效率的设备运营管理服务,实现对全国各地区的工业设备统一接入和管理,数之能推出设备管理云平台,提供广泛的设备接入和远程数据服务,而且可以根据需求进行开发定制。数之能设备管理云平台支持接入PLC、仪器仪表、工业机器人、CNC机床、传感器等设备,实现资产管理......
  • 基于微信小程序的小区管理系统
    社会发展日新月异,用计算机应用实现数据管理功能已经算是很完善的了,但是随着移动互联网的到来,处理信息不再受制于地理位置的限制,处理信息及时高效,备受人们的喜爱。所以各大互联网厂商都瞄准移动互联网这个潮流进行各大布局,经过多年的大浪淘沙,各种移动操作系统的不断面世,而目前市场占......
  • 基于微信小程序的社区垃圾回收管理系统
    社会发展日新月异,用计算机应用实现数据管理功能已经算是很完善的了,但是随着移动互联网的到来,处理信息不再受制于地理位置的限制,处理信息及时高效,备受人们的喜爱。所以各大互联网厂商都瞄准移动互联网这个潮流进行各大布局,经过多年的大浪淘沙,各种移动操作系统的不断面世,而目前市场占......
  • Linux 6.6 中的 SELinux 删除了 NSA 的引用
    导读SecurityEnhanced Linux (SELinux)二十年来一直是主线内核的一部分,它提供了一个实现访问控制安全策略的模块,现在广泛用于增强生产Linux服务器和其他系统的安全性。长期接触Linux的人可能不知道SELinux源自美国国家安全局(NSA)。但是现在Linux6.6中NSA的引......