首页 > 其他分享 >权限管理

权限管理

时间:2022-12-26 17:24:52浏览次数:37  
标签:文件 管理 用户 chmod file 权限 目录

目录


1. 权限简介

文件的权限主要针对三类对象进行定义:

  • owner:属主,u
  • group:属组,g
  • other:其它,o

每个文件针对每个访问者都定义了三种权限:

权限 对应的操作对象 权限说明
r 文件 可读,可以使用类似cat等命令查看文件内容
w 文件 可写,可以编辑或删除此文件
x 文件 可执行,eXacutable,可以在命令提示符下
当作命令提交给内核运行
r 目录 可以对此目录执行ls以列出内部的所有文件
w 目录 可以在此目录中创建文件,也可删除此目录中的文件
x 目录 可以使用cd切换进此目录,也可以
使用ls -l查看内部文件的详细信息

权限的二进制与十进制转换:

权限 二进制 十进制
--- 000 0
--x 001 1
-w- 010 2
-wx 011 3
r-- 100 4
r-x 101 5
rw- 110 6
rwx 111 7

2. 权限管理命令

2.1 修改权限的命令chmod

//修改三类用户的权限:
//语法:chmod MODE file,...
    -R      //递归修改权限

//修改某类用户或某些类用户权限:
//u,g,o,a(用户类别)

//chmod 用户类别=MODE file,.....
//chmod 用户类别=MODE,用户类别=MODE file,.....
	

//修改某类的用户某位或某些位权限:
//u,g,o,a(用户类别)

//chmod 用户类别+|-MODE file,.....
//chmod 用户类别+|-MODE,用户类别+|-MODE file,.....
//chmod +|-MODE file,.....

2.2 修改文件属主和属组的命令chown

chown命令只有管理员可以使用。

//chown USERNAME file,...
    -R      //修改目录及其内部文件的属主

//chown USERNAME:GROUPNAME file,...
//chown USERNAME.GROUPNAME file,...

3. 遮罩码

为什么文件创建以后默认权限是644?
为什么目录创建以后默认权限是755?

这是由遮罩码umask来控制的。

从名字就能看出来,遮罩码umask是用来隐藏一些权限的。举例:如果你不想让人家认出你,你会怎么办?

文件最终的权限为:

  • 666-umask

目录最终的权限为:

  • 777-umask

文件默认是不能具有执行权限的,如果算得的结果有执行权限则将其权限整体加1。

4. linux安全上下文与特殊权限

4.1 linux安全上下文

前提:进程有属主和属组;文件有属主和属组

  • 任何一个可执行程序文件能不能启动为进程,取决于发起者对程序文件是否拥有可执行权限;
  • 启动为进程后,其进程的属主为发起者,属组为发起者所属的组
  • 进程访问文件时的权限取决于进程的发起者:
    • 进程的发起者是文件的属主时,则应用文件属主权限
    • 进程的发起者是文件的属组时,则应用文件属组权限
    • 应用文件“其它”权限

4.2 特殊权限

linux默认权限是根据linux安全上下文的方式来控制的,而特殊权限的存在打破了linux安全上下文的规则。

SUID(4)     //运行程序时,这个程序启动的进程的属主是程序文件自身的属主,而不是启动者为属主
    chmod u+s file
    chmod u-s file
    //如果file本身原来就有执行权限,则SUID显示为s,否则显示为S
    
SGID(2)     //运行程序时,这个程序启动的进程的属组是程序文件自身的属组,而不是启动者所属的基本组
    //默认情况下,用户创建文件时,其属组为此用户所属的基本组;
    //一旦某目录被设定了SGID,则对此目录有写权限的用户在此目录中创建的文件或目录,其所属的组 \
    //为此设定了SGID的目录的属组
    chmod g+s DIR
    chmod g-s DIR
    //如果file本身原来就有执行权限,则SGID显示为s,否则显示为S
    
Sticky(1)       //在一个公共目录,每个人都能创建文件,删除自己的文件,但是不能删除别人创建的文件
    chmod o+t DIR
    chmod o-t DIR
    //如果DIR本身原来就有执行权限,则Sticky显示为t,否则显示为T
    
4755    //有SUID,文件权限为755
2755    //有SGID,文件权限为755
1755    //有Sticky,文件权限为755
//这里前面的4、2、1分别表示SUID、SGID、Sticky

5. 文件系统访问控制列表facl

facl(Filesystem Access Control List),利用文件扩展保存额外的访问控制权限。

//语法:setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ...
    -m      //设定
        u:UID:perm
        g:GID:perm
    //setfacl -m u:test:rw file
    //setfacl -m g:test:rw file
    //如果要为某个目录设定默认的访问控制列表,只需要设定时在u或g前面加上d即可。 如:\
    //setfacl -m d:u:test:rw file,此时在此目录中创建的文件均继承此访问控制列表所设置的权限
    -x      //取消
        u:UID
        g:GID
    //setfacl -x u:test file
    //setfacl -x g:test file
    -b      //Remove all
        
//语法:getfacl [-aceEsRLPtpndvh] file ...
//getfacl file

6. sudo

sudo可以实现某个用户能够以另外哪一个用户的身份通过哪些主机执行什么命令

sudo的配置文件:/etc/sudoers

使用visudo命令进行sudo的配置,每一行就是一个sudo条目,条目格式如下:

  • who which_hosts=(runas) command
    • who:User_Alias,表示运行命令者的身份
    • which_hosts:Host_Alias,通过哪些主机
    • runas:Runas_Alias,以哪个用户的身份
    • command:Cmnd_Alias,运行哪些命令

别名必须全部而且只能使用大写英文字母的组合,可以使用感叹号取反

别名分类:

  • 用户别名:
    • User_Alias NETWORKADMIN =
      • 用户的用户名
      • 组名,使用%引导
      • 还可以其它已经定义的用户别名
  • 主机别名:
    • Host_Alias =
      • 主机名
      • IP地址
      • 网络地址
      • 其它主机别名
  • Runas别名:
    • Runas_Alias =
      • 用户名
      • %组名
      • 其它的Runas别名
  • 命令别名:
    • Cmnd_Alias =
      • 命令路径
      • 目录(此目录内的所有命令)
      • 其它已定义的命令别名
//sudo命令语法:sudo [options] COMMAND
    -V      //显示版本编号
    -h      //会显示版本编号及指令的使用方式说明
    -l      //列出当前用户可以使用的所有sudo类命令
    -v      //因为sudo在第一次执行时或是在N分钟内没有执行(N默认为5)会问密码,这个参数 \
            //是重新做一次确认,如果超过N分钟,也会问密码
    -k      //让认证信息失效,如果不指定-k,默认认证信息在5分钟后失效
    -b      //将要执行的指令放在后台执行
    -u USERNAME     //以指定的用户名执行命令,默认为root

7. 管理命令

w   //显示当前登录到系统的用户有哪些,以及其正在做什么        
sleep   //睡眠,写脚本为防止上一个命令没执行完下一命令就开始执行时可以加上sleep # \
        //表示停顿#秒后再执行后面的命令 
    sleep NUMBER[SUFFIX]...
        SUFFIX:
            s:秒,默认
            m:分
            h:小时
            d:天
last    //显示/var/log/wtmp文件,显示用户登录历史及系统重启历史                
    -n #        //显示最近#次的相关信息        
lastb   //显示/var/log/btmp文件,显示用户错误的登录尝试                
    -n #        //显示最近#次的相关信息        
lastlog //显示每个用户最近一次成功登录信息                
    -u username     //显示特定用户最近的登录信息        
basename        //显示路径基名  

标签:文件,管理,用户,chmod,file,权限,目录
From: https://www.cnblogs.com/itwangqing/p/17006241.html

相关文章

  • 用户和组管理
    目录1.何为用户何为组?1.1用户和组概念1.2用户分类1.3Linux安全上下文1.4Linux用户组类别2.Linux用户和组相关的配置文件2.1各配置文件说明2.2密码复杂性3.用户和......
  • 试卷审批管理信息系统05
    系统管理员功能的实现  新添教师、专业负责人、教学副院长的基本信息  <%@pagelanguage="java"contentType="text/html;charset=UTF-8"pageEncoding="UT......
  • Linux进程管理
    目录1.进程基本概述1.1进程的组成部分1.2进程的环境1.3进程的产生1.4进程的分类2.进程状态3.进程优先级3.1linux进程调度与多任务3.2进程优先级3.3相对优先级3.4......
  • 网络管理
    目录1.网卡命名1.1传统网卡命名机制1.2redhat7网卡命名机制1.3网络接口名称组成格式1.4回归传统命名2.网络管理常用命令2.1ifconfig2.2ip2.3route2.4hostname与h......
  • 试卷审批管理信息系统03
    专业负责人功能实现  浏览试卷审批卡  <%@pagecontentType="text/html;charset=UTF-8"language="java"isELIgnored="false"%><%@tagliburi="http://ja......
  • Maven多模块管理
    项目的目录结构:一、创建父工程的必须遵循以下两点:1、packaging标签的文本内容必须设置为pom1<?xmlversion="1.0"encoding="UTF-8"?>2<projectxmlns="http://m......
  • 个人的项目管理模板
    具体内容项目时间:项目PRD:2.6.6项目UI稿:2.6.6项目API:详见2.6.6PRD项目本地开发地址:项目分支:v2.6.6相关人员产品经理:PRD上有设计师+交互:前端:自己做后端:测试:项目......
  • Python之进程管理
    使用python创建进程frommultiprocessingimportProcess #导入进程模块importtime#定义一个函数,测试创建进程使用deftask(name):print(name,'我是一个进......
  • 盘点五个小而精的项目管理工具(免费,建议收藏)
    1、比牛工作流这是我用过的最好用的工作流管理工具!没用过的绝对要体验一下!比牛主要是针对中、小团队,无论是它的操作逻辑还是交互体验,都可以算作是高水准了,关键还是免费的!(可......
  • 【HMS Core】华为分析事件管理超限后如何创建新事件?
    1、问题描述项目中使用了华为分析SDK,目前遇到了一个问题:在AppGalleryConnect的控制台中华为分析的模块中,在事件管理下面遇到了事件超限的问题,界面上没有删除事件的功能,没找......