Linux 权限管理
1、权限简介
Linux权限是操作系统用来限制对资源访问的机制,权限一般分为读、写、执行。系统中每个文件都拥有特定的权限:属主、属组以及其他人,通过这样的机制来限制哪些用户或用户组可以对特定文件进行相应的操作。
1.1 权限分类
- 权限针对文件的三类对象:
| 全拼 | 翻译 | 简写 |
|---|---|---|
| owner | 属主 | u |
| group | 属组 | g |
| other | 其它人 | o |
- 权限的分类:
| 权限 | 对文件的影响 | 对目录的影响 |
|---|---|---|
| r(读取) | 可读取文件内容 | 可列出目录中内容 |
| w(写入) | 可修改文件内容 | 可在目录中创建删除内容 |
| x(执行) | 可作为命令执行 | 可访问目录内容 |
注意:目录必须拥有 x 权限,否则无法查看其内容
- 权限的表示方式:
| 第一种 | 第二种 |
|---|---|
| - - - | 0 |
| - - x | 1 |
| - w - | 2 |
| - w x | 3 |
| r - - | 4 |
| r - x | 5 |
| r w - | 6 |
| r w x | 7 |
1.2 Linux安全上下文
Linux每个进程都是以某个用户身份运行,进程的权限与该用户的权限一样,运行该进程的用户的权限越大,则进程拥有的权限就越大。
文件有属主和属组,进程有属主和属组
- 任何一个可执行程序文件能不能启动为进程,取决于发起者对程序文件是否拥有可执行权限
- 启动为进程后,其进程的属主为发起者,属组为发起者的基本组
- 进程访问文件时的权限取决于进程的发起者:
- 进程的发起者是文件的属主时,则应用文件属主权限
- 进程的发起者是文件的属组时,则应用文件属组权限
- 应用文件“其它”权限
2、权限管理命令
2.1 权限修改命令chmod
//权限修改主要修改三类对象的权限
//语法:chmod MODE file,...
-R //递归修改权限
//修改某类对象权限:u,g,o,a
权限修改的三种方式:
chmod 对象类别=MODE file,.....
chmod 对象类别=MODE,对象类别=MODE file,.....
例如:
[root@zsl ~]# chmod u=rwx zsl
[root@zsl ~]# chmod u=rwx,g=rwx zsl
chmod 对象类别+|-MODE file,.....
chmod 对象类别+|-MODE,对象类别+|-MODE file,.....
chmod +|-MODE file,.....
例如:
[root@zsl ~]# chmod u+rwx zsl
[root@zsl ~]# chmod u-x,g-x zsl
[root@zsl ~]# chmod +x zsl
chmod "mode number" file,.....
例如:
[root@zsl ~]# chmod 777 zsl
2.2 属主和属组修改命令chown
//chown命令只有管理员可以使用。
chown USERNAME file,...
-R //修改目录及其内部文件的属主
chown USERNAME:GROUPNAME file,...
chown USERNAME.GROUPNAME file,...
例如:
[root@zsl ~]# chown root.root zsl
[root@zsl ~]# chown root:root zsl
2.3 特殊权限
linux的权限默认是根据linux安全上下文的方式来控制的,而特殊权限的存在打破了linux安全上下文的规则。
SUID(4) //运行程序时,这个程序启动的进程的属主是程序文件自身的属主,而不是发起者为属主
chmod u+s file
chmod u-s file
//如果file本身原来就有执行权限,则SUID显示为s,否则显示为S
SGID(2) //运行程序时,这个程序启动的进程的属组是程序文件自身的属组,而不是启动者所属的基本组
//一旦某目录被设定了SGID,则对此目录有写权限的用户在此目录中创建的文件或目录,其所属的组为此设定了SGID的目录的属组
chmod g+s DIR
chmod g-s DIR
//如果file本身原来就有执行权限,则SGID显示为s,否则显示为S
SBIT(1) //公共目录,每个人都能创建文件,删除自己的文件,但是不能删除别人创建的文件
chmod o+t DIR
chmod o-t DIR
//如果DIR本身原来就有执行权限,则SBIT显示为t,否则显示为T
特殊权限的数字表示方式:
4755 //有SUID,文件权限为755
2755 //有SGID,文件权限为755
1755 //有Sticky,文件权限为755
//这里前面的4、2、1分别表示SUID、SGID、Sticky
2.4 文件系统访问控制列表facl
facl(Filesystem Access Control List),利用文件扩展保存额外的访问控制权限。
//语法:setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ...
-m //设定权限条目
u:UID:perm
g:GID:perm
示例:
setfacl -m u:test:rw file
setfacl -m g:test:rw file
//如果要为某个目录设定默认的访问控制列表,只需要设定时在u或g前面加上d即可
示例:
setfacl -m d:u:test:rw file
//此时在此目录中创建的文件均继承此访问控制列表所设置的权限
-x //删除权限条目
u:UID
g:GID
示例:
setfacl -x u:test file
setfacl -x g:test file
-b //Remove all
示例:
setfacl -b file
//查看文件系统访问控制列表getfacl
//语法:getfacl [-aceEsRLPtpndvh] file ...
示例:
getfacl file
2.5 遮罩码
为什么文件创建以后默认权限是644?
为什么目录创建以后默认权限是755?
新建文件和新建目录的默认权限是由遮罩码umask来控制的。
从名字就能看出来,遮罩码umask是用来隐藏一些权限的。
举例:如果你不想让人家认出你,你会怎么办?
文件最终的权限为:
666-umask 文件最高权限 - 遮罩码 = 文件最终权限
目录最终的权限为:
777-umask 目录最高权限 - 遮罩码 = 目录最终权限
文件默认是不能具有执行权限的,如果文件有了执行权限则将其权限整体加1。
3、sudo借权
sudo可以实现某个用户能够以另外哪一个用户的身份通过哪些主机执行什么命令
sudo的配置文件:/etc/sudoers
//使用visudo命令进行sudo的配置,每一行就是一个sudo条目,条目格式如下:
示例:
who which_hosts=(runas) command
who : User,User_Alias //表示运行命令者的身份
which_hosts : Host,Host_Alias //通过哪些主机
runas : User,Runas_Alias //以哪个用户的身份
command : Command,Cmnd_Alias //运行哪些命令
//别名必须全部而且只能使用大写英文字母的组合,可以使用感叹号取反
//别名分类
1.用户别名:
User_Alias &qu