权限
1.1 基本权限
1.什么是权限,为什么要设置?
在linux系统中,如果对应的用户没有相应的权限就不能做相应的一些操作。
2.权限有哪些?
权限对象有:属主(u)属组(g)其他人(o)
基本权限类型有:
读(read):r ---->4
写(write):w ---->2
执行: x(exec) ----->1
3.案例
一个文件基本信息
-rw-r--r-- 1 root root 0 Jan 16 04:37 a.txt
解释:
第一个-表示他是个文件
往后3个为一段rw-表所有者权限有r读,w写。
第二段r--表示用户所在属组的权限,r读。
第三段r--表示其他人的权限,其他人就是不是文件的所有者又不在文件的所属组中。
第一个root表示所有者是root
第二个root表示所属组是root组
4.如何修改
chown:改变文件或目录的所有者以及所属组
[root@linux-server ~]# chown user1.hr file1.txt #修改属主、属组
[root@linux-server ~]# chown user2 file1.txt #修改属主
[root@linux-server ~]# chown .it file1.txt #只改属组
[root@linux-server ~]# chown -R user3.hr dir1 #递归修改针对目录,连同里面的文件权限一起修改
chmod:为文件或目录设置访问权限
[root@linux-server ~]# chmod u+x file1.txt #所属组增加执行权限
[root@linux-server ~]# chmod a=rwx file1.txt #所有人等于读写执行权限
[root@linux-server ~]# chmod a=- file1.txt #所有人都没有权限
[root@linux-server ~]# chmod ug=rw,o=r file1.txt #属主属组等于读写,其他人只读
使用数字的方式 r=4 w=2 x=1
#所有者拥有读写,所属组拥有读,其让人也是只读
[root@linux-server ~]# chmod 644 file1.txt
[root@linux-server ~]# chmod 521 file1.txt
1.2 用户掩码
1.用户掩码是啥,有什么作用?
用户掩码(umask)就是:控制用户创建文件或目录的默认权限
目录在创建之前默认的权限是777,文件是666
用默认权限减去创建用户的umask码 得出创建后的权限
root用户默认umask码是 0022
普通用户默认umask码是 0002
查看umask
[root@linux-server ~]# umask
修改umask
[root@linux-server ~]# umask 0111
通过计算得出root用户创建目录和文件的权限为
1.3 权限对文件和目录的意义
对文件:
r == cat
w == vi、vim
x == bash /dir/file
对目录:
r == ls
w == touch、rm
x == cd
总结:
对目录有w权限,可以在目录中创建新文件,可以删除目录中的文件(跟文件权限无关)
注意事项:
文件: x 权限小心给予
目录: w 权限小心给予
1.4 高级权限
1.产生的问题?
[root@linux-server ~]# ll /root/file.txt
-rw-r--r--. 1 root root 0 Nov 1 15:30 /root/file.txt
[root@linux-server ~]# su - alice
[alice@linux-server ~]$ cat /root/file.txt
cat: /root/file.txt: Permission denied
为什么会cat不了file.txt ?
答:alice虽然有查看的权限,但是没有执行的权限就进不了root目录。
如果要让alice能查看到文件,那就要去放开root目录的权限,太麻烦了,因此这时候就要用到高级权限。
2.高级权限的类型
suid ==== 4 提权 (对命令提权 提权后所有人可用提权命令)(比较危险)
sgid ==== 2 组权限继承 (只能对目录设置,在此组下创建的目录和文件,继承,提权组的属主)
sticky == 1 (t权限) 权限控制(在此权限下只有root用户和自己能删除自己创建的文件)
3.设置特殊权限
添加权限:
chmod u+s cat 加命令 提权
chmod g+s /opt 加目录路径 继承
chmod o+t /opt 目录路径 仅root和自己可删除
数字添加权限方式:
chmod 4777 file
chmod 2770 dir
chmod 1770 dir
取消权限:
chmod u-s cat 加命令 提权
chmod g-s /opt 加目录路径 继承
chmod o-t /opt 目录路径 仅root和自己可删除
1.5 两种给普通用户提权手段
sudo: 有针对性,例如针对某个用户以能够以root的身份执行某些命令。
suid: 基本针对所有用户,任何用户在执行有suid权限的程序时(例如/usr/bin/rm),都是以 root 身份在执行。
1.放开所有命令使用权
配置解释:
root表示用户名
第一个 ALL=(ALL) 指示允许从任何主机登陆执行任何命令。
第二个 ALL 执行的时候不需要输入密码执行所有命令。
[root@linux-server ~]# visudo #打开配置文件
90 ##
91 ## Allow root to run any commands anywhere
92 root ALL=(ALL) ALL
93 jack ALL=(ALL) NOPASSWD: ALL #添加内容
94 ## Allows members of the 'sys' group to run networking, software
2.放开个别命令使用权
[root@linux-server ~]# visudo
91 ## Allow root to run any commands anywhere
92 root ALL=(ALL) ALL
93 jack ALL=(ALL) NOPASSWD:ALL
94 alice ALL=(ALL) NOPASSWD:/usr/bin/mkdir, /usr/bin/rm,
/usr/bin/touch
95
96 ## Allows members of the 'sys' group to run networking, software
1.6 隐藏权限
文件权限管理之: 隐藏权限防止root误删除
查看文件隐藏权限
lsattr 文件名
查看目录隐藏权限
lsattr -d 目录名
设置权限
chattr +i file #只允许查看
chattr +a file #不允许修改,只允许追加,和查看
chattr +A file #告诉系统不要修改对这个文件的最后访问时间