linux下的权限控制

终于还是要弄服务器了,这是多年前用fedora的时候整理的,也贴出来,顺便也再复习一下。

先来了解一下文件属性,
在shell环境里输入:ls -l 可以查看当前目录文件。如:
drwxr-xr-x. 14 root root  4096 Apr  5 18:26 usr
分别对应的是:
文件属性 连接数 文件拥有者 所属群组 文件大小 文件修改时间 文件名
这里r是可读,w可写,x 可执行,其中文件属性分为四段,---- --- --- 10个位置
例如:
  d   rwx   r-x  r-x
第一个字符指定了文件类型。在通常意义上,一个目录也是一个文件。如果第一个字符是横线,表示是一个非目录的文件。如果是d,表示是一个目录。
第二段是文件拥有者的属性,
第三段是文件所属群组的属性,
第四段是对于其它用户的属性,
如上面文件夹“usr” 的访问权限,表示文件夹“usr” 是一个目录文件;文件夹“usr” 的属主有读写可执行权限;与文件夹“usr” 属主同组的用户只有读和可执行权限;其他用户也有读和可执行权限。

确定了一个文件的访问权限后,用户可以利用Linux系统提供的chmod命令来重新设定不同的访问权限。也可以利用chown命令来更改某个文件或目录的所有者。利用chgrp命令来更改某个文件或目录的用户组。

chmod 命令
  功能:chmod命令是非常重要的,用于改变文件或目录的访问权限.用户用它控制文件或目录的访问权限.
  语法:该命令有两种用法。一种是包含字母和操作符表达式的文字设定法;另一种是包含数字的数字设定法。
  1. 文字设定法
  chmod [who] [+ | - | =] [mode] 文件名?
  参数:
  操作对象who可是下述字母中的任一个或者它们的组合:
  u 表示“用户(user)”,即文件或目录的所有者。
  g 表示“同组(group)用户”,即与文件属主有相同组ID的所有用户。
  o 表示“其他(others)用户”。
  a 表示“所有(all)用户”。它是系统默认值。
  操作符号可以是:
  + 添加某个权限。
  - 取消某个权限。
  = 赋予给定权限并取消其他所有权限(如果有的话)。

  设置mode所表示的权限可用下述字母的任意组合:
  r 可读。
  w 可写。
  x 可执行。
  X 只有目标文件对某些用户是可执行的或该目标文件是目录时才追加x 属性。
  s 在文件执行时把进程的属主或组ID置为该文件的文件属主。方式“u+s”设置文件的用 户ID位,“g+s”设置组ID位。
  t 保存程序的文本到交换设备上。
  u 与文件属主拥有一样的权限。
  g 与和文件属主同组的用户拥有一样的权限。
  o 与其他用户拥有一样的权限。
  文件名:以空格分开的要改变权限的文件列表,支持通配符。
  在一个命令行中可给出多个权限方式,其间用逗号隔开。例如:chmod g+r,o+r example
  使同组和其他用户对文件example 有读权限。

chgrp命令
  功能:改变文件或目录所属的组。
  语法:chgrp [选项] group filename?
  该命令改变指定指定文件所属的用户组。其中group可以是用户组ID,也可以是/etc/group文件中用户组的组名。文件名是以空格分开的要改变属组的文件列表,支持通配符。如果用户不是该文件的属主或超级用户,则不能改变该文件的组。
  参数:
  - R 递归式地改变指定目录及其下的所有子目录和文件的属组。
  例1:$ chgrp - R book /opt/local /book
  改变/opt/local /book/及其子目录下的所有文件的属组为book。

chown 命令
  功能:更改某个文件或目录的属主和属组。这个命令也很常用。例如root用户把自己的一个文件拷贝给用户xu,为了让用户xu能够存取这个文件,root用户应该把这个文件的        属主设为xu,否则,用户xu无法存取这个文件。
  语法:chown [选项] 用户或组 文件
  说明:chown将指定文件的拥有者改为指定的用户或组。用户可以是用户名或用户ID。组可以是组名或组ID。文件是以空格分开的要改变权限的文件列表,支持通配符。
  参数:
  - R 递归式地改变指定目录及其下的所有子目录和文件的拥有者。
  - v 显示chown命令所做的工作。
  例1:把文件test.c的所有者改为ice。
  $ chown ice test.c
  例2:把目录/testdir及其下的所有文件和子目录的属主改成ice,属组改成users。
  $ chown - R ice.users /testdir

Linux的文件权限是linux能有如此安全性能的最大的保障之一,有朋友可能会知道,很多攻击windows的方法都是通过漏洞获取到创建用户 的权限从而达到控制计算机的目的,在linux下,Root帐户有最大的权限,可以干任何事情,其他用户只能拥有自己的文件的所有权限和该改组成员赋予的 文件的权限,下面开始对文件权限的一个说明。
读权限R。简单的说就是打开文件查看内容的权限,在web服务器中,若文件没有打开权限,则web服务器则视为该文件不存在,发送404 file not found错误,用数字4表示。
写权限W。一个文件若没有写的权限,那么该文件则无法更改,文件夹若没有写权限,则该文件夹下无法创建新文件,用数字2表示。
执行权限X。程序文件若要执行,必须有执行权限,否则无法执行。打开一个文件夹也是执行,所以文件夹若没有执行权限,则无法被打开。用数字1表示。

谁拥有这个权限 可读=4 可写=2 可执行=1 实际权限,纵向相加
文件所有者 0 0 0 0
组内用户    0 0 0 0
公共用户    0 0 0 0

公共用户为所有者和组内用户之外的用户,比如访问web时候,linux可能用公共的用户去读取文件,这里不妨理解成是访客所能操作的那个用户。
下面举例(再次提醒,文件夹和文件不一样):
文件所有用户可写: 666 (3类用户均可读写)
谁拥有这个权限 可读=4 可写=2 可执行=1 实际权限,纵向相加
文件所有者 4 2 0 6
组内用户    4 2 0 6
公共用户    4 2 0 6

接上面的,假设我们吧文件夹设置成0666会怎么样,结果很明显,因为该文件夹没有执行权限,无法被打开,所以设置成0666则无法被访问到。
文件夹只可文件所有者有全部权限,组内用户、公共用户可读和执行(755)。一般web根目录文件夹都要这样设置,才安全。再次提示:文件夹没有执行权限,则该用户无法打开。正常的服务器,若根目录权限也为0777,则会出现500错误
谁拥有这个权限 可读=4 可写=2 可执行=1 实际权限,纵向相加
文件所有者 4 2 1 7
组内用户    5 0 1 5
公共用户    4 0 1 5

如果需要在某文件夹下创建文件,请把该文件的权限全部设置:即可都可写和可执行777
谁拥有这个权限 可读=4 可写=2 可执行=1 实际权限,纵向相加
文件所有者 4 2 1 7
组内用户    4 2 1 7
公共用户    4 2 1 7

为了安全起见,正常web的文件应该设置成:所有者可读可写,组用户可读,公共用户可读 644
谁拥有这个权限 可读=4 可写=2 可执行=1 实际权限,纵向相加
文件所有者 4 2 0 6
组内用户    4 0 0 4
公共用户    4 0 0 4

其他权限,请大家自行思考。
所以请不要想都不想就把文件的权限设置成777好吗。。。

一般配置权限的命令:chmod -R 777 /xx/xx/xx

参考自:linuxidc

时间: 2024-09-30 19:29:56

linux下的权限控制的相关文章

Linux下ACL权限控制以及用sudo设置用户对命令的执行权限

ACL权限分配 1.setfacl命令设置文件权限 setfacl -m u:user1:rw root.txt setfacl -m u:user2:rwx root.txt 2.getfacl命令查看文件权限 getfacl root.txt [[email protected] ~]# getfacl text.txt  # file: text.txt # owner: root # group: root user::rw- user:wangteng:rw- group::r-- m

linux下ftp权限控制

需求背景: 1.创建2个账号给联调的系统使用读取我方服务器提供的文件信息.只允许看到限定的目录,对目录下的文件只有只读权限,禁止shell登录. 2.创建一个内部账号提供文件信息,只允许看到限定的目录,对目录下的文件所有权限,禁止shell登录. 操作: 1.root账号登录 2.useradd -d /home/test test1                        --创建账号test1  并且指定test1账号的查看目录为/home/test 3.passwd test1   

linux系统下的权限控制

 linux系统下的权限控制 1.文件权限 在我们的linux系统中,文件或目录的权限可以分为3种: r:4 读 w:2 写 x:1  执行 示例: 644:(4+2) (4)  (4) 第一个6:表示当前文件的拥有者的权限,6=4+2 可读可写权限 第二个4:表示当前文件的所属组权限,4=4 可读权限 第三个4:表示当前文件的组外权限,4=4 可读权限 2.查看文件权限的命令:(ls -l 或ll) 总共可以分为7大列: 第1列(分为10列): 1:文件的类型 ,-代表普通文件,d代表目录,l

<实训|第九天>掌握linux中普通的权限控制和三种特殊的权限(sst),做合格的运维工程师

linux中,权限的学习是必不可少的,不论是作为一名运维工程师或者是单一的管理者,学习好linux中的权限控制,你就可以保护好自己的隐私同时规划好你所管理的一切. 权限的学习是很多的,不要认为自己已经把自己的隐私保护的很好,漏洞总是有的,侧面的攻击往往是难以防守的.所以大家跟我一起学习一下基础的权限控制,在后面也会有更多关于权限控制的知识点分享出来.谢谢各位的关注和支持!  开班第九天: 今天的课程大纲: linux系统中文件目录的基本权限控制 如何来修改默认的生成权限 三种特殊的权限(s,s,

Linux下的权限问题

刚刚经理给我讲了有关权限的问题,后自己也在网上收集整理了下,特记于此. ----------------------------------------------------------------------------------------------- linux系统中的每个文件和目录都有访问许可权限,用他来确定谁能通过何种方式对文件和目录进行访问和操作.文件或目录的访问权限分为只读,只写和可执行三种. 文件被创建时,文件所有者自动拥有对该文件的读.写和可执行权限,以便于对文件的阅读和

Linux 下的权限改变与目录配置

Linux 下的权限改变与目录配置 ./代表本目录的意思. (1):用户与用户组, 1:文件所有者,文件被某一用户所有 2:用户组:    对文件给与一个或者多个用户权限配置 3:其它人: (2):linux用户身份与用户组记录的文件 1:root 相关信息记录到 /etc/passwd中 2:个人密码记录到/etc/shadow中 3:linux所有的组名记录在/etc/group中 (3):linux文件权限概念 :permission deny,无权限的提示 (4):linux 的权限属性

Linux下gcc编译控制动态库导出函数小结

Linux下gcc编译控制动态库导出函数小结 来源 https://www.cnblogs.com/lidabo/p/5703890.html 根据说明文档“How To Write Shared Libraries"介绍, 有四种方法: 1. 在方法声明定义时,加修饰:__attribute__((visibility("hidden"))) 就是说将不公开的函数都加上这个属性,没加的就是可见的 2. gcc 在链接时设置 -fvisibility=hidden,则不加 v

Centos(Linux)下用户权限委派配置介绍

说到权限委派,对于一个服务的正常运行至关重要,对于企业中经常说到的一句话就是,权限越大,责任越大,当然危害也是最大的,当权限比较的时候误操作会给应用造成灾难性的损害,所以在权限分配上要绝对小心,当然,一般大的企业中,对于权限分配的是非常详细的,对于同一个服务会分不同的操作权限,所以相对来说比较安全的.这样出了问题直接可以找出对应的责任人.今天我们就介绍一下Centos下的用户权限委派,首先我们都知道Centos(Linux)下最大的权限账户为root,类似在windows中环境中的adminis

linux下的权限、特殊权限、acl

首先,我们都知道Linux是一个多用户操作系统,那么问题就来了,假设我有一个文件叫file1,这个文件是用户user1的,user1有一个项目组g1,他希望他项目组里的同事可以查看修改这个文件,但是不希望其他人看到文件中的内容当然也不能编辑.那怎么解决这个问题靠的就是我们下面要说的权限.通过对文件权限的配置我们就可以实现不同的用户或用户组在访问相同资源时不同的访问权限. UGO模型 所谓UGO就是把对于文件所有的用户的三种身份,所属主user即文件主人,所属组group即文件所属群组,其他oth