linux基本权限和归属、附加权限控制

一、基本权限和归属

1. 访问权限

读取：允许查看、显示目录列表

写入：允许修改，允许在目录中新建、移动、删除文件或子目录

可执行：允许运行程序、切换目录

2. 查看文件的权限

# ls -l install.log

-|rw-|r--|r-- 1 root root 26195 Dec 17 10:42 install.log

① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨ ⑩

①. 文件类型

-代表普通文件

d代表目录

l代表连接

②. rw-:代表文件所有者的权限(u)

r=读=4

w=写=2

x=执行=1

③. r--：代表文件所属组的权限(g)

r=读=4

w=写=2

x=执行=1

④. r--：其他用户的权限(o)

r=读=4

w=写=2

x=执行=1

a=ugo

⑤. 文件硬链接数

⑥. 文件所有者

⑦. 文件所属组

⑧. 文件大小

⑨. 文件修改时间

⑩. 文件名

3. 命令（R表示递归）

chmod 改变权限

chmod ugoa [+-=] [rwx] 文件

chmod 数字文件

文件最大权限666

目录最大权限777

默认创建文件的权限644

默认创建目录的权限755

umask

最大权限的rwx-umask的rwx=默认权限

补充：

对于目录来说没有x权限，无论有没rw，都不能进入该目录

chown 改变所有者与所属组

chown 所有者：所属组对象

chgrp 组文件更改文件的属组

二、附加权限控制

1. 特殊权限介绍

Set UID： 4 User+x

Set GID： 2 Group+x

Sticky Bit： 1 Other+x

2. 特殊权限作用

Set UID：

只能对可执行程序设置，当其他用户执行带SUID标记的程序时，将会使用程序所有者的身份去执行

Set GID：

可以对可执行程序设置，当其他用户执行带SGID标记的程序时，将会使用程序所属组的身份去执行

可以对目录设置，当对目录设置SGID后，任何人在该目录下创建文件和目录的所属组自动继承该目录的所属组

Sticky Bit：

对目录设置，任何人在该目录下创建文件和目录，只有root与文件创建者有删除权限

3. ACL策略

getfacl 文件查看ACL策略

setfacl [选项] u:用户名:权限文件

setfacl [选项] g:组名:权限文件

-m 定义一条ACL策略

-x 删除指定的ACL策略

-b 清除所有已设置的ACL策略

-R 递归设置

-d 为目录设置默认权限

一、基本权限和归属

公司技术部有一台Linux开发服务器，根据部门内项目组的构成情况，需要建立相应的用户账号，并对开发数据相关目录配置访问权限。

1．文件夹/tech/nsdhome、/tech/jsdhome，分别归属于nsd组、jsd组，禁止其他用户进入。

2．创建部门公共目录/public，技术部的所有员工（tech组）对其拥有可读、可写、可执行，其他用户禁止访问此目录。

[[email protected] /]# mkdir -p /tech/nsdhome

[[email protected] /]# mkdir -p /tech/jsdhome

[[email protected] /]# mkdir /public

[[email protected] /]# groupadd nsd

[[email protected] /]# groupadd jsd

[[email protected] /]# groupadd tech

[[email protected] /]# useradd -g nsd nsd01

[[email protected] /]# useradd -g nsd nsd02

[[email protected] /]# useradd -g jsd jsd01

[[email protected] /]# useradd -g jsd jsd02

[[email protected] /]# useradd -g tech yg01

[[email protected] /]# useradd yg02

[[email protected] /]# chown :nsd /tech/nsdhome

[[email protected] /]# ls -l /tech/nsdhome

总计 0

[[email protected] /]# ls -ld /tech/nsdhome

drwxr-xr-x 2 root nsd 4096 07-30 11:36 /tech/nsdhome

[[email protected] /]# chmod o-rx /tech/nsdhome

[[email protected] /]# chown :jsd /tech/jsdhome

[[email protected] /]# ls -ld /tech/jsdhome

drwxr-xr-x 2 root jsd 4096 07-30 11:36 /tech/jsdhome

[[email protected] /]# chmod o-rx /tech/jsdhome

[[email protected] /]# chown :tech /public

[[email protected] /]# ls -ld /public

drwxr-xr-x 2 root tech 4096 07-30 11:36 /public

[[email protected] /]# chmod g+w /public

[[email protected] /]# ls -ld /public

drwxrwxr-x 2 root tech 4096 07-30 11:36 /public

[[email protected] /]# chmod o-rx /public

[[email protected] /]# ls -ld /public

drwxrwx--- 2 root tech 4096 07-30 11:36 /public

[[email protected] /]# ls -ld /tech/nsdhome

drwxr-x--- 2 root nsd 4096 07-30 11:36 /tech/nsdhome

[[email protected] /]# ls -ld /tech/jsdhome

drwxr-x--- 2 root jsd 4096 07-30 11:36 /tech/jsdhome

[[email protected] /]#

二、附加权限控制

1、Suid实验

只能针对程序（命令）设置，当任何人在执行具有suid权限的命令时，将使用该命令的所有者身份执行

[[email protected] ~]# ls -l /etc/shadow

[[email protected] ~]# which passwd

[[email protected] ~]# ls -l /usr/bin/passwd

[[email protected] ~]# umask 022

[[email protected] ~]# which touch

[[email protected] ~]# cp /bin/tosuuch /bin/suidtouch

[[email protected] ~]# ls -l /bin/*touch

[[email protected] ~]# useradd lily

[[email protected] ~]# su - lily

[[email protected] ~]$ suidtouch suid-file1.txt

[[email protected] ~]$ ls -l suid-file1.txt

[[email protected] ~]$ exit

[[email protected] ~]# ls -l /bin/suidtouch

[[email protected] ~]# chmod u+s /bin/suidtouch

[[email protected] ~]# ls -l /bin/suidtouch

[[email protected] ~]# su - lily

[[email protected] ~]$ suidtouch suid-file2.txt

[[email protected] ~]$ ls -l suid-file*

[[email protected] ~]$ exit

[[email protected] ~]# rm -rf /bin/suidtouch

2、Sgid实验

能对程序（命令）设置，也可以对目录设置

当任何人在执行具有sgid权限的命令时，将使用该命令的所属组身份执行

[[email protected] ~]# which mkdir

[[email protected] ~]# cp /bin/mkdir /bin/sgidmkdir

[[email protected] ~]# ls -l /bin/*mkdir

[[email protected] ~]# su - lily

[[email protected] ~]$ sgidmkdir test1

[[email protected] ~]$ ls -ld test1

[[email protected] ~]$ exit

[[email protected] ~]# chmod g+s /bin/sgidmkdir

[[email protected] ~]# ls -l /bin/sgidmkdir

[[email protected] ~]# su - lily

[[email protected] ~]$ sgidmkdir test2

[[email protected] ~]$ ls -ld test*

[[email protected] ~]$ exit

[[email protected] ~]# rm -rf /bin/sgidmkdir

对目录设置Sgid，任何人在该目录下创建的文件或子目录的所属组都自动继承该目录本身所属组

[[email protected] ~]# mkdir /testgid

[[email protected] ~]# ls -ld /testgid/

drwxr-xr-x 2 root root 4096 Jan 6 16:53 /testgid/

[[email protected] ~]# chmod 0757 /testgid/

[[email protected] ~]# su - lily

[[email protected] ~]$ mkdir /testgid/lilytest1

[[email protected] ~]$ touch /testgid/lilyfile1.txt

[[email protected] ~]$ ls -l /testgid/

[[email protected] ~]$ exit

[[email protected] ~]# chmod 2757 /testgid/

[[email protected] ~]# ls -ld /testgid/

[[email protected] ~]# su - lily

[[email protected] ~]$ mkdir /testgid/lilytest2

[[email protected] ~]$ touch /testgid/lilyfile2.txt

[[email protected] ~]$ ls -l /testgid/

3、t位权限echo

针对公共目录设置，目录设置t位权限后，该目录下的文件或子目录只有root与文件所有者能够删除

[[email protected] ~]# mkdir /soft

[[email protected] ~]# ls -ld /soft/

[[email protected] ~]# chmod o+w /soft/

[[email protected] ~]# ls -ld /soft/

[[email protected] ~]# useradd wbb

[[email protected] ~]# useradd lhq

[[email protected] ~]# su - lhq

[[email protected] ~]$ cat /soft/lhq.txt

hello,byebye

[[email protected] ~]$ exit

[[email protected] ~]# su - wbb

[[email protected] ~]$ ls -ld /soft/

[[email protected] ~]$ ls -l /soft/

[[email protected] ~]$ rm -rf /soft/lhq.txt

[[email protected] ~]$ ls -l /soft/

[[email protected] ~]# chmod o+t /soft/

[[email protected] ~]# ls -ld /soft/

[[email protected] ~]# su - lhq

[[email protected] ~]$ cat /soft/lhq.txt

hello,byebye

[[email protected] ~]$ exit

[[email protected] ~]# su - wbb

[[email protected] ~]$ ls -l /soft/

[[email protected] ~]$ ls -ld /soft/

[[email protected] ~]$ rm -rf /soft/lhq.txt

[[email protected] ~]# find / -type f -a -perm +6000 //查找系统中suid/sgid的程序

4、ACL权限设置

创建账户：mike john kaka

创建文件：/data/file1.txt

·mike对文件有读写权限，john只有读权限。其他用户没有任何权限

·kaka具有与john相同权限

·创建lily，lily对file1.txt具有读执行权限，其他用户没有任何权限

[[email protected] ~]# tune2fs -l /dev/sda2 | grep acl

Default mount options: user_xattr acl

[[email protected] ~]# tune2fs -l /dev/sda1 | grep acl

Default mount options: user_xattr acl

[[email protected] ~]# ls -ld /data/

drwxrwxrwx 3 root root 4096 12-09 16:21 /data/

[[email protected] ~]# rm -rf /data/

[[email protected] ~]# mkdir /data

[[email protected] ~]# getfacl /data/

getfacl: Removing leading ‘/‘ from absolute path names

# file: data

# owner: root

# group: root

user::rwx

group::r-x

other::r-x

[[email protected] ~]# ls -ld /data/

drwxr-xr-x 2 root root 4096 12-09 16:27 /data/

[[email protected] ~]# setfacl -m u:mike:rwx /data/

[[email protected] ~]# ls -ld /data/

drwxrwxr-x+ 2 root root 4096 12-09 16:27 /data/

[[email protected] ~]# getfacl /data/

getfacl: Removing leading ‘/‘ from absolute path names

# file: data

# owner: root

# group: root

user::rwx

user:mike:rwx

group::r-x

mask::rwx

other::r-x

[[email protected] ~]# setfacl -m u:john:r-- /data/

[[email protected] ~]# setfacl -m u:kaka:r-- /data/

[[email protected] ~]# setfacl -m u:lily:r-x /data/

linux基本权限和归属、附加权限控制

时间： 2024-11-03 03:46:46

linux基本权限和归属、附加权限控制的相关文章

管理员技术(五)：配置文档的访问权限、配置附加权限、绑定到LDAP验证服务、配置LDAP家目录漫游

一.配置文档的访问权限问题: 本例要求将文件 /etc/fstab 拷贝为 /var/tmp/fstab,并调整文件 /var/tmp/fstab的权限,满足以下要求: 1> 此文件的拥有者是 root 2> 此文件属于 root 组 3> 此文件对任何人都不可执行 4> 用户 natasha 能够对此文件执行读和写操作 5> 用户 harry 对此文件既不能读,也不能写 6> 所有其他用户(当前的和将来的

Linux - 对文件和目录的权限管理

对文件的权限管理 ls -l,也可以用 ll 命令查看文件权限的相关信息第一列"-rw-r--r--."为权限信息,权限信息的最后一个点表示为在安全环境下创建的第二列"1"为硬链接数,第三列"root"为属主,第四列"root"为属组,第五列"18"为文件大小第六.七.八列"Aug 6 00:22"为文件创建的时间,为 8 月 6 日 00:22 第九列"123.txt&

Linux基本权限和归属

基本权限和归属实验目标公司技术部有一台Linux开发服务器,根据部门内项目组的构成情况,已经建立了相应的用户账号,现要求对开发数据相关目录配置访问权限. 1．文件夹/tech/nsdhome./tech/jsdhome,分别归属于nsd组.jsd组,禁止其他用户进入. 2．创建部门公共目录/public,技术部的所有员工(tech组)对其拥有可读.可写.可执行,其他用户禁止访问此目录. 实验步骤 .创建文件夹/tech/nsdhome,/tech/jsdhome [[email protec

Linux基础知识--文件目录权限和归属管理

文件/目录的权限和归属访问权限: 读取:允许查看文件内容,显示目录列表写入:允许修改文件内容,允许在目录中新建.移动或者删除文件或子目录可执行:允许运行程序,允许切换目录归属(所有权): 属主:拥有该文件或目录的用户账户数组:拥有该文件或目录的组账户查看文件/目录的权限 [root@localhost ~]# ls -l install.log -rw-r--r-- 1 root root 36157 Jan 23 08:05 install.log 第一位代表的是文件或者目录,"-

Linux文件/目录的权限及归属管理精讲

一.文件的权限和归属概述 1.访问权限读取r:允许查看文件内容.显示目录列表: 写入w:允许修改文件内容,允许在目录中新建.移动.删除文件或子目录: 可执行x:允许运行程序.切换目录 2.归属(所有权) 属主:拥有该文件或目录的用户账号: 属组:拥有该文件或目录的组账号: 3.查看文件的权限和归属 4.chmod设置文件权限 chmod命令的基本语法格式如下: 应用举例: [[email protected] ~]# touch 1.txt  [[email

Linux中如何设置目录或文件的归属及权限

我们首先来查看一下目录的权限及归属,各个字段表示的含义: 权限字符在文件中的含义为: 读取.写入.执行权限也可以用数字来表示,具体如下: 命令chmod用来更改目录或文件的权限,基本的命令格式如下: chmod [ugoa] [+=-] [r w x] 文件或目录或者 chmod nnn 文件或目录其中ugoa表示该权限设置所针对的用户类别.u代表文件属主:g代表文件属组:o代表其他任何用户:a代表所有用户(u.g.o的总和). +=-表示设置权限的操作动作.+代表增加相应的权限:- 代表减

linux     第六章账号和权限管理

linux 第六章账号和权限管理享受生活热爱挑战明远分享每章一段话: 每一个优秀的人,都有一段沉默的时光.人总会有困难丶会被别人不理睬丶这个时候就是你最关键的时候,我们需要相信生活,不放弃,命运不会抛弃你,苦过方可甜. 今天我们要学习在linux中的用户和组的各种配置和管理,其实不要想命令多难记,其实多敲几遍就记住了,想它越简单你就越容易达成你的目标. 理论: Linux基于用户身份对资源访问进行控制我们先来看下linux用户帐号和组的分类: ①超级用户root

Day05 权限和归属(ADMIN05)

一.基本权限 1.1 r 读取权限.允许查看内容.针对目录来说,能否ls只和r权限有关 1.2 w 写入权限.允许修改内容.针对目录来说,要对该目录修改的话,必须要有父目录的w权限 1.3 x 可执行权限.允许运行和切换.针对目录来说,能否cd目录只和x权限有关二.权限适用对象(归属) 2.1 u 所有者.属主(user),拥有此文件/目录的用户 2.2 g 所有组.属组(group),拥有此文件/目录的组 2.3 o 其他(other)除user.group以外的用户.如果某个文件的othe

权限和归属

1.基本权限 ? 访问方式(权限) – 读取:允许查看内容-read r – 写入:允许修改内容-write w – 可执行:允许运行和切换-execute x 文本文件: r:cat head tail less w:vim 保存 x:可执行该文件权限适用对象(归属) – 所有者:拥有此文件/目录的用户-user u – 所属组:拥有此文件/目录的组-group g – 其他用户:除所有者.所属组以外的用户-other o 使用 ls -ld 命令 ls -l