目录与文件的权限意义:
权限对文件的意义:
文件是实际含有数据的地方,包含一般文本文件,数据库内容文件,二进制可执行文件
r:可读取此文件的实际内容,如可读取文本文件的文字内容等
w:可以编辑、新增、或者修改该文件的内容(但不含删除该文件),这里的修改等 是对文件内容而言,是否可以删除文件要看该目录的权限
x:该文件具有可以被系统执行的权限,linux中文件是否可被执行,不是看其文件 名,而是看权限
权限对目录的意义:
目录主要的内容是记录文件名列表,文件名与目录有强烈的关联
r:表示具有读取目录结构列表的权限
w:1.新建新的文件与目录
2.删除已经存在的文件与目录
3.将已存在的文件与目录的重命名
x:表示用户是否能够进入该目录病成为工作目录
tips:
如果想让一个目录让任何人都可以浏览,至少应该开放r,x权限,w不能随便给
linux用户和组管理
useradd命令: 创建用户
useradd [options] 登录名
-u UID: 指定UID
-g GROUP:指定基本组ID
-G GROUP1,GROUP2....:指明用户所属的附加组
-c,--comment COMMENT:指明注释信息
-d,--home HOME_DIR:以指定的路径作为家目录,
-s,:指定用户的默认shell
-r:创建系统用户,默认没有家目录
-M:不创建家目录
-N 不创建私用组做主组,使用users组做主组
useradd -D: 显示创建用户的默认配置
useradd -D arg:修改默认选项的值
默认修改的结果其实在/etc/default/useradd
创建用户时的诸多默认设定配置文件为/etc/login.defs
添加系统用户: 默认不会设置shell为/bin/bash
useradd -r -s /sbin/nologin USERNAME
批量添加用户:
按照/etc/passwd的格式写入要添加的用户信息,自动就会修改/etc/shadow|group等的配置,除了密码
#vim users.txt user1:x:2000:2000::/home/user1:/bin/bash user2:x:2001:2001::/home/user2:/bin/bash # newuser users.txt
批量设置密码:
#cat passwd.txt | chapasswd
passwd.txt文件的格式是:
username:passwdword
usermod命令: 修改用户属性
usermod 选项 登录名
-u,--uid UID:修改用户的ID为此处指定的新UID,如果同时有-o选项,则可以重复使用其他用 户的标识号,例如让两个用户拥有相同的UID
eg: usermod -o -u 0 jay
-g GID:修改用户所属的基本组
-G GROUP1,GROUP2....:指定用户所属的附加组
-a -G GID : 添加一个附加组
-c OMMENT:指明注释信息
-d -m HOME_DIR:修改用户的家目录,并将原来的文件也转移到新位置,新设定的位置应不存在 和自己家目录相同名的目录,否则无法新目录中无以前的内容
-d HOME_DIR:只重新指定新的家目录,原有的文件不动
-l NEW_LOGIN:修改用户名
-s SHELL: 修改用户的shell
-L :锁住用户,用户不能登录,其实是在密码串前加一个“!”
-U:解锁用户
tips:修改用户名后只是修改了用户的名称,其他的家目录和密码等都没有改变,所以/home/下并没有新用户名命名的目录
userdel: 删除用户
-r:移除用户的家目录,默认不删除用户家目录
组的管理
groupadd : 添加组
groupadd [options] group_name
-g GID:指定GID,默认是上一组的GID
-r :创建系统组
eg:增加一个组ID为3305的系统组
[root@localhost ~]# groupadd -r -g 3305 myssql
[root@localhost ~]# tail -1 /etc/group
myssql:x:3305:
groupmod命令: 修改组的属性
groupadd [options] GROUP
-g GID: 修改GID;
-n new_name:删除组名
eg: 同时修改组合GID
[root@localhost ~]# groupmod -g 3308 -n mygroup myssql
[root@localhost ~]# !tai
tail -1 /etc/group
mygroup:x:3308:
groupdel: 删除组
passwd 命令
-l,-u:锁定和解锁用户
-d:清除用户的密码
--stdin: 利用标准输入赋予密码
eg: echo "haha" | passwd --stdin jay
显示文件中用户信息
getent passwd|shadow|group USERNAME
切换基本组
newgrp:可以切换基本组。
exit:可以撤销为原来的组
[jay@localhost 11:44 ~]$ newgrp centos
[jay@localhost 11:44 ~]$ groups
centos root bin jay
组密码:gpasswd
gpasswd [OPTION] GROUP
-a user: 将user添加至指定组中;
-d user: 从指定组中移除用户user
-A user1,user2,...: 设置有管理权限的用户列表
如果用户本不属于此组,则需要组密码
不加选项就是赋予组密码,可以用来被其他用户临时作为基本组
chage命令:
chage [options] 用户名
-l:列出用户的以及密码的有效期限
-m:修改密码的最小天数
-M:修改密码的最大天数
-I:密码过期后,锁定帐号的天数
-d:指定密码最后修改的日期
-E:有效期,0表示立即过期,-1表示永不过期
-W:密码过期前,开始警告天数
$ sudo chage -d0 <user-name>
最初,“-d <N>”选项应该被设成密码的“有效期”(自密码上一次更改时间1970年1月1日以来 的天数)。所以,“-d0”表明该密码是在1970年1月1日更改的,这实际上让当前密码到期失效,从而让 密码在下一次登录时被更改。
让当前密码到期失效的另一个办法是通过passwd -e命令。
$ sudo passwd -e <user-name> 此命令具有与“chage -d0”同样的功效,让用户的当前密码立即到期失效。
[root@localhost ~]# passwd -e lu
Expiring password for user lu.
passwd: Success
You have new mail in /var/spool/mail/root
[root@localhost ~]# tail -1 /etc/shadow
lu:$6$ykaDA5pL$F4/xBagMqc81vmYh5g3di3hdpmQmGuhqtFBegVHLOci4Fd.fhai.XLcFwANBQU1kw3ASyy0Q.25XyFx7KJ/JL/:0:0:99999:7:::
参照指定文件的权限来给新文件赋予权限
chown [options] --reference=SFILE DFILE
u,g,o,a, +-= rwx
技巧:
X:只给目录加执行权限,对于文件不加权限
[root@localhost test]# ll test1
total 4
-rw-r--r--. 1 root root 0 Aug 2 15:21 xxx
drw-r--r--. 2 root root 4096 Aug 2 15:22 yyy
[root@localhost test]# ll test1 -d
drw-------. 3 y1 y1 4096 Aug 2 15:22 test1
[root@localhost test]# chmod -R a+X test1
[root@localhost test]# ll test1
total 4
-rw-r--r--. 1 root root 0 Aug 2 15:21 xxx
drwxr-xr-x. 2 root root 4096 Aug 2 15:22 yyy
[root@localhost test]# ll test1 -d
drwx--x--x. 3 y1 y1 4096 Aug 2 15:22 test1
chmod --reference f1 f2 参考f1的权限设置f2
chmod,chown等是root才可以设置,普通用户可以利用chgrp修改文件的属组为自己已所属的附加组
对于/etc/passwd,/etc/group等文件直接利用vim命令可能造成文件的格式问题,建议使用vipw,vigr
对于/etc/passwd,/etc/group等文件进行检查可以使用命令pwck和grpck
umask:默认权限
文件:
666-umask
目录:
777-umask
umask权限的含义是:从最大权限中屏蔽掉相应的权限位,从而获得默认权限
如果umask如果是003,那么新建的文件权限是什么?
666-003=663(rwxrwx-wx) 这个是不对的,因为一般文件是默认没有可执行权限的
正确的做法:
可以使用字符做加减
rw-rw-rw-
--x-wxrwx
------------------
rw-r-----
默认权限=最大权限-unask
如果是目录,按结果即可
如果是文件,结果为偶数的,直接使用;为奇数的,将奇数加1
隐藏权限
chatter:设置文件的隐藏属性
+:增加某一个特殊参数,其他原本参数不动
-:删除某一个特殊参数,其他参数不动
=:设置为仅后面的参数
选项:
a:设置a后,这个文件将只能增加数据,而不能删除也不能修改数据,只有root才能设置这 个属性
i:它可以让一个文件不能被删除,改名,设置连接也无法写入或添加数据,对系统安全有 重要意义,只root可设置
lsattr:查看隐藏属性
特殊权限
SetUID: 针对文件
SUID权限仅对二进制程序有效
执行者对于该程序需要具有x的执行权限
本权限仅在执行过程中有效
执行者将具有该程序所有者的权限
eg:[root@livecd ~]# ll /usr/bin/passwd
-rwsr-xr-x. 1 root root 30768 Feb 22 2012 /usr/bin/passwd
SetGID: 针对文件
SGID对二进制程序有用
程序执行者对于该程序来说,需具备x的权限
执行者在执行过程中将会获得该程序用户组的支持
设置该选项后具有的功能:
用户若对于此目录具有r与x的权限时,该用户能够进入此目录
用户在此目录下的有效用户组将会变成该目录的用户组
若用户再次目录下具有w的权限(可以新建文件),则用户所创建的新文件 的用户组与此目录的用户组相同
SBIT: 针对目录
当用户对于此目录具有w,x权限,即具有写入的权限
当用户在该目录下创建文件或目录时,仅有自己与root才有权利删除该文件
处理方法: 大写的S表示其本身没有执行权限
[root@localhost ~]# ll b
-rw-r--r--. 1 root root 14 Aug 1 18:32 b
[root@localhost ~]# chmod ug+s,o+t b ; ll b
-rwSr-Sr-T. 1 root root 14 Aug 1 18:32 b
ACL即Access Control List 主要的目的是提供传统的owner,group,others的read,write,execute 权限之外的具体权限设置,ACL可以针对单一用户、单一文件或目录来进行r,w,x的权限控制,对于需要 特殊权限的使用状况有一定帮助。如,某一个文件,不让单一的某个用户访问。
ACL使用两个命令来对其进行控制
getfacl:取得某个文件/目录的ACL设置项目
setfacl:设置某个文件/目录的ACL设置项目
setfacl 参数
-m:设置后续acl参数
-x:删除后续acl参数
-b:删除全部的acl参数
-k:删除默认的acl参数
-R:递归设置acl,包括子目录
-d:设置默认acl
[root@ www.linuxidc.com ~]# setfacl -m u:code:r /test
[root@ www.linuxidc.com ~]# ll /test
-rwxrwxrwx+ 1 root root 1 Apr 11 07:25 /test //可以看到权限的最后多了一个”+”号
[root@ www.linuxidc.com ~]#
现在再次查看一下此文件的ACL属性
[root@ www.linuxidc.com ~]# getfacl /test
getfacl: Removing leading '/' from absolute path names
# file: test
# owner: root
# group: root
user::rwx
user:code:r-- //可以看到code单独的权限为r--
group::rwx
mask::rwx
other::rwx
设置file1的权限给f2
getfacl file1 | setfacl --set-file=- file2 复制file1 的acl权限给file2
[root@localhost ~]# setfacl -x u:code /test
acl命令集合及含义:
setfacl -m u:wang:rwx file|directory 设置额外用户权限用户
setfacl -Rm g:sales:rwX directory
setfacl -M file.acl file|directory 可以在一个文件中写好要设置的权限,然后-M选项
setfacl -m g:salesgroup:rw file| directory 设置额外组权限
设置某个目录具有该权限,则其下新建文件和目录都继承
setfacl -m d:u:wang:rx directory
setfacl -x u:wang file |directory 删除用户的acl权限
setfacl -X file.acl directory
[root@ www.linuxidc.com ~]# getfacl /test
getfacl: Removing leading '/' from absolute path names
# file: test
# owner: root
# group: root
user::rwx
user:code:r-- //可以看到code单独的权限为r--
group::rwx
mask::rwx 设置除属主和other外的其他人的最大权限
other::rwx
mask::rwx 设置除属主和other外的其他人的最大权限,就是额外添加的用户和组以及自身的组最大权限的限定,可以自己设置
[user5@localhost ~]$ setfacl -m mask:r a
[user5@localhost ~]$ getfacl a
# file: a
# owner: user5
# group: user5
user::rw-
user:root:rwx#effective:r--
group::rw-#effective:r--
mask::r--
other::r--