目录
一、文件基本权限
设定
作用
其他权限命令
二、默认权限
三、ACL权限
简介与开启
查看与设定
最大权限与删除
默认权限与递归权限
四、sudo权限
五、文件特殊权限
SetUID
SetGID
Sticky BIT
六、不可改变位权限
本文为慕课网Tony老师视频笔记,Tony老师的课通俗易懂,幽默风趣,Linux入门或巩固基础的话,推荐看一下!https://www.imooc.com/u/279399/courses?sort=publish
一、文件基本权限
设定
-rw-r--r-- - 文件类型(-文件 d目录 l软连接文件) rw- r-- r-- u所有组 g所属组 o其他人 r读 w写 x执行
chmod [选项] 模式 文件名 选项 -R 递归 模式 [ugoa][+-=][rwx] [mode=421]
作用
权限对文件的作用 r:读取文件内容 w:编辑新增修改文件内容(但是不包含删除文件) x:可执行
权限对目录的作用 r:可以查询目录下的文件名(ls) w:具有修改目录结构的权限。如新建文件和目录,删除此目录下文件和目录,重命名此目录下文件和目录,剪切(touch rm mv cp) x:可以进入目录
其他权限命令
修改文件的所有者chown 用户名 文件名
修改文件所属组chgrp 组名 文件名
二、默认权限
查看系统默认权限umask 0022 第一位0:文件特殊权限 022:文件默认权限注意: 1.文件最高权限为666(文件不能一建立就可以执行,需要后续赋予执行权限) 2.目录最高权限为777 3.权限不能使用数字进行换算,而必须使用字母 4.umask定义的权限,是系统默认权限中准备丢弃的权限
三、ACL权限
简介与开启
当基本权限不够用的时候可以开启ACL权限,针对某个用户赋予权限
查看分区ACL权限是否开启 dumpe2fs命令是查询指定分区详细文件系统信息的命令dumpe2fs -h /dev/sda5 -h 仅显示超级块中信息,而不显示磁盘快组的详细信息
临时开启ACL权限 重新挂载根分区,并挂载加入acl权限mount -o remount,acl /
永久开启ACL权限 vi /etc/fstab 加入acl UUID...ext4 default,acl mount -o remount /
查看与设定
查看ACL权限getfacl 文件名
设定ACL权限setfacl 选项 文件名 选项: -m 设定ACL权限 -x 删除指定的ACL权限 -b 删除所有的ACL权限 -d 设定默认ACL权限 -k 删除默认ACL权限 -R 递归设定ACL权限 setfacl -m u:lw:rx /av
最大权限与删除
最大有效权限mask mask是用来指定最大有效权限的。如果我们给用户赋予了ACL权限,是需要和mask的权限“相与” 才能用户的真正权限
修改最大默认权限 设定mask权限为r-x。使用“m:权限”格式setfacl -m m:rx 文件名
删除ACL权限 删除指定用户的ACL权限setfacl -x u:用户名 文件名 删除指定用户组的ACL权限setfacl -x g:组名 文件名
默认权限与递归权限
递归ACL权限 递归是父目录在设定ACL权限时,所有的子文件和子目录也会拥有相同的ACL权限setfacl -m u:用户名:权限 -R 文件名
默认ACL权限 默认ACL权限的作用是如果给父目录设定了默认ACL权限,那么父目录中所有新建的子文件都会继承父目录的ACL权限setfacl -m d:u用户名:权限 文件名
四、sudo权限
sudo权限 root把本来只能超级用户执行的命令赋予普通用户执行 sudo操作对象是系统命令
sudo使用 实际上修改的是/etc/sudoers文件visudo
root ALL=(ALL) ALL 用户名 被管理的主机地址=(可使用的身份)授权命令(绝对路径) # %wheel ALL=(ALL)ALL #%组名 被管理的主机地址=(可使用的身份)授权命令(绝对路径) 普通用户可以重启服务器 user1 ALL=/sbin/shutdown -r now
普通用户执行sudo赋予的命令su 命令 sudo /sbin/shutdown -r now查看可用的sudo命令sudo -l
五、文件特殊权限
SetUID
SetUID的功能 1、只有可执行的二进制程序才能设定SUID权限 2、命令执行者要对该程序拥有x权限 3、命令执行者在执行该程序时或得该程序文件属主的身份(在执行文件的过程中灵魂附体为文件的属主) 4、SetUID权限只在该程序执行过程中有效,也就是身份改变只在程序执行过程中有效
设定SetUID的方法 4代表SUIDchmod 4755 文件名 chmod u+s 文件名
取消SetUID的方法chmod 0755 文件名 chmod u-s 文件名
password命令拥有SetUID权限,所以普通用户可以修改自己的密码 cat命令没有SetUID权限,所以普通用户不能查看/etc/shadow文件内容
危险的SetUID 1、关键目录应严格控制写权限。比如"/"、"/usr"等 2、用户密码设定要严格遵守密码三原则 3、对系统中默认应该具有SetUID权限的文件作一列表,定时检查有没有这之外的文件被设置了SetUID
SetGID
SetGID针对文件的作用 1、只有可执行的二进制程序才能设定SGID权限 2、命令执行者要对该程序拥有x权限 3、命令执行者在执行该程序时候,组身份升级为该程序文件的属组 4、SetGID权限同样只在该程序执行过程中有效,也就是说组身份改变只在执行过程中有效
SetGID针对目录的作用 1、普通用户必须对此目录拥有r和x权限,才能进入目录 2、普通用户在此目录中的有效组会变成此目录的属组 3、若普通用户对此目录拥有w权限时,新建文件的默认属组是这个目录的属组
设定SetGID 2代表SGIDchmod 2755 文件名 chmod g+s 文件名
取消SetGIDchmod 0755 文件名 chmod g-s 文件名
Sticky BIT
SBIT粘着位作用 1、粘着位目前只对目录有效 2、普通用户对该目录拥有w和x权限,即普通用户可以在此目录拥有写入权限 3、如果没有粘着位,因为普通用户拥有w权限,所以可以删除此目录下的所有文件 包括其他用户建立的文件。一旦赋予了粘着位,只有root可以删除所有文件, 普通用户只能删除自己建立的文件
设置与取消粘着位 设置chmod 1755 目录名 chmod o+t 目录名 取消chmod 0755 目录名 chmod o-t 目录名
六、不可改变位权限
chattr [+-=] [选项] 文件或目录名 +:增加权限 -:删除权限 =:等于某权限 选项 a等价于append i等价于insert
查看文件系统属性lsattr 选项 文件名 选项: -a:显示所有文件和目录 -d:若目标是目录,仅列出目录本身的属性,而不是子文件的