Linux中文件權限、用戶和用戶組管理

1、文件權限

2.png


2、文件和目錄rwx權限說明

  • 文件rwx權限:

r  :  可讀,具有讀取文件內容的權限(),如果沒有r,vi/vim編輯器提示無法編輯(可強制編輯),echo可以追加或重定向。

w :  可寫,具有修改文件內容的權限

x  :  可執行,具有執行文件的權限。

       需滿足:文件本身具有可執行權限;普通用戶還需具有r權限;root用戶只要x權限就可執行。linux中可執行文件:*.sh     *.py     *.perl等等。

  • 目錄rwx權限:

r  :  可讀,查看目錄下面文件及子目錄的權限,即 ls dir

如果沒有x,不能進入到目錄裏,即無法cd dir ;如果沒有x,ls可以看到所有文件名,但會提示無權訪問目錄下的文件。

w :  可寫,具有修改、增加、刪除目錄內文件名的權限(需要x權限配合)

x  :  可執行,具有進入目錄的權限。例如cd dir;但是沒有r無法列表文件或目錄,沒有w無法修改、增加、刪除


3、刪除文件(或者修改文件名)受父目錄權限控制,和文件本身權限無關,刪除文件(或者修改文件名)是在操作文件的上級目錄的block中與文件名和inode相關聯的數據,因此和上級目錄權限有關。


4、讀取/data/test的過程


5、常用命令


改變文件或目錄用戶權限:    chmod   [數字權限或字符權限]     [文件名或目錄名]   。

加  -R (遞歸) 表示把目錄中的文件或子目錄權限改變。

數字權限:r :4   w:2    x:1    -:0

字符權限 :  u:所屬主   g:所屬組      o:其他人    a:相當於ugo       +:添加權限    -:取消權限     =:取消其他權限只添加給定權限


改變文件或目錄所屬主:     chown   [選項]  [屬主]  [文件名或目錄名]

選項:    -R     表示把指定目錄中的文件或子目錄的所屬主改變。


改變文件或目錄所屬組:chown :[屬組]  [文件名或目錄名]   

改變文件或目錄的所屬主和所屬組:chown 用戶.用戶組  [文件名或目錄名]   

改變文件或目錄所屬組:      chgrp    [選項]   [屬組]  [文件名或目錄名]

選項:   -R     表示把指定目錄中的文件或子目錄的所屬組改變。



6、默認權限分配命令:umask

每個linux系統終端都擁有一個umask,可以用來確定新創建文件或目錄的默認權限。由於在系統中創建一個文件默認權限666,創建一個目錄默認權限777,權限對外開放比較大,所以設置了umask權限掩碼之後,默認的文件目錄權限減去umask值纔是實際的文件目錄權限。

umask 一共4位數字,第一位用於定義特殊權限,後三位表示權限掩碼。


對於 超級用戶,umask默認值是0022,超級用戶(用戶root及用戶組root)創建目錄默認權限 :777-022=755,創建文件默認權限:666-022= 644,是相對安全的權限。

對於普通用戶, umask默認值是0002,普通用戶創建目錄默認權限:777-002=775,創建文件默認權限:666-002=664.


umask設定值如果有奇數位,777 ( 666 )-umask,對應的奇數位再加1,纔是創建目錄或文件的默認權限

umask設定值如果全爲偶數,777(666)-umask,就是創建目錄或文件的的默認權限。


查看umask值  :  umask

改變umask值  :   umask   -S   [設定值]    (臨時設置,重啓無效)

如果需要永久生效,則修改/etc/profile或者/etc/bashrc文件,在文件末尾加上 umask     [設定值]   。/etc/profile  和 /etc/bashrc  都可以用於用戶登錄時自動執行某些操作,區別是/etc/profile只是在用戶第一次登錄時被執行,而/etc/bashrc在用戶每次登錄加載bash shell 時都會被執行。因此,修改/etc/profile只能對新創建的用戶生效,/etc/bashrc 對所有登錄用戶都生效。


7、特殊權限


  • Linux文件的特殊權限是用於彌補一般權限不能實現的功能,是針對於文件設置的一種特殊的功能。

  • Linux文件的特殊權限:

SUID:讓執行者臨時擁有屬主的權限(僅對擁有執行權限x的二進制程序有效)。s(有x時)      ,  S( 無x時 )。

SGID:讓執行者臨時擁有屬組的權限(對擁有執行權限x的二進制程序設置)。 s(有x時),S(無x時)。

主要用在目錄中,當某個目錄設置了sgid,在該目錄中新創建的文件具有該目錄的所屬組權限,使得在多個用戶之間共享目錄變得簡單。

SBIT(Sticky Bit):只可管理自己的數據而不能刪除他人文件(僅對目錄有效)。        t( 有x時 )    ,T(無x時)。

  • Linux文件的特殊權限的設置:

SUID:4      SGID:2      SBIT:1

設置SUID:  chmod   4755     [文件名或目錄名]   或者     chmod   u+s   [文件名或目錄名]  

設置SGID:  chmod   2755     [文件名或目錄名]   或者     chmod   g+s   [文件名或目錄名]

設置SBIT(粘滯位):   chmod   1755     [目錄名]                


8、用戶和用戶組管理

  • 用戶管理:


useradd  :創建用戶,常會涉及到更改/etc/passwd   /etc/shadow       /etc/group       /etc/gshadow 文件。

userdel :刪除用戶,常會涉及到更改/etc/passwd   /etc/shadow       /etc/group       /etc/gshadow 文件,企業環境中慎用userdel  -r!!!

usermod :修改用戶信息,常會涉及到更改/etc/passwd   /etc/shadow       /etc/group       /etc/gshadow 文件。

passwd  :設置或修改密碼,更改/etc/shadow文件。

chage:修改密碼有效期,更改/etc/shadow文件。


id   :查看用戶的UID,GID及所屬的用戶組。

w:查看登錄用戶並顯示在做什麼

who:查看登錄用戶

last  或 lastb:查看登錄用戶歷史

lastlog:查看所有用戶最近登錄情況


su:切換用戶

sudo:後接命令,表示不需要root密碼就可以執行只有root纔可以執行的權限。這個權限可以通過visudo命令(推薦用法)或者直接編輯/etc/sudoers(配置完後要用 visudo  -c  檢查語法)來實現。

visudo:編輯sudo配置文件,配置完後執行 visudo  -c  檢查。

在/etc/sudoers中:別名和具體授權配置的關係,一般應用於多個系統用戶,需要分類、分層次管理,需注意以下:

(1)命令別名下的成員必須是文件或目錄的絕對路徑;

(2)別名名稱包含大寫字母、數字、下劃線;

(3)一個別名下的成員之間要用半角狀態下“,”分隔開,成員必須是有效存在的;

(4)別名成員要與別名一一對應;

(5)別名規則是以每行爲單位,如要換行要用 \來續行;

(6)指定切換的用戶要用()括起來,如無()默認root用戶,(ALL)代表切換到所有用戶;

(7)無需密碼直接運行的命令,應加上 NOPASSWD:參數;

(8)禁止某類命令或程序運行,要在前面加!,放在允許執行的命令的後面;

(9)用戶組前面要加%;


  • 用戶組管理:


groupadd:創建用戶組,常會涉及到更改/etc/group       /etc/gshadow 文件。

groupdel :刪除用戶組,常會涉及到更改/etc/group       /etc/gshadow 文件。

groupmod:更改用戶組信息,常會涉及到更改/etc/group       /etc/gshadow 文件。


  • 用戶和組的關係:一對一,一對多,多對一,多對多。

  • 用戶分類:

超級用戶:UID=0,root

虛擬用戶:UID=1-499,滿足文件或者服務啓動的需要,一般不能登錄系統。

普通用戶:UID=>=500,由超級用戶或者具有超級用戶權限的用戶創建。


  • 與用戶相關的文件:/etc/passwd(需要熟悉內容)     /etc/shadow       /etc/group       /etc/gshadow

/etc/skel:用來存放新用戶配置文件的目錄,當添加用戶時,就會把新用戶的配置文件複製到新添加用戶家目錄中,默認情況下該目錄下所有文件爲隱藏文件,通過修改,添加,刪除/etc/skel下的文件:爲新用戶統一提供初始化用戶環境;添加用戶登錄信息通知。

如:終端提示符顯示的是-bash-4.1

原因是:用戶家目錄下配置文件丟失。root在/root下面的幾個配置文件丟失,丟失文件如下:

   1、.bash_profile  

   2、.bashrc 這兩個文件都是用戶必備的文件。

修復要把這兩個文件重新拷貝到/root下:

   cp /etc/skel/.bashrc /root/

   cp /etc/skel/.bash_profile  /root/

  註銷root,重新登錄就可以恢復正常。  

/etc/login.defs:用來定義創建用戶時需要的一些用戶配置信息,如:創建用戶的家目錄,UID和GID的範圍,用戶密碼的有效期。(一般不需要修改)
/etc/default/useradd:添加用戶時默認的配置信息。


企業環境:

(1)密碼需8位以上字母數字特殊字符複雜組合;大企業用戶密碼採用LDAP(相當於活動目錄,openldap )對linux用戶統一認證,批量管理;動態密碼,動態口令。

(2)企業環境下刪除用戶,如果不確定有無重要數據不要刪除用戶家目錄(慎用userdel -r),一般通過 vi  /etc/passwd  註釋掉要刪除的用戶,觀察一個月,無異常再刪除;或者把登錄shell改成/sbin/nologin;或openldap管理的,在ldap庫裏刪掉用戶即可。

9、chattr、lsattr


  • chattr:   命令用於改變文件或目錄屬性,通過chattr命令修改屬性能夠提高系統的安全性,但是它並不適合所有的目錄。chattr命令不能保護/、/dev、/tmp、/var目錄。

       這兩個命令是用來查看和改變文件、目錄屬性的,與chmod這個命令相比,chmod只是改變文件的讀寫、執行權限,更底層的屬性控制是由chattr來改變的。

        如:    chattr +i    /etc/resolv.conf      #用chattr命令防止系統中某個關鍵文件被修改:

參數:

  -R                    :遞歸處理,將指定目錄下的所有文件及子目錄一併處理。

  -v<版本編號> :設置文件或目錄版本。

  -V                   :顯示指令執行過程。

  +<屬性>          : 開啓文件或目錄的該項屬性。

  -<屬性>           :關閉文件或目錄的該項屬性。

  =<屬性>          : 指定文件或目錄的該項屬性。

屬性:

  1. a:讓文件或目錄只能追加內容。

  2. b:不更新文件或目錄的最後存取時間。

  3. c:將文件或目錄壓縮後存放。

  4. d:將文件或目錄排除在傾倒操作之外。

  5. i:不得任意更動文件或目錄。

  6. s:保密性刪除文件或目錄。

  7. S:即時更新文件或目錄。

  8. u:預防意外刪除。


  • lsattr   :  顯示chattr命令設置的文件屬性。

lsattr [-adlRvV][文件或目錄...]

參數:


  • -a  顯示所有文件和目錄,包括以"."爲名稱開頭字符的額外內建,現行目錄"."與上層目錄".."。

  • -d  顯示,目錄名稱,而非其內容。

  • -l  此參數目前沒有任何作用。

  • -R  遞歸處理,將指定目錄下的所有文件及子目錄一併處理。

  • -v  顯示文件或目錄版本。

  • -V  顯示版本信息。

 


發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章