Linux系统中一切都是文件,Linux的权限是基于文件的。但每个文件的类型不尽相同,Linux系统使用了不同的字符来加以区分
-:普通文件。
d:目录文件。
l:链接文件。
b:块设备文件。
c:字符设备文件。
p:管道文件。
Linux每个文件都有所属的所有者和所有组,并且规定了文件的所有者、所有组以及其他人对文件所拥有的可读(r)、可写(w)、可执行(x)等权限
r:能够读取文件的实际内容。
w:能够编辑、新增、修改、删除文件的实际内容。
x:能够运行一个脚本程序。
假如文件是一个目录,那可执行(x),是代表什么呢?
对于目录,r表示可以查看该目录下的文件列表;w表示可以在目录内新增、删除、重命名文件;x表示可以进入该目录
文件权限
格式:文件类型访问权限所属用户所属组占用磁盘大小修改时间文件名
如上图:-rw-rw-r--.drwxr-xr-x.
-表示普通/可执行文件,d是目录。w-rw-r--.为什么有这么多权限符号呢
Linux描述一个文件的权限分为三组,三个符号为一组。拿rwxr-xr-x来说
第一组rwx:表示这个文件的拥有者对它的权限:可读可写可执行(此处为zhy)
第二组r-x:表示这个文件的所属组对它的权限:可读不可写可执行(此处为zhy)
第三组r-x:表示其他用户对它的权限:可读不可写可执行
home文件信息
ll-d/home/--time-style=long-iso
通过分析可知,该文件的类型为目录,所有者权限为可读、可写、可执行(rwx),所属组权限为可读、可执行(r-x),除此以外的其他人也可读、可执行(r-x),文件的磁盘占用大小是28字节,最近一次的修改时间为2021-04-1114:15,目录文件的名称为home。
用户组权限问题(1)
用户组权限问题(2)
目录的rwx权限(3)
目录的r权限(4)
图1验证用户的附加组权限,这里有个问题:图2明明把zhy用户从root组中移除
了,但依然可对web目录作出编辑操作
图3验证目录的rwx权限,除去x,cdweb/返回权限不够;除去r,llweb/返回没有权限;
加回r权限后,之所以web/2.txt权限不够,是因为ll读取时,无法cd进入web目录,通过节点id,读取文件的信息,ll只获取到web目录下的文件id列表
groups与groupsuser不一致
给用户添加或删除附加组后,id、groups不会刷新,需重启才能获到正确的权限(CentOSLinuxrelease7.7.1908(Core)版本有此问题,CentOSLinuxrelease6.4(Final)正常)
更改文件的所属者和所属组
chown[-R]user[:group]file
-R:更改指定目录以及其子目录下的所有文件
:group:更改的目标所属组
chgrp[-R]groupfile
chowntomcat1.txt:更改1.txt的所属用户为tomcat
chown:tomcat1.txt:更改1.txt的所属组为tomcat
find./-perm-006-execchmodo-w{}\;
找到当前目录下只要其它用户有读写权限,并且将其改为读权限。{}为循环到的文件名
需要具有root权限
如:useraddtomcat;groupaddtomcat;chowntomcat:tomcat1.txt
更改文件的权限
chmod[-R][ugoa...][[+-=][rwxX]...]file-R:更改指定目录以及其子目录下的所有文件u:此文件的所属者g:此文件的所属初始基本组o:其他用户a:等效于ugo+:加某某权限-:减某某权限=:赋予某某某权限,重新设置r:设置为可读权限w:设置为可写权限x:设置为可执行权限X:特殊执行权限只有当文件为目录文件,或者其他类型的用户有可执行权限时,才将文件权限设置可执行s:setuid/gid当文件被执行时,根据who参数指定的用户类型设置文件的setuid或者setgid权限t:粘贴位设置粘贴位,只有超级用户可以设置该位,只有文件所有者u可以使用该位
命令:
一般使用格式
chmodu+rtest.txt;chmodg+rtest.txt;chmodo+rtest.txt==
chmodugo+rtest.txt==chmoda+rtest.txt
chmodu+r,g+r,o+rtest.txttest1.txt同时设置多个文件的权限
chmod-Ra+rw*设置当前目录下的所有档案与子目录皆设为任何人可读写
数字权限使用格式
每个权限都可以用一个二进制数1和0表示,而三个权限一组,共三组。故一个完整的文件权限可用9个二进制数表示,再简化为三个八进制数字形式。如:
rwx=4+2+1=7
rx=4+1=5
rw=4+2=6
rwxr-xr-x:111101101:755
chmodu=rwx,g=rwx,o=rwxtest.txt==chmoda=rwxtest.txt==chmod777test.txt
文件的附加权限
linux除了设置正常的读写操作权限外,还有关于一类设置也是涉及到权限,叫做Linxu附加权限。包括SET位权限(suid,sgid)和粘滞位权限(sticky)。
1.SUID
让执行者临时拥有所属用户的权限(对拥有执行权限的二进制程序进行设置);
让普通用户临时获得程序所有者的身份
意思是进程执行一个文件时通常保持进程拥有者的UID。然而,如果设置了可执行文件的suid位,进程就获得了该文件拥有者的UID
如果文件设置了suid还设置了x位,则相应的执行位表示为s(小写)。但是,如果没有设置x位,它将表示为S(大写)。如:
-rwsr-xr-x表示设置了suid,且拥有者有可执行权限
-rwSr--r--表示suid被设置,但拥有者没有可执行权限
SUID(1)
SUID(2)
2.SGID
让执行者临时拥有属组的权限(对拥有执行权限的二进制程序进行设置);
在某个目录中创建的文件自动继承该目录的用户组(只可以对目录进行设置)。
跟SUID差不多,只是获取到文件所属组的权限,把进程拥有者改成进程组了
-rwxr-sr-x表示sgid被设置,且群组用户有可执行权限
-rw-r-Sr--表示sgid被设置,但群组用户没有可执行权限
SGID(1)
SGID(2)
命令:ls-ld`whichrm`;whichrm与whereisrm
说明:只有在可执行二进制文件上设置SUID和SGID位,且执行者有执行权限(o+x),命令运行时会获取标记位的用户或属组身份去执行,注,shell文件无法获取到标记位身份
以下命令可以发现系统上运行的所有SUID可执行文件。具体来说,命令将尝试查找具有root权限的SUID的文件
find/-userroot-perm-4000-print2>/dev/null
从/目录中查找具有SUID权限位且属主为root的文件并输出他们,然后将所有错误重定向到/dev/null,从而就列出该用户具有访问权限的那些二进制文件
find/-perm-u=s-typef2>/dev/null
find/-userroot-perm-4000-execls-ldb{}\;
或
ls-l|grep'^...s'
ls-l|grep'^...s..s'
find`pwd`-execwhoami\;
3.SBIT
一般用于为目录设置特殊的附加权限,当目录被设置了粘滞位权限后,即便用户对该目录有写的权限,也不能删除该目录中其他用户的文件数据
一个文件或目录被设置了粘滞位权限,会表现在其他组用户的权限的可执行位上。如果文件设置了sticky还设置了x位,其他组用户的权限的可执行位为t。但是,如果没有设置x位,它将表示为T(大写)。如:
-rwsr-xr-t表示设置了粘滞位且其他用户组有可执行权限
-rwSr--r-T表示设置了粘滞位但其他用户组没有可执行权限
SGID标志位可以设置共享目录,SBIT标志位限制不能删除或修改其他用户的文件
SBIT
命令:
一般使用格式
chmodu+s,g+s,o+t/bin/rm
数字权限使用格式
在原来三组的基础上增加一组表示附加权限,其中:
4:SUID标志
2:SGID标志
1:SBIT标志
chmod4777/bin/rm;chmod6777/bin/rm;chmod7777/bin/rm;
文件的隐藏权限
chattr+|-[参数]文件设置或去除文件的隐藏权限i:无法修改,若是目录,则就能修改子文件内容,不能新建,重命名,删除a:只能追加内容d:使用dump命令备份时忽略此文件c:默认将文件压缩x:可以直接访问压缩文件中的内容
隐藏权限用ls之类的命令查不出来,需用lsattr
lsattr文件查看隐藏权限
文件访问控制列表(ACL)
对某个指定的用户或用户组设置文件或目录的操作权限,如果是对目录设置了ACL,则目录中的文件继承其ACL;若是文件设置了ACL,则不继承其所在目录的ACL
setfacl[参数][u|g]:[user|group]:权限码文件名
-R:目录文件递归
-m:文件
-b:删除ACL
getfacl文件名显示文件上设置的ACL信息
su和sudo
su:切换用户,通常中间加-,表示环境变量信息也更改为新用户信息,root的用户切换别的用户不需要密码,但普通用户切root用户需要输入root密码,有暴露的风险,故一般设置sudo,授权相应的命令给普通用户执行。其实sudo也是用的SUID附件权限
需要在/etc/sudoers文件中配置,如:zhyALL=NOPASSWD:/usr/bin/cat