首页 > 代码库 > 用户的权限

用户的权限

通过本周的学习让我对权限的认识有进了一步

用户的权限管理:

普通权限:

特殊权限:

文件的特殊属性:

FACL:


普通权限:

进程安全上下文:

1.判断进程的所有者是否为想要操作的文件的属主,如果是,就按照属主的权限进行授权;如果不是,就转到第2条;

2.判断进程的所有者是否为想要操作的文件的属组中的成员,如果是,就按照属组的权限进行授权;如果不是,就转到第三条;

3.按照其他用户的权限进行授权;


权限的构成:

MODE(Permission):使用权

r:Readable,可读

w:Writable,可写

x:eXecutable,可执行


目录:

r:可以使用ls命令获得其中所有的文件名的列表;ls -l命令来获取目录中文件的详细的属性信息,也不能使用cd命令进入其中,也不能在路径中引用该目录;

w:可以修改此目录中的文件名或文件名列表,即:可以在此目录中创建、修改或删除文件名;

x:可以使用ls -l命令来获取其中的文件的详细属性信息;也可以在路径中引用该目录;也可以使用cd命令来进入其中;


注意:x权限是目录的最基本权限,任何目录都必须多任何用户开放x权限,否则,用户将无法进行任何操作;


文件:

r:可以查看或获取该文件中存放的数据;

w:可以修改文件中存放的数据;

x:可以将此文件发起运行为进程;


ls -l <--> ll

rw-r--r--:三个权限位——属主、属组、其他用户

属主权限:rw-

属组权限:r--

其他用户权限:r--


权限标识三元组:

--- 000 0

--x 001 1

-w- 010 2

-wx 011 3

r-- 100 4

r-x 101 5

rw- 110 6

rwx 111 7


rw-r--r--

110100100

644


755 --> rwxr-xr-x


注意:只有某个文件的属主才能修改文件的使用权(root除外);

修改文件的使用权限:

chmod --> change mode: chmod - change file mode bits


chmod [OPTION]... MODE[,MODE]... FILE...

MODE:符号权限标识法

u,g,o,a表示所有权;


+,-,=表示授权方式;

+:在原有的权限基础上添加新的权限;

-:在原有的权限基础上去除某些权限;

=:不考虑原有权限,直接将权限设置为目标权限;


r,w,x表示具体权限内容;


例子:

chmod u+w file

chmod g+rw file

chmod u+x,g-wx,o-x file

chmod u=rw,g=r,o=r file

chmod ug-x file

chmod +x file  默认的为a添加执行权限;

chmod +w file  默认的只为属主添加写权限;


注意:文件的执行权限:Linux的文件系统来说,非常重要的安全的标识;

因为一旦文件具备的执行权限,意味着该文件可以被发起执行为进程;

所以,默认情况下,文件都不具备执行权限;



chmod [OPTION]... OCTAL-MODE FILE...

如果使用八进制数字标识法,则每次必须给足所有的权限位;

如果给的权限位不完整,文件系统会自动补足,将给定的权限放置在右侧,左侧使用0来补;


chmod 640 file


chmod [OPTION]... --reference=RFILE FILE...


chmod --reference=/PATH/TO/SOMEFILE DES_FILE


chmod --reference=a b

选项:

-R, --Recursive:将目标目录中的文件及子目录和子目录中的文件统一的设置为指定的权限标识;


OWNERSHIP:所有权

属主:资源掌控的某个特定用户;owner(user),u

属组:资源掌控的某些特定用户;group,g

其他用户:未曾掌控资源的那些用户;other,o


全部用户:all,a


chown:可以修改文件的属主和属组;

change file owner and group


chown [OPTION]... [OWNER][:[GROUP]] FILE...

chown OWNER FILE

chown :GROUP FILE

chown OWNER: FILE  //将目标文件的属主改为OWNER,同时将属组修改为OWNER的基本组;

chown OWNER:GROUP FILE  //将目标文件的属主和主组修改为OWNER和GROUP;


chown [OPTION]... --reference=RFILE FILE...


-R, --Recursive:将目标目录中的文件及子目录和子目录中的文件统一的设置为指定的所有权;


注意:修改OWNERSHIP操作只有超级用户(root)可以完成;


chgrp:只能修改文件的属组;

     chgrp - change group ownership


     chgrp [OPTION]... GROUP FILE...

     chgrp [OPTION]... --reference=RFILE FILE...


install命令:

安装:复制文件;为文件赋予执行权限;

copy files and set attributes

单源复制:

install [OPTION]... [-T] SOURCE DEST


多源复制:

install [OPTION]... SOURCE... DIRECTORY

install [OPTION]... -t DIRECTORY SOURCE...


创建目录:

install [OPTION]... -d DIRECTORY...


常用选项:

-m, --mode=MODE:指定目标文件的权限,默认为755;

-o, --owner=OWNER:设定目标文件的属主;只能是root可用;

-g, --group=GROUP:设定目标文件的属组;仅root可用;


注意:install命令不能复制目录,即其源不能为目录;如果其源为目录,则install经历了会进入目录,依次复制其中的所有非目录文件到目标位置;


mktemp命令:

一般来讲,临时文件都会创建在/tmp或/var/tmp目录中;无需手动删除,系统会定期自动清除这两个目录中的文件;


选项:

-d, --directory:可以创建临时目录;


例子:mktemp [-d] /PATH/TO/TMP.XXXXXXXX 


回顾:

普通权限:

MODE:资源的使用权限

属主:u

属组:g

其他用户:o


所有用户:a


三元组:rwx 


字符标识:

rwx-

八进制数字标识:

0-7


chmod 

OWNERSHIP:资源的所有权

chown:

chown OWNER | :GROUP | OWNER: | OWNER:GROUP  FILE -R

chgrp

chgrp GROUP FILE -R


install

mktemp


特殊权限:

SUID、SGID、STICKY


默认情况下,用户发起执行一个进程,该进程的属主是其发起者;也就是说,该进程是以其发起者的身份在运行;


SUID:

功能作用:用户发起执行一个进程时,该程序文件如果拥有SUID权限的话,那么此程序发起的进程其属主为改程序文件的属主,而不是其发起者;


SUID权限所显示的位置:文件的属主权限中的执行权限位;如果属主本来就有执行权限,显示为s;否则,显示为S;


管理文件的SUID权限:

chmod u+|-s FILE...


SGID:

如果某个目录的对于一些用户有写权限并且设置了SGID权限时,则所有对此目录有写权限的用户在创建新的文件或目录以后,新文件的属组不再是创建用户的基本组,而是继承了该目录的属组;


SGID权限显示的位置:文件的属组权限中的执行权限位;如果属组本来就执行权限,显示为s;否则显示为S;


管理文件的SGID权限:

chmod g+|-s FILE...


STICKY:sticky(粘性的) :粘滞位

如果某个目录中,有超过一个用户可以有写权限,则这多个用户都可以在该目录中随意创建、修改和删除文件名;


STICKY的功能作用:

如果为上述类似的目录设置了STICKY权限,则每个用户仍旧能够创建和修改文件名,但每个用户只能删除那些属主为其自身的文件名;


STICKY权限的显示位置:在文件权限的其他用户的执行权限位;如果原来就有执行权限,则显示为t;否则,显示为T;


管理文件的STICKY权限:

chmod o+|-t FILE...


suid sgid sticky

--- 000 0

--t 001 1

-s- 010 2

-st 011 3

s-- 100 4

s-t 101 5

ss- 110 6

sst 111 7


特殊权限的另一种修改方式:

将特殊权限对应的八进制数字放置于普通权限八进制数字的前面即可;


例如:想要给某个目录加上粘滞位:

chmod 1755 DIRECTORY...


umask

权限遮罩码:在创建文件或目录时默认的权限生成标准;


root:0022

不考虑特殊权限位

对于新创建的文件或目录,不遮挡属主的任何权限;遮住了属组的写权限和其他用户的写权限;


[root@localhost ~]# mkdir test --> rwxr-xr-x

[root@localhost ~]# touch test.txt --> rw-r--r--


文件的默认权限是:666-umask

目录的默认权限时:777-umask


理解遮罩码:

将遮罩码的值变为二进制,凡是有1的位置,其权限在创建文件时,就不设置;


033   000011011  --- 110100100   644

--- 111100100 744


默认情况下,文件的遮罩码已经有了一个0111,在此基础之上再次应用umask来遮罩权限


文件的特殊属性:

查看文件的特殊属性:

lsattr:list file attributes on a Linux second extended file system

lsattr [ -RVadv ] [ files...  ]


修改设置文件的特殊属性:

chattr:change file attributes on a Linux file system

chattr [ -RVf ] [ -v version ] [ mode ] files...

mode:会使用+-=的方式来设置;

整个chattr命令最关键最核心的设置就是[mode]部分;

[aAcCdDeijsStTu]都是所需要的属性;


+:在原有属性设定的基础上,添加新属性;

-:从原有属性设置中移除指定的属性;

=:不考虑原有的属性设置,直接将文件的属性更新为指定的属性内容;


a:append,设置这个属性的文件,其内容不能被更改和删除,只能以追加的方式向文件中写数据;多数的服务器日志类文件会设置为此属性;

A:atime,文件的访问时间戳;IO瓶颈;设置A属性,可以使得文件在被访问时不更改文件的访问时间戳,从而可以有效的防止IO瓶颈的发生;

c:设置文件是否自动压缩后再行存储;

C:设置文件是否开启"写时复制"属性;

d:设置文件在使用dump进行备份的时候,不会称为备份目标;

D:设置文件在文件系统中的异步写操作;

i:设置文件不能被删除、修改、设定链接关系;

s:设置文件的保密性删除,一旦设置s属性的文件被删除,其对应存储设备中的使用空间会被一并收回;

u:跟s属性相反,如果这样的文件被删除,则其存储于存储设备中的数据会被留存;


最常用的属性:i和a


chattr +i FILE


常用选项:

-R:递归的设置指定目录中的所有文件和子目录的属性;


为文件赋予额外的权限机制:FACL:File Access Control List,文件访问控制列表


文件的额外赋权机制;


在原有的u,g,o权限位之外,让普通用户能够控制权限赋予另外的用户和组的一种赋权机制:


一般在CentOS或RHEL7版本以后的发行版中,才逐渐成熟;

注意:如果设置了FACL之后再修改目标文件的使用权限,那么FACL中设置的条目就可能收到影响而导致与要求不符;因此,如果真的需要设置FACL,就要在已经确定目标文件的使用权限以后再行设置;


bash的脚本初步

shell脚本:另外一种历史命令的保持形式;

# wget https://mirrors.tuna.tsinghua.edu.cn/epel/7/x86_64/e/epel-release-7-8.noarch.rpm

# rpm -ivh epel-release-7-8.noarch.rpm

# yum repolist

cat exclude_epel.list

debug/

repoview/

# cat yum_rsync.sh

#!/bin/sh

https://mirrors.tuna.tsinghua.edu.cn/epel/6Server/x86_64/

#EPEL 6 Repository

/usr/bin/rsync -avrt https://mirrors.tuna.tsinghua.edu.cn/epel/6/x86_64/ --exclude-from=/home/repository/exclude_epel.list /home/repository/epel/6/x86_64

#EPEL 6Server Repository

/usr/bin/rsync -avrt https://mirrors.tuna.tsinghua.edu.cn/epel/6Server/x86_64/ --exclude-from=/home/repository/exclude_epel.list /home/repository/epel/6Server/x86_64


本文出自 “12481507” 博客,请务必保留此出处http://12491507.blog.51cto.com/12481507/1913759

用户的权限