用户、组和权限

1280

1、用户和组

1.1、用户

Linux中每个用户是通过 User Id (UID)来唯一标识的。

  • 管理员:root, 0
  • 普通用户:1-60000 自动分配
    • 系统用户:1-499 (CentOS 6以前), 1-999 (CentOS 7以后)对守护进程获取资源进行权限分配;
    • 登录用户:500+ (CentOS6以前), 1000+(CentOS7以后)给用户进行交互式登录使用;

1.2、用户组

Linux中可以将一个或多个用户加入用户组中,用户组是通过Group ID(GID) 来唯一标识的。

  • 管理员组:root, 0
  • 普通组:
    • 系统组:1-499(CentOS 6以前), 1-999(CentOS7以后), 对守护进程获取资源进行权限分配
    • 普通组:500+(CentOS 6以前), 1000+(CentOS7以后), 给用户使用

1.3、用户和组的关系

  • 用户的主要组(primary group):用户必须属于一个且只有一个主组,默认创建用户时会自动创建和用户名同名的组,做为用户的主要组,由于此组中只有一个用户,又称为私有组
  • 用户的附加组(supplementary group): 一个用户可以属于零个或多个辅助组,附属组
[root@centos79_test ~]# id postfix
uid=89(postfix) gid=89(postfix) groups=89(postfix),12(mail)

1.4、安全上下文

Linux安全上下文Context:运行中的程序,即进程 (process),以进程发起者的身份运行,进程所能够
访问资源的权限取决于进程的运行者的身份
比如:分别以root 和test 的身份运行 /bin/cat /etc/shadow ,得到的结果是不同的,资源能否能
被访问,是由运行者的身份决定,非程序本身

[root@centos79_test ~]# useradd test
[root@centos79_test ~]# /bin/cat  /etc/shadow
root:$6$CFkVXLQm$BsUfn4NYoMTqpmvp0kdfhE0SjAQPddaQK/f0ED7Bvc1ynA6AZ53aazuSJE8cW8KkwcgMLeaYTlVlcw3cumZdZ.:19304:0:99999:7:::
bin:*:18353:0:99999:7:::
daemon:*:18353:0:99999:7:::
adm:*:18353:0:99999:7:::
lp:*:18353:0:99999:7:::
sync:*:18353:0:99999:7:::
shutdown:*:18353:0:99999:7:::
halt:*:18353:0:99999:7:::
mail:*:18353:0:99999:7:::
operator:*:18353:0:99999:7:::
games:*:18353:0:99999:7:::
ftp:*:18353:0:99999:7:::
nobody:*:18353:0:99999:7:::
systemd-network:!!:19304::::::
dbus:!!:19304::::::
polkitd:!!:19304::::::
sshd:!!:19304::::::
postfix:!!:19304::::::
rpc:!!:19304:0:99999:7:::
rpcuser:!!:19304::::::
nfsnobody:!!:19304::::::
tcpdump:!!:19304::::::
test:!!:19304:0:99999:7:::

[root@centos79_test ~]# su - test
[test@centos79_test ~]$ /bin/cat  /etc/shadow
/bin/cat: /etc/shadow: Permission denied

2、用户和组的配置文件

2.1、用户和组的主要配置文件

  • /etc/passwd:用户及其属性信息(名称、UID、主组ID等)
  • /etc/shadow:用户密码及其相关属性
  • /etc/group:组及其属性信息
  • /etc/gshadow:组密码及其相关属性

2.2、passwd文件格式

test:x:1000:1000::/home/test:/bin/bash
  • login name:登录用名(test)
  • passwd:密码 (x)
  • UID:用户身份编号 (1000)
  • GID:登录默认所在组编号 (1000)
  • GECOS:用户全名或注释
  • home directory:用户主目录 (/home/test)
  • shell:用户默认使用shell (/bin/bash)

2.3 shadow文件格式

test:!!:19304:0:99999:7:::
  • 登录用名
  • 用户密码:一般用sha512加密
  • 从1970年1月1日起到密码最近一次被更改的时间
  • 密码再过几天可以被变更(0表示随时可被变更)
  • 密码再过几天必须被变更(99999表示永不过期)
  • 密码过期前几天系统提醒用户(默认为一周)
  • 密码过期几天后帐号会被锁定
  • 从1970年1月1日算起,多少天后帐号失效
#更改密码加密算法
authconfig   --passalgo=sha256 --update

密码的安全策略

  • 足够长
  • 使用数字、大写字母、小写字母及特殊字符中至少3种
  • 使用随机密码
  • 定期更换,不要使用最近曾经使用过的密码
#生成随机密码
[root@centos79_test ~]# yum install -y expect
[root@centos79_test ~]# mkpasswd -l 16 -c 5 -C 5 -d 2 -s 3
3Wt?ItH}$mG5jXpp

2.4、group文件格式

test:x:1000:
  • 群组名称:就是群组名称
  • 群组密码:通常不需要设定,密码是被记录在 /etc/gshadow
  • GID:就是群组的 ID
  • 以当前组为附加组的用户列表(分隔符为逗号)

2.5、gshdow文件格式

test:!::
  • 群组名称:就是群的名称
  • 群组密码:
  • 组管理员列表:组管理员的列表,更改组密码和成员
  • 以当前组为附加组的用户列表:多个用户间用逗号分隔

3、用户和组管理命令

  • 用户管理命令
    • useradd
    • usermod
    • userdel
  • 组管理命令
    • groupadd
    • groupmod
    • groupdel

3.1、用户创建

useradd 命令可以创建新的Linux用户

useradd [options] LOGIN
  • -u 指定UID
  • -o 配合-u 选项,不检查UID的唯一性
  • -g GID 指明用户所属基本组,可为组名,也可以GID
  • -c “COMMENT“ 用户的注释信息
  • -d HOME_DIR 以指定的路径(不存在)为家目录
  • -s SHELL 指明用户的默认shell程序,可用列表在/etc/shells文件中
  • -G GROUP1[,GROUP2,…] 为用户指明附加组,组须事先存在
  • -N 不创建私用组做主组,使用users组做主组
  • -r 创建系统用户 CentOS 6之前: ID<500,CentOS7 以后: ID<1000
  • -m 创建家目录,用于系统用户
  • -M 不创建家目录,用于非系统用户
  • -p 指定加密的密码
#范例
[root@centos79_test ~]# useradd user1
[root@centos79_test ~]# id user1
uid=1001(user1) gid=1001(user1) groups=1001(user1)

#useradd 命令默认值设定由/etc/default/useradd定义
[root@centos79_test ~]# cat /etc/default/useradd
# useradd defaults file
GROUP=100
HOME=/home
INACTIVE=-1 #对应/etc/shadow文件第7列,即用户密码过期后的帐号锁定的宽限期,-1表示不锁定
EXPIRE=     #对应/etc/shadow文件第8列,即用户帐号的有效期

SHELL=/bin/bash
SKEL=/etc/skel  #用于生成新建用户家目录的模版文件

CREATE_MAIL_SPOOL=yes

#显示或更改默认设置
useradd -D
useradd –D -s SHELL
useradd –D –b BASE_DIR
useradd –D –g GROUP
[root@centos79_test ~]# useradd -D
GROUP=100
HOME=/home
INACTIVE=-1
EXPIRE=
SHELL=/bin/bash
SKEL=/etc/skel
CREATE_MAIL_SPOOL=yes
[root@centos79_test ~]# useradd -D -s /sbin/nologin
[root@centos79_test ~]# useradd -D
GROUP=100
HOME=/home
INACTIVE=-1
EXPIRE=
SHELL=/sbin/nologin
SKEL=/etc/skel
CREATE_MAIL_SPOOL=yes

3.2、用户属性修改

usermod 命令可以修改用户属性

usermod [OPTION] login
  • -u UID: 新UID
  • -g GID: 新主组
  • -G GROUP1[,GROUP2,…[,GROUPN]]]:新附加组,原来的附加组将会被覆盖;若保留原有,则要同时使用-a选项
  • -s SHELL:新的默认SHELL
  • -c ‘COMMENT’:新的注释信息
  • -d HOME: 新家目录不会自动创建;若要创建新家目录并移动原家数据,同时使用-m选项
  • -l login_name: 新的名字
  • -L lock指定用户,在/etc/shadow 密码栏的增加 !
  • -U unlock指定用户,将 /etc/shadow 密码栏的 ! 拿掉
  • -e YYYY-MM-DD: 指明用户账号过期日期
  • -f INACTIVE: 设定非活动期限,即宽限期
#范例
[root@centos79_test ~]# usermod -aG test user1
[root@centos79_test ~]# id user1
uid=1001(user1) gid=1001(user1) groups=1001(user1),1000(test)

3.3、删除用户

userdel 可删除Linux 用户

userdel [OPTION]... Login
  • -f, –force 强制
  • -r, –remove 删除用户家目录和邮箱
#范例
[root@centos79_test ~]# userdel -rf user1
[root@centos79_test ~]# ll /home/user1
ls: cannot access /home/user1: No such file or directory

3.4、查看用户相关的ID信息

id 命令可以查看用户的UID,GID等信息

id [OPTION]... [USER]
  • -u 显示UID
  • -g 显示GID
  • -G 显示用户所属的组的ID
  • -n 显示名称,需配合ugG使用
#范例
[root@centos79_test ~]# id test
uid=1000(test) gid=1000(test) groups=1000(test)

3.5、切换用户或以其他用户身份执行命令

su: 即 switch user,命令可以切换用户身份,并且以指定用户的身份执行命令

su [options...] [-] [user [args...]]
  • -l –login su -l UserName 相当于 su – UserName
  • -c –command 使用-c向shell传递单个命令
#范例
[root@centos79_test ~]# su - test -c id
uid=1000(test) gid=1000(test) groups=1000(test)

[root@centos79_test ~]# su - test
Last login: Tue Nov  8 13:28:33 CST 2022 on pts/0
[test@centos79_test ~]$ id
uid=1000(test) gid=1000(test) groups=1000(test)

切换用户的方式:

  • su UserName:非登录式切换,即不会读取目标用户的配置文件,不改变当前工作目录,即不完全切换
  • su – UserName:登录式切换,会读取目标用户的配置文件,切换至自已的家目录,即完全切换
  • root su至其他用户无须密码;非root用户切换时需要密码
  • su 切换新用户后,使用 exit 退回至旧的用户身份,而不要再用 su 切换至旧用户,否则会生成很多的bash子进程,环境可能会混乱。

3.6、设置密码

图片[1]-用户、组和权限-李佳程的个人主页

passwd 可以修改用户密码

passwd [OPTIONS] UserName
  • -d:删除指定用户密码
  • -l:锁定指定用户
  • -u:解锁指定用户
  • -e:强制用户下次登录修改密码
  • -f:强制操作
  • -n mindays:指定最短使用期限
  • -x maxdays:最大使用期限
  • -w warndays:提前多少天开始警告
  • -i inactivedays:非活动期限
  • –stdin:从标准输入接收用户密码,Ubuntu无此选项
#非交互式修改密码
#通用方法
[root@centos79_test ~]# echo -e '1qaz@WSX111\n1qaz@WSX111' | passwd test
Changing password for user test.
New password: Retype new password: passwd: all authentication tokens updated successfully.

#适用于红帽系
[root@centos79_test ~]# echo '1qaz@WSX111' | passwd --stdin test
Changing password for user test.
passwd: all authentication tokens updated successfully.

#随机密码
[root@centos79_test ~]# yum -y install expect
[root@centos79_test ~]# mkpasswd -l 8 -c 2 -C 2 -d 2 -s 2 |tee passwd.txt | passwd --stdin test
Changing password for user test.
passwd: all authentication tokens updated successfully.
[root@centos79_test ~]# cat passwd.txt
?BEb11h#

3.7、修改用户密码策略

chage 可以修改用户密码策略

chage [OPTION]... LOGIN
  • -d LAST_DAY #更改密码的时间
  • -m –mindays MIN_DAYS
  • -M –maxdays MAX_DAYS
  • -W –warndays WARN_DAYS
  • -I –inactive INACTIVE #密码过期后的宽限期
  • -E –expiredate EXPIRE_DATE #用户的有效期
  • -l 显示密码策略
#范例
[root@centos79_test ~]# chage test
Changing the aging information for test
Enter the new value, or press ENTER for the default

	Minimum Password Age [0]: 3
	Maximum Password Age [99999]: 5
	Last Password Change (YYYY-MM-DD) [2022-11-08]:
	Password Expiration Warning [7]: 1
	Password Inactive [-1]: 1
	Account Expiration Date (YYYY-MM-DD) [-1]:
[root@centos79_test ~]# getent shadow test
test:$6$.9z0Hf/b$H.8XkTIHtegt8Sifi3IoweFtcZVVY.Ki3yt0GLmNXcNPsUX/7NXzns5JrzuNKKhx22TBIl7OJJgvGV9AVdbk9/:19304:3:5:1:1::

[root@centos79_test ~]# chage -m 10 -M 100 -W 10 -I 10 -E 2023-11-08 test
[root@centos79_test ~]# getent shadow test
test:$6$.9z0Hf/b$H.8XkTIHtegt8Sifi3IoweFtcZVVY.Ki3yt0GLmNXcNPsUX/7NXzns5JrzuNKKhx22TBIl7OJJgvGV9AVdbk9/:19304:10:100:10:10:19669:

[root@centos79_test ~]# chage -l test
Last password change					: Nov 08, 2022
Password expires					: Feb 16, 2023
Password inactive					: Feb 26, 2023
Account expires						: Nov 08, 2023
Minimum number of days between password change		: 10
Maximum number of days between password change		: 100
Number of days of warning before password expires	: 10
#下一次登录强制重设密码
[root@centos79_test ~]# chage -d 0 test
[root@centos79_test ~]# getent shadow test
test:$6$.9z0Hf/b$H.8XkTIHtegt8Sifi3IoweFtcZVVY.Ki3yt0GLmNXcNPsUX/7NXzns5JrzuNKKhx22TBIl7OJJgvGV9AVdbk9/:0:10:100:10:10:19669:
[root@centos79_test ~]# chage -l test
Last password change					: password must be changed
Password expires					: password must be changed
Password inactive					: password must be changed
Account expires						: Nov 08, 2023
Minimum number of days between password change		: 10
Maximum number of days between password change		: 100
Number of days of warning before password expires	: 10

3.8、创建组

groupadd实现创建组

groupadd [OPTION]... group_name
  • -g GID 指明GID号;[GID_MIN, GID_MAX]
  • -r 创建系统组,CentOS 6之前: ID<500,CentOS 7以后: ID<1000
#范例
[root@centos79_test ~]# groupadd -g 2222 test1
[root@centos79_test ~]# cat /etc/group
test1:x:2222:

3.9、修改组

groupmod 组属性修改

groupmod [OPTION]... group
  • -n group_name: 新名字
  • -g GID: 新的GID
#范例
[root@centos79_test ~]# groupmod -g 3333 test1
[root@centos79_test ~]# cat /etc/group
test1:x:3333:

3.10、组删除

groupdel [options] GROUP
-f, --force 强制删除,即使是用户的主组也强制删除组,但会导致无主组的用户不可用无法登录

#范例
[root@centos79_test ~]# groupdel -f test1

3.11、更改组成员和密码

gpasswd命令,可以更改组密码,也可以修改附加组的成员关系

gpasswd [OPTION] GROUP
  • -a user 将user添加至指定组中
  • -d user 从指定附加组中移除用户user
  • -A user1,user2,… 设置有管理权限的用户列表
#范例
[root@centos79_test ~]# groupadd admin
[root@centos79_test ~]# id test
uid=1000(test) gid=1000(test) groups=1000(test)
[root@centos79_test ~]# gpasswd -a test admin
Adding user test to group admin
[root@centos79_test ~]# id test
uid=1000(test) gid=1000(test) groups=1000(test),1001(admin)
[root@centos79_test ~]# getent group admin
admin:x:1001:test

[root@centos79_test ~]# gpasswd -d test admin
Removing user test from group admin
[root@centos79_test ~]# getent group admin
admin:x:1001:
[root@centos79_test ~]# id test
uid=1000(test) gid=1000(test) groups=1000(test)

3.12、更改和查看组成员

groupmems 可以管理附加组的成员关系

groupmems [options] [action]
  • -g, –group groupname #更改为指定组 (只有root)
  • -a, –add username #指定用户加入组
  • -d, –delete username #从组中删除用户
  • -p, –purge #从组中清除所有成员
  • -l, –list #显示组成员列表

groups 可查看用户组关系

#查看用户所属组列表
groups [OPTION].[USERNAME]... 
#范例
[root@centos79_test ~]# groupmems -l -g admin
[root@centos79_test ~]# groupmems -a test -g admin
[root@centos79_test ~]# groupmems -l -g admin
test
[root@centos79_test ~]# id test
uid=1000(test) gid=1000(test) groups=1000(test),1001(admin)

[root@centos79_test ~]# groupmems -a user1  -g admin
[root@centos79_test ~]# groupmems -a user2  -g admin
[root@centos79_test ~]# groupmems -l -g admin
test  user1  user2

[root@centos79_test ~]# groupmems -d test -g admin
[root@centos79_test ~]# groupmems -l -g admin
user1  user2

[root@centos79_test ~]# groupmems -p -g admin
[root@centos79_test ~]# groupmems -l -g admin

[root@centos79_test ~]# groups test
test : test
[root@centos79_test ~]# groupmems -a test -g admin
[root@centos79_test ~]# groups test
test : test admin

4、文件权限管理

程序访问文件时的权限,取决于此程序的发起者

  • 进程的发起者,同文件的属主,则应用文件属主权限;
  • 进程的发起者,属于文件属组,则应用文件属组权限;
  • 应用文件“其它”权限;
图片[2]-用户、组和权限-李佳程的个人主页

4.1、文件所有者和属组属性操作

chown 命令可以修改文件的属主,也可以修改文件属组

chown [OPTION]... [OWNER][:[GROUP]] FILE...
chown [OPTION]... --reference=RFILE FILE...
  • OWNER #只修改所有者
  • OWNER:GROUP #同时修改所有者和属组
  • :GROUP #只修改属组,冒号也可用 . 替换
  • –reference=RFILE #参考指定的的属性,来修改
  • -R #递归,此选项慎用,非常危险!
#范例
[root@centos79_test file]# ll
total 16
-rw-r--r--. 1 root root 465 Nov  8  2022 fstab
-rw-r--r--. 1 root root 465 Nov  8  2022 fstab1
-rw-r--r--. 1 root root 465 Nov  8  2022 fstab2
-rw-r--r--. 1 root root 465 Nov  8  2022 fstab3
[root@centos79_test file]# chown test:test fstab
[root@centos79_test file]# chown test fstab1
[root@centos79_test file]# chown :test fstab2
[root@centos79_test file]# chown user1:test fstab3
[root@centos79_test file]# ll
total 16
-rw-r--r--. 1 test  test 465 Nov  8  2022 fstab
-rw-r--r--. 1 test  root 465 Nov  8  2022 fstab1
-rw-r--r--. 1 root  test 465 Nov  8  2022 fstab2
-rw-r--r--. 1 user1 test 465 Nov  8  2022 fstab3
[root@centos79_test file]# chown -R root.root /root
[root@centos79_test file]# ll
total 16
-rw-r--r--. 1 root root 465 Nov  8  2022 fstab
-rw-r--r--. 1 root root 465 Nov  8  2022 fstab1
-rw-r--r--. 1 root root 465 Nov  8  2022 fstab2
-rw-r--r--. 1 root root 465 Nov  8  2022 fstab3

chgrp 命令可以只修改文件的属组

chgrp [OPTION]... GROUP FILE...
chgrp [OPTION]... --reference=RFILE FILE...
-R 递归

4.2、文件权限

文件的权限主要针对三类对象进行定义

  • owner 属主, u
  • group 属组, g
  • other 其他, o

用户的最终权限,是从左向右进行顺序匹配,即,所有者,所属组,其他人,一旦匹配权限立即生效,不再向右查看其权限r和w权限对root 用户无效只要所有者,所属组或other三者之一有x权限,root就可以执行。

每个文件针对每类访问者都定义了三种常用权限
每个文件针对每类访问者都定义了三种权限

  • r Readable 4
  • w Writable 2
  • x eXcutable 1

对文件的权限:

  • r 可使用文件查看类工具,比如:cat,可以获取其内容
  • w 可修改其内容,文件的是否被删除和文件的权限无关
  • x 可以把此文件提请内核启动为一个进程,即可以执行(运行)此文件(此文件的内容必须是可执行)文件权限常见组合
  • — 0
  • r 4
  • r-x 5
  • rw 6
  • rwx 7

对目录的权限:

  • r 可以使用ls查看此目录中文件名列表,但无法看到文件的属性meta信息,包括inode号,不能查看文件的内容
  • w 可在此目录中创建文件,也可删除此目录中的文件,而和此被删除的文件的权限无关
  • x 可以cd进入此目录,可以使用ls -l file或stat file 查看此目录中指定文件的元数据,当预先知道文件名称时,也可以查看文件的内容,属于目录的可访问的最小权限
  • X 分配给目录或有部分x权限的文件的x权限,对无任意x权限的文件则不会分配x权限目录权限常见组合
  • – 不能访问目录
  • r-x 只读目录
  • rwx 可读也可写目录

八进制数字

  • — 000 0
  • –x 001 1
  • -w- 010 2
  • -wx 011 3
  • r– 100 4
  • r-x 101 5
  • rw- 110 6
  • rwx 111 7

修改文件权限chmod

chmod [OPTION]... MODE[,MODE]... FILE...
chmod [OPTION]... OCTAL-MODE FILE...
#参考RFILE文件的权限,将FILE的修改为同RFILE
chmod [OPTION]... --reference=RFILE FILE...
#模式法格式

who:u,g,o,a
opt:+,-,=
permission:r,w,x

修改指定一类用户的所有权限
u= g= o= ug= a= u=,g=

修改指定一类用户某个或某个权限
u+ u- g+ g- o+ o- a+ a- + -

-R: 递归修改权限
#范例
[root@centos79_test file]# ll
total 16
-rw-r--r--. 1 root root 465 Nov  8  2022 fstab
-rw-r--r--. 1 root root 465 Nov  8  2022 fstab1
-rw-r--r--. 1 root root 465 Nov  8  2022 fstab2
-rw-r--r--. 1 root root 465 Nov  8  2022 fstab3
[root@centos79_test file]# chmod a+w *
[root@centos79_test file]# ll
total 16
-rw-rw-rw-. 1 root root 465 Nov  8  2022 fstab
-rw-rw-rw-. 1 root root 465 Nov  8  2022 fstab1
-rw-rw-rw-. 1 root root 465 Nov  8  2022 fstab2
-rw-rw-rw-. 1 root root 465 Nov  8  2022 fstab3
[root@centos79_test file]# chmod u+x,g-r,o-w *
[root@centos79_test file]# ll
total 16
-rwx-w-r--. 1 root root 465 Nov  8  2022 fstab
-rwx-w-r--. 1 root root 465 Nov  8  2022 fstab1
-rwx-w-r--. 1 root root 465 Nov  8  2022 fstab2
-rwx-w-r--. 1 root root 465 Nov  8  2022 fstab3
[root@centos79_test file]# ll
total 16
-rw-------. 1 root root 465 Nov  8  2022 fstab
-rw-------. 1 root root 465 Nov  8  2022 fstab1
-rw-------. 1 root root 465 Nov  8  2022 fstab2
-rw-------. 1 root root 465 Nov  8  2022 fstab3

执行 cp /etc/issue /data/dir/ 所需要的最小权限?
/bin/cp 需要x权限
/etc/ 需要x权限
/etc/issue 需要r权限
/data 需要x权限
/data/dir 需要w,x权限

4.3、新建文件和目录的默认权限

umask 的值可以用来保留在创建文件权限

实现方式:

  • 新建文件的默认权限: 666-umask,如果所得结果某位存在执行(奇数)权限,则将其权限+1,偶数不变
  • 新建目录的默认权限: 777-umask

非特权用户umask默认是 002

root的umask 默认是 022

#查看umask
[root@centos79_test file]# umask
0022
[root@centos79_test file]# umask  -S
u=rwx,g=rx,o=rx
[root@centos79_test file]# umask  -p
umask 0022

#修改umask
[root@centos79_test file]# umask 0111
[root@centos79_test file]# umask
0111
[root@centos79_test file]# umask  -S
u=rw,g=rw,o=rw
[root@centos79_test file]# umask  -p
umask 0111

#持久化修改umask
#全局设置 /etc/bashrc
#用户设置 ~/.bashrc

4.4、Linux文件系统上的特殊权限

三种特殊权限:SUID, SGID, Sticky

  • SUID
    • 作用于二进制可执行文件上,用户将继承此程序所有者的权限;
  • SGID
    • 作用于二进制可执行文件上,用户将继承此程序所有组的权限;
    • 作于于目录上, 此目录中新建的文件的所属组将自动从此目录继承;
  • STICKY
    • 作用于目录上,此目录中的文件只能由所有者自已来删除;

特殊权限SUID

前提:进程有属主和属组;文件有属主和属组

  • 任何一个可执行程序文件能不能启动为进程,取决发起者对程序文件是否拥有执行权限;
  • 启动为进程之后,其进程的属主为发起者,进程的属组为发起者所属的组;
  • 进程访问文件时的权限,取决于进程的发起者;

二进制的可执行文件上SUID权限功能

  • 任何一个可执行程序文件能不能启动为进程:取决发起者对程序文件是否拥有执行权限;
  • 启动为进程之后,其进程的属主为原程序文件的属主;
  • SUID只对二进制可执行程序有效;
  • SUID设置在目录上无意义;
chmod u+s FILE...
chmod 4xxx FILE
chmod u-s FILE...

#范例
[root@centos79_test file]# chmod u+s fstab
[root@centos79_test file]# ll fstab
-rwS------. 1 root root 465 Nov  8  2022 fstab

特殊权限SGID

二进制的可执行文件上SGID权限功能

  • 任何一个可执行程序文件能不能启动为进程:取决发起者对程序文件是否拥有执行权限
  • 启动为进程之后,其进程的属组为原程序文件的属组
chmod g+s FILE...
chmod 2xxx FILE
chmod g-s FILE...

目录上的SGID权限功能

默认情况下,用户创建文件时,其属组为此用户所属的主组,一旦某目录被设定了SGID,则对此目录有写权限的用户在此目录中创建的文件所属的组为此目录的属组,通常用于创建一个协作目录。

chmod g+s DIR...
chmod 2xxx DIR
chmod g-s DIR...

特殊权限 Sticky

  • 具有写权限的目录通常用户可以删除该目录中的任何文件,无论该文件的权限或拥有权
  • 在目录设置Sticky 位,只有文件的所有者或root可以删除该文件
  • sticky 设置在文件上无意义
chmod o+t DIR...
chmod 1xxx DIR
chmod o-t DIR...

特殊权限数字法

  • 000 0
  • 001 1
  • 010 2
  • 011 3
  • 100 4
  • 101 5
  • 110 6
  • 111 7

权限位映射

  • SUID: user,占据属主的执行权限位
    • s:属主拥有x权限
    • S:属主没有x权限
  • SGID: group,占据属组的执行权限位
    • s: group拥有x权限
    • S:group没有x权限
  • Sticky: other,占据other的执行权限位
    • t:other拥有x权限
    • T:other没有x权限

4.5、设定文件特殊属性

设置文件的特殊属性,可以防止 root 用户误操作删除或修改文件

#不能删除,改名,更改
chattr +i file
#只能追加内容,不能删除,改名
chattr +a file
#显示特定属性
lsattr

4.6 访问控制列表 ACL

ACL:Access Control List,实现灵活的权限管理;
除了文件的所有者,所属组和其它人,可以对更多的用户设置权限;
CentOS7 默认创建的xfs和ext4文件系统具有ACL功能;
CentOS7 之前版本,默认手工创建的ext4文件系统无ACL功能,需手动增加;

tune2fs –o acl /dev/sdb1
mount –o acl /dev/sdb1 /mnt/test

ACL生效顺序:

所有者—->自定义用户—->所属组|自定义组—->其他人

ACL相关命令

  • setfacl 可设置ACL权限
  • getfacl 可查看设置的ACL权限
#范例
[root@centos79_test acl]# setfacl -m u:test:- /etc/fstab
[root@centos79_test acl]# getfacl /etc/fstab
getfacl: Removing leading '/' from absolute path names
# file: etc/fstab
# owner: root
# group: root
user::rw-
user:test:---
group::r--
mask::r--
other::r--
[test@centos79_test ~]$ cat /etc/fstab
cat: /etc/fstab: Permission denied

–set选项会把原有的ACL项都删除,用新的替代,需要注意的是一定要包含UGO的设置,不能象-m一样
只是添加ACL就可以

setfacl --set u::rw,u:test:rw,g::r,o::- file1

mask 权限

  • mask只影响除所有者和other的之外的人和组的最大权限
  • mask需要与用户的权限进行逻辑与运算后,才能变成有限的权限(Effective Permission)
  • 用户或组的设置必须存在于mask权限设定范围内才会生效
setfacl -m mask::rx file

© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
Linux基础知识
喜欢就支持一下吧
点赞0 分享
Lijiach的头像-李佳程的个人主页
使用 pg_ctl 启动关闭以及管理 PostgreSQL 数据库-李佳程的个人主页
使用 pg_ctl 启动关闭以及管理 PostgreSQL 数据库
使用 pg_ctl 启动关闭以及管理 PostgreSQL 数据库
9个月前 633
Ceph-FS 文件存储-李佳程的个人主页
Ceph-FS 文件存储
Ceph-FS 文件存储
2年前 336
部署OpenVPN-李佳程的个人主页
部署OpenVPN
部署OpenVPN
3年前 293
OpenVPN 管理-李佳程的个人主页
OpenVPN 管理
OpenVPN 管理
3年前 244
PostgreSQL 关闭数据库的三种方法-李佳程的个人主页
PostgreSQL 关闭数据库的三种方法
PostgreSQL 关闭数据库的三种方法
10个月前 218
mysql8 一键安装脚本-李佳程的个人主页
mysql8 一键安装脚本
mysql8 一键安装脚本
2年前 194
相关推荐
任务计划-李佳程的个人主页
任务计划
任务计划
3年前 89
网络测试诊断工具-李佳程的个人主页
网络测试诊断工具
网络测试诊断工具
3年前 68
软件管理yum-李佳程的个人主页
软件管理yum
软件管理yum
3年前 69
网络配置-李佳程的个人主页
网络配置
网络配置
3年前 96
搜索
开启精彩搜索
使用 pg_ctl 启动关闭以及管理 PostgreSQL 数据库-李佳程的个人主页
633人已阅读
使用 pg_ctl 启动关闭以及管理 PostgreSQL 数据库
TOP1
Ceph-FS 文件存储-李佳程的个人主页
Ceph-FS 文件存储
2年前336人已阅读
TOP2
部署OpenVPN-李佳程的个人主页
部署OpenVPN
3年前293人已阅读
TOP3
OpenVPN 管理-李佳程的个人主页
OpenVPN 管理
3年前244人已阅读
TOP4
PostgreSQL 关闭数据库的三种方法-李佳程的个人主页
PostgreSQL 关闭数据库的三种方法
10个月前218人已阅读
TOP5
mysql8 一键安装脚本-李佳程的个人主页
mysql8 一键安装脚本
2年前194人已阅读
TOP6
Linux 简介-李佳程的个人主页
Linux 简介
11个月前188人已阅读
TOP7
ceph 集群维护-李佳程的个人主页
ceph 集群维护
2年前185人已阅读
TOP8
Nginx命令和信号-李佳程的个人主页
Nginx命令和信号
3年前183人已阅读
TOP9
安装KVM-李佳程的个人主页
安装KVM
3年前180人已阅读
TOP10
Zabbix 主动与被动模式-李佳程的个人主页
Zabbix 主动与被动模式
2年前174人已阅读
TOP11
KVM 存储管理-李佳程的个人主页
KVM 存储管理
3年前173人已阅读
TOP12
iptables(下)-李佳程的个人主页
iptables(下)
3年前169人已阅读
TOP13
Docker 介绍-李佳程的个人主页
Docker 介绍
2年前169人已阅读
TOP14
部署反向代理-李佳程的个人主页
部署反向代理
3年前169人已阅读
TOP15
部署 ceph-李佳程的个人主页
部署 ceph
2年前166人已阅读
TOP16
部署Percona XtraDB Cluster(PXC 5.7)-李佳程的个人主页
部署Percona XtraDB Cluster(PXC 5.7)
3年前164人已阅读
TOP17
kafka-李佳程的个人主页
kafka
3年前164人已阅读
TOP18
ceph 块设备 RBD-李佳程的个人主页
ceph 块设备 RBD
2年前160人已阅读
TOP19
磁盘常见工具-李佳程的个人主页
磁盘常见工具
3年前160人已阅读
TOP20
其他文章

ceph 集群基础

zabbix 监控 MySQL 服务

PostgreSQL 关闭数据库的三种方法

ELK 概述

Gitlab 相关

部署OpenVPN

kubeadm部署高可用kubernetes 1.20.5

Redis 常用命令

Keepalived 实现 VRRP

网络配置

Zabbix 概述和架构

virsh 命令行工具

zabbix 触发器 Triggers

kafka 部署

Ansible使用03

RAID

Ansible使用01

Jenkins 基础配置

部署正向主DNS服务器

部署Percona XtraDB Cluster(PXC 5.7)