13518219792
有三種不同類型的用戶可對文件或目錄進行訪問:文件所有者,同組用戶、其他用戶。所有者一般是文件的創建者。所有者可以允許同組用戶有權訪問文件,還可以將文件的訪問權限賦予系統中的其他用戶。在這種情況下,系統中每一位用戶都能訪問該用戶擁有的文件或目錄。
站在用戶的角度思考問題,與客戶深入溝通,找到木蘭網站設計與木蘭網站推廣的解決方案,憑借多年的經驗,讓設計與互聯網技術結合,創造個性化、用戶體驗好的作品,建站類型包括:做網站、成都做網站、企業官網、英文網站、手機端網站、網站推廣、域名申請、虛擬主機、企業郵箱。業務覆蓋木蘭地區。
每一文件或目錄的訪問權限都有三組,每組用三位表示,分別為文件屬主的讀、寫和執行權限;與屬主同組的用戶的讀、寫和執行權限;系統中其他用戶的讀、寫和執行權限。當用ls -l命令顯示文件或目錄的詳細信息時,最左邊的一列為文件的訪問權限。例如:
$ ls?-l sobsrc.?tgz
-rw-r--r--?1?root root?483997?Ju1?l5?17:3l?sobsrc.?tgz
橫線代表空許可。r代表只讀,w代表寫,x代表可執行。注意這里共有10個位置。第一個字符指定了文件類型。在通常意義上,一個目錄也是一個文件。如果第一個字符是橫線,表示是一個非目錄的文件。如果是d,表示是一個目錄。例如:
– rw- r– r–
普通文件 文件主 組用戶 其他用戶
是文件sobsrc.tgz 的訪問權限,表示sobsrc.tgz是一個普通文件;sobsrc.tgz的屬主有讀寫權限;與sobsrc.tgz屬主同組的用戶只有讀權限;其他用戶也只有讀權限。
確定了一個文件的訪問權限后,用戶可以利用Linux系統提供的chmod命令來重新設定不同的訪問權限。也可以利用chown命令來更改某個文件或目錄的所有者。利用chgrp命令來更改某個文件或目錄的用戶組。
下面分別對這些命令加以介紹。
chmod 命令
chmod命令是非常重要的,用于改變文件或目錄的訪問權限。用戶用它控制文件或目錄的訪問權限。
以主文件夾下的一個名為“cc”的文件夾為例。下面一步一步介紹如何修改權限:
1.打開終端。輸入”su”(沒有引號)
2.接下來會要你輸入密碼,輸入你的root密碼。
3.假設我的文件夾在主目錄里,地址為? /var/home/dengchao/cc? 。假設我要修改文件權限為777,則在終端輸入? chmod? 777 /var/home/userid/cc 文件夾的權限就變為了777。
如果是修改文件夾及子文件夾權限可以用? chmod -R 777 /var/home/userid/cc
具體的權限(例如777的含意等)在下面解釋下:
1.777有3位,最高位7是設置文件所有者訪問權限,第二位是設置群組訪問權限,最低位是設置其他人訪問權限。
其中每一位的權限用數字來表示。具體有這些權限:
r(Read,讀取,權限值為4):對文件而言,具有讀取文件內容的權限;對目錄來說,具有瀏覽目 錄的權限。
w(Write,寫入,權限值為2):對文件而言,具有新增、修改文件內容的權限;對目錄來說,具有刪除、移動目錄內文件的權限。
x(eXecute,執行,權限值為1):對文件而言,具有執行文件的權限;對目錄了來說該用戶具有進入目錄的權限。
2. 首先我們來看如何確定單獨一位上的權限數值,例如最高位表示文件所有者權限數值,當數字為7時,7用“rwx”表示 –{4(r)+2(w)+1(x)=7}–又如果數值為6,則用“rw-”表示–{4(r)+2(w)+0(x)=6}–,”-”表示不具備權限,這里表 示不具備“執行”權限。
假如我們設定其他用戶的訪問權限為 “r–”,則數值為4+0+0=4
一開始許多初學者會被搞糊涂,其實很簡單,我們將rwx看成二進制數,如果有則用1表示,沒有則有0表示,那么rwx則可以表示成為:111
而二進制的111就是7。
3.我們再來看下怎么確定3個數位上的權限。假如我們要給一個文件設置權限,具體權限如下:
文件所有者有“讀”、“寫”、“執行”權限,群組用戶有“讀”權限,其他用戶有“讀”權限,則對應的字母表示為”rwx r– r–“,對應的數字為744
一般都是最高位表示文件所有者權限值,第二位表示群組用戶權限,最低位表示其他用戶權限。
下面來舉些例子熟悉下。
權限 ? ?數值 ?
rwx rw- r– ? ?764 ?
rw- r– r– ? ?644 ?
rw- rw- r– ? ?664 ?
該命令有兩種用法。一種是包含字母和操作符表達式的文字設定法;另一種是包含數字的數字設定法。
1. 文字設定法
chmod [who] [+ | – | =] [mode] 文件名?
命令中各選項的含義為:
操作對象who可是下述字母中的任一個或者它們的組合:
u 表示“用戶(user)”,即文件或目錄的所有者。
g 表示“同組(group)用戶”,即與文件屬主有相同組ID的所有用戶。
o 表示“其他(others)用戶”。
a 表示“所有(all)用戶”。它是系統默認值。
操作符號可以是:
+ 添加某個權限。
– 取消某個權限。
= 賦予給定權限并取消其他所有權限(如果有的話)。
設置mode所表示的權限可用下述字母的任意組合:
r 可讀。
w 可寫。
x 可執行。
X 只有目標文件對某些用戶是可執行的或該目標文件是目錄時才追加x 屬性。
s 在文件執行時把進程的屬主或組ID置為該文件的文件屬主。方式“u+s”設置文件的用戶ID位,“g+s”設置組ID位。
t 保存程序的文本到交換設備上。
u 與文件屬主擁有一樣的權限。
g 與和文件屬主同組的用戶擁有一樣的權限。
o 與其他用戶擁有一樣的權限。
-c?:?若該檔案權限確實已經更改,才顯示其更改動作
-f?:?若該檔案權限無法被更改也不要顯示錯誤訊息
-v?:?顯示權限變更的詳細資料
-R?:?對目前目錄下的所有檔案與子目錄進行相同的權限變更(即以遞回的方式逐個變更)
–help?:?顯示輔助說明
–version?:?顯示版本
文件名:以空格分開的要改變權限的文件列表,支持通配符。在一個命令行中可給出多個權限方式,其間用逗號隔開。例如:chmod g+r,o+r example使同組和其他用戶對文件example 有讀權限。
例1:
$ chmod a+x sort
即設定文件sort的屬性為:
文件屬主(u) 增加執行權限
與文件屬主同組用戶(g) 增加執行權限
其他用戶(o) 增加執行權限
例2:
$ chmod ug+w,o-x text
即設定文件text的屬性為:
文件屬主(u) 增加寫權限
與文件屬主同組用戶(g) 增加寫權限
其他用戶(o) 刪除執行權限
例3:
$ chmod u+s a.out
假設執行chmod后a.out的權限為(可以用ls – l a.out命令來看):
–rws--x--x?1?inin users?7192?Nov?4?14:22?a.out
并且這個執行文件要用到一個文本文件shiyan1.c,其文件存取權限為“–rw——-”,即該文件只有其屬主具有讀寫權限。
當其他用戶執行a.out這個程序時,他的身份因這個程序暫時變成inin(由于chmod命令中使用了s選項),所以他就能夠讀取shiyan1.c這個文件(雖然這個文件被設定為其他人不具備任何權限),這就是s的功能。
因此,在整個系統中特別是root本身,最好不要過多的設置這種類型的文件(除非必要)這樣可以保障系統的安全,避免因為某些程序的bug而使系統遭到入侵。
例4:
$ chmod a–x mm.txt
$ chmod?–x mm.txt
$ chmod ugo–x mm.txt
以上這三個命令都是將文件mm.txt的執行權限刪除,它設定的對象為所有使用者。
2. 數字設定法
我們必須首先了解用數字表示的屬性的含義:0表示沒有權限,1表示可執行權限,2表示可寫權限,4表示可讀權限,然后將其相加。所以數字屬性的格式應為3個從0到7的八進制數,其順序是(u)(g)(o)。
例如,如果想讓某個文件的屬主有“讀/寫”二種權限,需要把4(可讀)+2(可寫)=6(讀/寫)。
數字設定法的一般形式為:chmod [mode] 文件名?
例1:
$ chmod?644?mm.txt
$ ls?–l
即設定文件mm.txt的屬性為:
-rw-r--r--?1?inin users?1155?Nov?5?11:22?mm.txt
文件屬主(u)inin 擁有讀、寫權限
與文件屬主同組人用戶(g) 擁有讀權限
其他人(o) 擁有讀權限
例2:
$ chmod?750?wch.txt
$ ls?–l
-rwxr-x---?1?inin users?44137?Nov?12?9:22?wchtxt
即設定wchtxt這個文件的屬性為:
文件主本人(u)inin 可讀/可寫/可執行權
與文件主同組人(g) 可讀/可執行權
其他人(o) 沒有任何權限
chgrp命令
功能:改變文件或目錄所屬的組。
語法:chgrp?[選項] group filename?
參數:
-c或–changes 效果類似”-v”參數,但僅回報更改的部分。
-f或–quiet或–silent 不顯示錯誤信息。
-h或–no-dereference 只對符號連接的文件作修改,而不更動其他任何相關文件。
-R或–recursive 遞歸處理,將指定目錄下的所有文件及子目錄一并處理。
-v或–verbose 顯示指令執行過程。
–help 在線幫助。
–reference=lt;參考文件或目錄gt; 把指定文件或目錄的所屬群組全部設成和參考文件或目錄的所屬群組相同。
–version 顯示版本信息。
該命令改變指定指定文件所屬的用戶組。其中group可以是用戶組ID,也可以是/etc/group文件中用戶組的組名。文件名是以空格分開的要改變屬組的文件列表,支持通配符。如果用戶不是該文件的屬主或超級用戶,則不能改變該文件的組。
該命令的各選項含義為:
– R 遞歸式地改變指定目錄及其下的所有子目錄和文件的屬組。
例1:
$?chgrp?-?R book?/opt/local?/book
改變/opt/local /book/及其子目錄下的所有文件的屬組為book。
chown?命令
功能:更改某個文件或目錄的屬主和屬組。這個命令也很常用。例如root用戶把自己的一個文件拷貝給用戶yusi,為了讓用戶yusi能夠存取這個文件,root用戶應該把這個文件的屬主設為yusi,否則,用戶yusi無法存取這個文件。
語法:chown?[選項] 用戶或組 文件
說明:chown將指定文件的擁有者改為指定的用戶或組。用戶可以是用戶名或用戶ID。組可以是組名或組ID。文件是以空格分開的要改變權限的文件列表,支持通配符。
參數說明:
user : 新的檔案擁有者的使用者 ID
group : 新的檔案擁有者的使用者群體(group)
-c : 若該檔案擁有者確實已經更改,才顯示其更改動作
-f : 若該檔案擁有者無法被更改也不要顯示錯誤訊息
-h : 只對于連結(link)進行變更,而非該 link 真正指向的檔案
-v : 顯示擁有者變更的詳細資料
-R : 對目前目錄下的所有檔案與子目錄進行相同的擁有者變更(即以遞回的方式逐個變更)
–help : 顯示輔助說明
–version : 顯示版本
例1:把文件yusi123.com的所有者改為yusi。
$?chown?yusi yusi123.com
例2:把目錄/demo及其下的所有文件和子目錄的屬主改成yusi,屬組改成users。
$ chown?-?R yusi.users?/demo
例如:chown qq /home/qq ?(把home目錄下的qq目錄的擁有者改為qq用戶)
例如:chown -R qq /home/qq ?(把home目錄下的qq目錄下的所有子文件的擁有者改為qq用戶)
Linux系統中的用戶是分角色的,用戶的角色是由UID和GID來識別的(也就是說系統是識別的是用戶的UID、GID,而非用戶用戶名),一個UID是唯一(系統中唯一如同身份證一樣)用來標識系統的用戶賬號(用戶名)。
文件的用戶與用戶組分為超級管理員,普通用戶和系統用戶。
1)超級管理員的UID=0,GID=0,也可以這么說系統只要是識別出某個用戶的UID\GID都為0時,那么這個用戶系統就認為是超級管理員。
2)普通用戶(管理員添加的),默認它的UID\GID是從500-65535,權限很小,只能操作自己的家目錄中文件及子目錄(注:nobody它的UID\GID是65534)。
3)系統用戶,也稱虛擬用戶,也就是安裝系統時就默認存在的且不可登陸系統,它們的UID\GID是1-499。
我們可以通過cat /etc/passwd命令來查看所有的用戶信息,例如下圖,第三列是UID,第四列是GID:
創建用戶
useradd user1 創建用戶user1
useradd -e 12/30/2021 user2 創建用戶user2,有效期到2021-12-30
設置用戶密碼
passwd user1 設置密碼,有設置密碼的用戶不能用
這里設置密碼時可能會碰到密碼保護機制問題,這里需要注釋掉保護機制的問題
這個時候需要在編輯/etc/pam.d/system-auth文件,將其中的password requisite
和password sufficient兩行注釋掉,如下圖:
創建用戶組
groupadd –g 888 users 創建一個組users,其GID為888
groupadd users 不用g參數,使用默認的組ID
命令 gpasswd為組添加用戶
只有root和組管理員能夠改變組的成員:
gpasswd –a user1 users 把 user1加入users組
gpasswd –d user1 users 把 user1退出users組
命令groupmod修改組
groupmod –n user2 user1 修改組名user1為user2
groupdel刪除組
groupdel users 刪除組users
真正從安全性角度上來考慮的話,是要控制用戶一定執行命令的權限,也就是哪些用戶可以執行哪些命令,不可以執行哪些命令,因此也就有了sudo這個應用,對于sudo提權,也就是修改/etc/sudoers的配置文件。
例子:
對于上面的語法 chmod 【{ugoa}{+-=}{rwx}】【文件或目錄】,我們要知道ugoa分別是:u:表示所有者,g:表示所屬組,o:表示其他人,a:表示所有人。而rwx表示的意思如下:
對于【mode=421】【文件或目錄】,這是我們將權限用數字表示,其中 r 表示4,w表示2,x表示1,分別是2的0次方,1次方,2次方。那么我們可以這樣理解:具有 rwx 權限的數字就是 7,具有 rw- 權限的數字是 6,具有 r-- 權限的數字是 4。
示例1:我們賦予 tmp 目錄下的 tmp.log 所有者 x 的權限;賦予 所屬組 w 權限,其他人 w 權限。
將上面例子改為用 數字來操作,也就是說我們要給 tmp.log賦予的文件權限是 rwxrw-rw-,用數字表示是766。
我們還可以遞歸賦予權限,也就是加上 -R 參數給指定目錄下的所有文件或目錄賦予指定權限。
示例2:給 tmp 目錄下所有文件和目錄賦予 776 的權限
這里我們通過useradd【用戶名】命令創建用戶,然后通過passwd【用戶名】輸入密碼,這兩個命令后面會將。我們通過這兩個命令創建 vae 用戶
然后我們將tmp.log的所有者更改為 vae 用戶:chown vae tmp.log
其中umask 執行顯示結果是 0022,第一個0表示特殊權限,后面我們會單獨進行講解有哪幾種特殊權限。022表示權限的掩碼值,我們用7 7 7 減去 0 2 2得到755(是每一位相減),表示的就是下面通過加上-S輸出的rwxr-xr-x,這個值用數字表示就是755.
這個意思說明創建一個文件的默認權限所有者為rwx,所屬組為rx,其他人為rx。也就是說創建一個新文件默認權限為 rwxr-xr-x,我們創建一個文件來驗證一下:
我們發現使用touch命令創建了一個文件a.txt,然后發現權限并不是rwxr-xr-x,而是rw-r--r--。對比發現少了三個x,也就是少了可執行權限。這是為什么呢?
這是因為在Linux系統中,所有新創建的文件都是沒有可執行權限的。這是出于Linux系統的一種自我保護,因為類似的病毒木馬程序都是具有可執行權限的。所以在Linux系統中,新創建的文件是沒有可執行權限的。
那么我們如何設置默認權限呢?比如我們想將新創建的文件權限設置為rwxr-xr--,也就是754。我們用777減去754得到023。也就是通過執行 umask 023 來完成默認權限設置。
