Linux運維---檔案許可權
檔案許可權的存在是系統最底層安全的設定方法之一,同時可以保證檔案被可用使用者做相應的操作。
1、檔案許可權檢視
ls -l file
ls -ld dir
2、檔案許可權讀取
d rwxrwxr-x 2 kiosk kiosk 6 Jan 3 03:58 /home/kiosk/wang
1 2 3 4 5 6 7 8
(1) 檔案的型別
- 空檔案或者文字
d 目錄
l 軟連結
s socket 套接字
b block 塊裝置
c 字元裝置
(2) 檔案的許可權
rwx rwx r-x
1 2 3
[1] 表示檔案所有者(u)能對檔案做什麼操作
[2] 表示檔案所有組(g)能對檔案做什麼操作
[3]表示其他人(o)能對檔案做什麼操作
(3) 對於檔案,表示檔案硬連結個數(檔案內容被記錄的次數);
對於目錄,表示目錄中子目錄的數量
(4) 檔案的所有人(u)
(5) 檔案的所有人(g)
(6) 對於檔案,表示檔案的大小;
對於目錄,表示目錄中子檔案元資料的大小
(7)檔案內容被修改的時間
(8) 檔名稱
3、改變檔案的所有人所有組
chown
chown username file|dir
chown user:group file|dir
chown -R user:group dir
chgrp
chgrp group file|dir
chgrp -R group dir
4、改變檔案的許可權
(1) 對於許可權的理解
r 對檔案:表示是否可以檢視檔案中的內容 ----cat file
對目錄:表示是否可以檢視目錄中有什麼子檔案或子目錄 —ls dir
w 對檔案:表示是否可以改變檔案裡面記錄的字元
對目錄:表示是否可以對目錄中子目錄或者子檔案的元資料進行更改
x 對檔案:表示是否可以通過檔名稱呼叫檔案內記錄的程式
對目錄:表示是否可以進入目錄
(2) 許可權的更改方式
chmod<u|g|o><+|-|=><r|w|x> file|dir 實操如下截圖:
修改許可權時另一種表述方式------數字 r w x 2 1 0 (二進位制) r=4; w=2; x=1 則: rwx = 7 rw- = 6 r-x = 5 r-- = 4 -wx = 3 -w- = 2 --x = 1 --- = 0 例如:r-xr----x ,數字表述就可表示為541。
5、umask
umask ---- 系統建立檔案時預設保留的權利,想提升系統安全,改大。
umask 077 **臨時設定系統預留許可權為077
永久更改umask
vim /etc/profile ##系統的配置檔案
vim /etc/bashrc ##shell的配置檔案
source /etc/bashrc
sourcd /etc/profile ##呼叫讓修改立即生效
實操如下:
6、特殊許可權
(1) sticky ##貼上位
作用: 只針對目錄生效,當一個目錄上有sticky許可權時,在這個目錄中的檔案只能被檔案的所有者刪除。
設定方式: chmod o+t dir
chmod 1xxx dir
(2) sgin ##強制位
作用: 對檔案,只針對於二進位制可執行檔案,當檔案上有sgin時,任何人執行此檔案所產生的程序都屬於檔案的組 對目錄,當目錄上有sgin時,任何人在此目錄中建立的檔案都屬於目錄的所有組。
設定方式:chmod g+s file|dir
chmod 2xxx file|dir
(3)suid ##冒險位
作用:只針對於二進位制可執行檔案,當檔案上有suid時,任何人執行這個檔案中所記載的程式,所產生的程序都屬於檔案的所有人。
設定方式chmod u+s file
chmod 4xxx file
7、acl許可權列表
(1) 作用:讓特定的使用者對特定檔案擁有特定權利
(2) acl列表檢視
-rw-rwxr–+ 1 root root 0 Jan 3 08:06 qwe1
^
有+號,表示acl開啟
getfacl qwe1 ##檢視acl開啟的檔案的許可權
# file: qwe1 ##檔名稱
#ower: root ##檔案擁有人
#group: root ##檔案所有組
user::rw- ##檔案擁有人的許可權
user:wangqi:rwx ##指定使用者的許可權
group::r-- ##指定使用者的權利
mask::rwx ##能賦予使用者最大權利的伐值
other::r-- ##其他人的許可權
(3)acl列表的管理
setfacl -m u:wangqi:rwx qwe1 ##設定wangqi使用者對qwe1擁有rwx許可權
setfacl -m g:wangqifan:rwx qwe1 ##設定wangqifan組成員對qwe1擁有rwx許可權
setfacl -x u:wangqi qwe1 ##從acl列表刪除wangqi
setfacl -x g:wangqifan qwe1 ##從acl列表刪除wangqifan
setfacl -b qwe1 ##管斌file上的acl列表
(4) mask值
在許可權列表中mask值標示能生效的權利值,當用chmod減小開啟acl的檔案許可權時,mask值會發生變化。
chomd g-r qwe1
如果要恢復mask值:
setfacl -m m:rwx qwe1
(5) acl 的預設許可權設定
acl預設只針對目錄設定,且只針對完成之後新建的檔案或目錄生效,已經存在的檔案不會繼承預設許可權。
setfacl -m d:u:wangqi:rwx qwe1