Linux系統(tǒng)管理與服務(wù)器配置-基于CentOS 7(第2版) 課件 第4章權(quán)限管理_第1頁
Linux系統(tǒng)管理與服務(wù)器配置-基于CentOS 7(第2版) 課件 第4章權(quán)限管理_第2頁
Linux系統(tǒng)管理與服務(wù)器配置-基于CentOS 7(第2版) 課件 第4章權(quán)限管理_第3頁
Linux系統(tǒng)管理與服務(wù)器配置-基于CentOS 7(第2版) 課件 第4章權(quán)限管理_第4頁
Linux系統(tǒng)管理與服務(wù)器配置-基于CentOS 7(第2版) 課件 第4章權(quán)限管理_第5頁
已閱讀5頁,還剩51頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

第4章權(quán)限管理Linux系統(tǒng)管理與服務(wù)器配置——基于CentOS7目錄4.1項目一:對用戶訪問文件權(quán)限的基本設(shè)置4.1.1文件屬性 4.1.2修改文件訪問權(quán)限的chmod命令 4.1.3設(shè)置文件默認權(quán)限掩碼的umask命令 4.1.4修改文件所有者的chown命令 4.1.5提升用戶權(quán)限的su、sudo命令 4.2項目二:ACL權(quán)限設(shè)置 4.2.1查看和開啟系統(tǒng)對ACL權(quán)限的支持 4.2.2ACL權(quán)限管理 4.2.3最大有效權(quán)限 4.2.4遞歸ACL權(quán)限和默認ACL權(quán)限 4.3項目三:文件特殊權(quán)限設(shè)置 4.3.1SUID權(quán)限 4.3.2SGID權(quán)限 4.3.3SBIT權(quán)限 4.4知識擴展 4.4.1設(shè)置文件系統(tǒng)屬性的chattr命令 4.4.2查看文件系統(tǒng)屬性的lsattr命令 本章小結(jié)4.1項目一:對用戶訪問文件權(quán)限的基本設(shè)置研發(fā)部近期招聘了兩名在校大學(xué)生到項目組實習(xí),并為他們做了關(guān)于Linux基礎(chǔ)應(yīng)用方面的培訓(xùn)。兩人為了盡快熟悉Linux系統(tǒng),共享學(xué)習(xí)成果,計劃在系統(tǒng)的/tmp目錄下創(chuàng)建一個名為ourfile的文件,用于分享學(xué)習(xí)收獲。因此,兩人需要可以隨時讀取和修改ourfile文件的內(nèi)容。序號知識點詳見章節(jié)1對文件訪問權(quán)限的理解4.1.1節(jié)2文件訪問權(quán)限的修改命令4.1.2節(jié)4.1.1文件屬性每一行代表對應(yīng)文件或目錄的詳細信息。從左到右各個字段具體的含義是:文件屬性、文件數(shù)、擁有者、所屬的組、文件大小、建立月份、建立日期、建立年份或時間、以及文件名。其中“建立年份或時間”字段,如果文件是今年建立的,則顯示具體時間;如果是往年建立的,則顯示年份。4.1.1文件屬性文件屬性由10個字母組成,其中第一個字母表示文件類型,后九個字母分為三組,表示文件的訪問權(quán)限。文件屬性的第一個字母是類型標(biāo)識,用來說明文件的類型。在Linux操作系統(tǒng)中,共有七種文件類型,分別是:d

(directory)

目錄文件。l

(link)

符號鏈接。s

(socket)

套接字文件。b

(block)塊設(shè)備文件,為二進制文件。c

(character)字符設(shè)備文件。p

(pipe)

命名管道文件。-

普通文件,或者更準(zhǔn)確地說,不屬于以上幾種類型的文件。4.1.1文件屬性用戶對文件的操作權(quán)限分為讀、寫和執(zhí)行三種,分別用r、w、x表示。若用戶沒有某個權(quán)限,則在相應(yīng)權(quán)限位用“-”占位,代表無此權(quán)限。若文件具有x屬性,是可執(zhí)行的文件。具有x屬性的文件一般是二進制文件或可執(zhí)行的腳本文件。若目錄具有x屬性,則表示允許打開該目錄中的文件,并且可用cd命令進入該目錄。4.1.2修改文件訪問權(quán)限的chmod命令(1)絕對權(quán)限方法文件的九位權(quán)限除了可用r、w、x來表示外,還可用一個3位的十進制數(shù)字來表示。比如644,其百位上的數(shù)字代表文件擁有者的權(quán)限,十位上的數(shù)字代表所屬用戶組的權(quán)限,個位上的數(shù)字代表其他用戶對該文件的權(quán)限。這種采用數(shù)字來表示權(quán)限的方法,稱為絕對權(quán)限方法也稱為數(shù)字權(quán)限方法法。由于用戶的權(quán)限是用rwx來表示的,沒有的權(quán)限對應(yīng)位置上用“-”表示,有權(quán)限的位置可用1表示,沒有權(quán)限的位置用0來表示,這樣就會形成一個3位的二進制編碼,然后將該二進制數(shù)轉(zhuǎn)換成對應(yīng)的十進制數(shù),這樣就得到一個0~7的數(shù),從而就可以實現(xiàn)十進制數(shù)來表示用戶對文件的權(quán)限。4.1.2修改文件訪問權(quán)限的chmod命令(1)絕對權(quán)限方法命令格式:chmod[選項]絕對權(quán)限值

要修改的文件或目錄名稱chmod命令常用的選項是-R,其功能是可以遞歸設(shè)置指定目錄下的全部文件(包括子目錄和子目錄中的文件)的權(quán)限?!祭?.1〗修改當(dāng)前目錄下test文件的訪問權(quán)限使所有用戶對該文件均有讀寫權(quán)限。#chmod666test4.1.2修改文件訪問權(quán)限的chmod命令(2)相對權(quán)限方法使用相對權(quán)限方法修改文件權(quán)限,命令格式:chmod修改對象運算符用戶權(quán)限

要修改的文件或目錄名稱其中修改對象可以是u(文件擁有者)、g(同組用戶)、o(其他用戶)、a(全體用戶)的任意組合。運算符可以是+(添加)、-(刪除)、=(只賦值)中的任意一個。用戶權(quán)限上寫的是r、w、x的任意組合?!祭?.2〗對文件test的組用戶添加寫權(quán)限chmodg+wtest。4.1.2修改文件訪問權(quán)限的chmod命令(2)相對權(quán)限方法〖例4.3〗修改當(dāng)前目錄下test文件的訪問權(quán)限使所有用戶對該文件均有讀寫權(quán)限。#chmoda+rwtest或者#chmodugo+rwtest〖例4.4〗增加組用戶對當(dāng)前目錄下file文件的寫權(quán)限,取消其他用戶對file文件的讀權(quán)限。#chmodg+w,o-rfile如果修改前file文件的權(quán)限是644,那么修改后file文件的權(quán)限是660。4.1.3設(shè)置文件默認權(quán)限掩碼的umask命令一般用戶的默認umask值為002,系統(tǒng)用戶的默認umask值為022。用戶可以自主修改umask值,并在改動后立刻生效。對于文件,其可擁有的最大默認權(quán)限是666,即rw-rw-rw-。也就是說,使用文件的任何用戶都沒有執(zhí)行(x)權(quán)限。因為執(zhí)行權(quán)限是文件的最高權(quán)限,出于安全考慮,系統(tǒng)不允許為新創(chuàng)建的文件默認賦予執(zhí)行權(quán)限,必須在創(chuàng)建新文件后用chmod命令增加可執(zhí)行權(quán)限。對于目錄,其可擁有的最大默認權(quán)限是777,即rwxrwxrwx。4.1.3設(shè)置文件默認權(quán)限掩碼的umask命令命令格式:umask[-S][權(quán)限掩碼]umask命令可以指定創(chuàng)建文件或者目錄時預(yù)設(shè)的權(quán)限掩碼。選項-S表示使用符號法表示權(quán)限掩碼,不使用-S則表示使用數(shù)字法表示權(quán)限掩碼?!祭?.5〗查看系統(tǒng)默認權(quán)限掩碼。4.1.3設(shè)置文件默認權(quán)限掩碼的umask命令〖例4.5〗修改系統(tǒng)默認權(quán)限掩碼。4.1.4修改文件所有者的chown命令文件或目錄的創(chuàng)建者,一般是該文件或目錄的擁有者,對文件具有最高的使用權(quán)。root用戶可以將一個文件或目錄的擁有權(quán)轉(zhuǎn)讓給其他用戶,使其他用戶成為該文件或目錄的擁有者。通過chown命令還可以修改文件所屬的組。命令格式:chown[選項]新所有者.新用戶組

要修改的文件或目錄名稱chown命令常用的選項是-R,其功能是可以遞歸設(shè)置指定目錄下的全部文件(包括子目錄和子目錄中的文件)的所屬關(guān)系。4.1.4修改文件所有者的chown命令〖例4.7〗將當(dāng)前目錄下的file文件的擁有者修改為tom,所屬組改為tom組。#chowntom.tomfile

或者#chowntom:tomfile〖例4.8〗將當(dāng)前目錄下的file文件的所屬組改為tom組。#chown.tomfile

或者#chown:tomfile注意“.”或“:”的作用。4.1.5提升用戶權(quán)限使用su命令切換用戶在su命令后加用戶名,可以切換系統(tǒng)當(dāng)前用戶。在用戶切換的時候,從root用戶向普通用戶可以直接進行切換,反之則需要root賬號密碼。這是因為root用戶是系統(tǒng)中權(quán)限最高的用戶,可以切換到任意身份而不需要密碼。普通用戶之間切換需要密碼驗證。在切換用戶時,通常需要增加“-”選項,例如#su-tom命令表示切換到tom用戶?!?”選項表示:切換用戶時,使環(huán)境變量(home,Shell,user,logname,path等)和欲切換的用戶相同,不使用該選項,則取得的只是用戶的臨時權(quán)限。4.1.5提升用戶權(quán)限使用sudo命令提升權(quán)限r(nóng)oot用戶將普通用戶的名字、可以執(zhí)行的特定命令、按照哪種用戶或用戶組的身份執(zhí)行等信息,登記在/etc/sudoers文件中,即完成對該用戶的授權(quán)(此時該用戶稱為“sudoer”)。sudoer用戶需要取得特殊權(quán)限時,可在命令前加上“sudo”,此時sudo將會詢問該用戶自己的密碼(以確認終端前的是不是用戶本人),回答后系統(tǒng)即會將該命令的進程以超級用戶的權(quán)限運行,對于普通用戶來講不需要知道root用戶的密碼,這樣可以提高系統(tǒng)的安全性。4.1.5提升用戶權(quán)限使用sudo命令提升權(quán)限〖例4.9〗root用戶需要創(chuàng)建一個普通用戶teacherli具有管理員權(quán)限,并執(zhí)行系統(tǒng)的日常維護工作。則可以把teacherli用戶設(shè)為sudoer。第1步:查看是否已經(jīng)安裝了sudo#rpm–qa|grepsudosudo-1.8.6p7-16.el7.x86_64如果沒有安裝sudo,可以在系統(tǒng)光盤中找到sudo的rpm包進行安裝:#rpm–ivh/media/Packages/sudo-1.8.6p7-16.el7.x86_64第2步:編輯/etc/sudoers文件在文件的最后插入:teacherliALL=(ALL)ALL保存退出。此后,以teacherli登錄系統(tǒng),就可以以sudo命令的方式進行系統(tǒng)的管理了。4.1.5提升用戶權(quán)限使用sudo命令提升權(quán)限例:teacherli向系統(tǒng)添加用戶lihua4.1.5提升用戶權(quán)限使用sudo命令提升權(quán)限用戶teacherli做為一個普通用戶賬號,是沒有權(quán)限執(zhí)行useradd命令向系統(tǒng)添加用戶的,但是做為一個sudoer則可以通過使用$sudouseraddlihua然后在系統(tǒng)提示“[sudo]passwordforteacherli:”時輸入teacherli的密碼,確認后即可。如果需要指定某個用戶只能執(zhí)行指定的命令,則可以在/etc/sudoers文件中按照如下格式插入一行:用戶賬戶名

可執(zhí)行的命令列表例如,讓john用戶只具有執(zhí)行添加用戶組的命令權(quán)限。johnlocalhost=/usr/sbin/goupadd4.1項目一:對用戶訪問文件權(quán)限的基本設(shè)置操作過程:為方便實習(xí)生的操作,root管理員創(chuàng)建實習(xí)生專用賬號wrestest01和wrestest02賬戶:#useraddwrestest01//創(chuàng)建用戶wrestest001#useraddwrestest02//創(chuàng)建用戶wrestest002其中一名實習(xí)生以wrestest01賬號登錄系統(tǒng):$touch/tmp/ourfile//在/tmp目錄下創(chuàng)建ourfile文件此時若其他用戶修改文件ourfile,則系統(tǒng)會提示“文件只讀”,而不能完成修改功能。因此需要設(shè)置用戶對文件的訪問權(quán)限。$chmod666/tmp/ourfile//修改ourfile文件的訪問權(quán)限,使其他用戶可以修改ourfile文件4.2項目二:文件特殊權(quán)限設(shè)置研發(fā)部近期成立一個項目組,由一名組長、兩名組員和一名實習(xí)生構(gòu)成。項目組所使用到的文件放在服務(wù)器的project目錄中,項目組所有成員都可以訪問該目錄,但是身份不同,權(quán)限不同。(1)作為項目組長對project目錄擁有rwx權(quán)限,同時可以管理其他組員的權(quán)限。(2)兩名組員對project目錄擁有rwx權(quán)限。(3)實習(xí)生對project目錄擁有r-x權(quán)限。(4)其他人對project目錄沒有任何權(quán)限。序號知識點詳見章節(jié)1用戶管理命令3.1.3節(jié)2用戶組管理命令3.2.3節(jié)3ACL權(quán)限概念4.2.1節(jié)4ACL權(quán)限管理與應(yīng)用4.2.2節(jié)~4.2.4節(jié)4.2.1查看和開啟系統(tǒng)對ACL權(quán)限的支持查看系統(tǒng)支持ACL權(quán)限

CentOS7系統(tǒng)中,默認支持ACL權(quán)限并處于開啟狀態(tài),也可以通過如下方式查看Linux內(nèi)核是否支持ACL.如圖4.6,“CONFIG_XFS_POSIX_ACL=y”表示支持ACL。開啟分區(qū)的ACL權(quán)限如果需要手動開啟分區(qū)的ACL權(quán)限,則需要修改/etc/fstab文件,修改方法如下:[root@localhost~]#vim/etc/fstab/dev/mapper/cl-root/xfsdefaults,acl00//在default后面增加ACL權(quán)限4.2.2ACL權(quán)限管理用getfacl命令查看ACL權(quán)限的設(shè)置情況任何用戶都可以使用getfacl

命令查看自己所擁有文件的ACL權(quán)限。命令格式:getfacl文件名〖例4.10〗wres03用戶查看project目錄的ACL權(quán)限。4.2.2ACL權(quán)限管理用setfacl命令設(shè)置ACL權(quán)限任何用戶都可以使用setfacl命令,用來為其他用戶或用戶組設(shè)定對自己所擁有文件的訪問權(quán)限。命令格式:setfacl[選項][u:用戶名|g:用戶組名][:權(quán)限]文件名〖例4.11〗wres03用戶為wrestest03用戶設(shè)置對/tmp/project目錄的rx權(quán)限。4.2.2ACL權(quán)限管理用setfacl命令設(shè)置ACL權(quán)限〖例4.12〗刪除wrestest03用戶對/tmp/project目錄的rx權(quán)限。$setfacl-xu:wrestest03/tmp/project〖例4.13〗刪除/tmp/project目錄的所有ACL權(quán)限。$setfacl-b/tmp/project〖例4.14〗創(chuàng)建dgroup用戶組,并設(shè)置其對/tmp/project目錄的rwx權(quán)限。4.2.3最大有效權(quán)限設(shè)置最大有效權(quán)限的命令格式setfacl-mm:---目錄或文件名參數(shù)“m:--”表示為mask賦予的相應(yīng)權(quán)限。〖例4.15〗為/tmp/project目錄的mask賦予rx權(quán)限。4.2.3最大有效權(quán)限設(shè)置最大有效權(quán)限的命令格式〖例4.16〗驗證除了所有者和other用戶不受mask權(quán)限限制外,其他用戶的權(quán)限都受mask權(quán)限限制。4.2.4遞歸ACL權(quán)限和默認ACL權(quán)限遞歸ACL權(quán)限所謂遞歸ACL權(quán)限,就是在設(shè)定用戶或用戶組對某目錄的ACL權(quán)限時,同時使該用戶或用戶組對該目錄的所有子目錄和文件也都具有相同的ACL權(quán)限。命令格式:setfacl-m[u:用戶名|g:用戶組名]:權(quán)限-R目錄名-R:設(shè)置遞歸ACL權(quán)限,該參數(shù)的位置不能改變?!祭?.17〗為用戶組dgroup設(shè)置對目錄/tmp/project及其子錄和文件的讀與執(zhí)行的ACL權(quán)限。$setfacl-mg:dgroup:rx-R/tmp/project注意:遞歸ACL權(quán)限設(shè)置只對目錄中已有的子目錄和文件生效,對ACL權(quán)限設(shè)置后建立的子目錄和文件是無效的,這時需要用到默認ACL權(quán)限。4.2.4遞歸ACL權(quán)限和默認ACL權(quán)限默認ACL權(quán)限如果給某目錄設(shè)置了默認ACL權(quán)限,則在該目錄下所有新建的子目錄和文件都會繼承相應(yīng)的默認ACL權(quán)限。命令格式:setfacl-md:[u:用戶名g:用戶組名]:權(quán)限目錄名d:設(shè)置默認(default)ACL權(quán)限?!祭?.18〗為用戶wrestest03同時設(shè)置對目錄/tmp/project的遞歸ACL權(quán)限和默認ACL權(quán)限。$setfacl-md:u:wrestest03:rx-R/tmp/project注意:不管是默認ACL權(quán)限,還是遞歸ACL權(quán)限,命令本身的作用對象是目錄。4.2項目二:文件特殊權(quán)限設(shè)置操作過程:為方便實習(xí)生的操作,root管理員創(chuàng)建wres03和wres04賬戶:#cd/tmp#mkdirproject//創(chuàng)建項目目錄project#ls-ldprojectdrwxr-xr-x.2rootroot62月2313:31project//project的默認訪問權(quán)限是755#useraddwres03//創(chuàng)建用戶wres03,wres04,wres05其中wres03作為組長賬號#useraddwres04#useraddwres054.2項目二:ACL權(quán)限設(shè)置操作過程:#useraddwrestest03//創(chuàng)建實習(xí)生賬號#groupaddgproject//創(chuàng)建用戶組#chownwres03:gprojectproject//將project目錄的所屬用戶改為wres03,所屬用戶組改為gproject#ls-ldprojectdrwxr-xr-x.2wres03gproject62月2313:31project//所屬用戶和組修改成功#gpasswd-awres03gproject//將wres03添加到gproject組#gpasswd-Awres03gproject//設(shè)置wres03作為gproject組的組長4.2項目二:ACL權(quán)限設(shè)置操作過程:以wres03用戶登錄,完成以下操作(繼續(xù)使用root用戶操作也可以):$gpasswd-awres04gproject//將wres04,wres05添加到gproject組$gpasswd-awres05gproject$chmod770project//設(shè)置project的所屬用戶和組具有rwx權(quán)限,其他用戶無權(quán)限$ls-ldprojectdrwxrwx---.2wres03gproject62月2313:31project//設(shè)置770權(quán)限成功$setfacl-mu:wrestest03:rx/tmp/project//為用戶wrestest03設(shè)置對目錄/tmp/project的ACL權(quán)限r(nóng)x$setfacl-md:u:wrestest03:rx/tmp/project//為用戶wrestest03設(shè)置對目錄/tmp/project的默認ACL權(quán)限r(nóng)x4.2項目二:ACL權(quán)限設(shè)置操作過程:$ls-ldprojectdrwxrwx---+2wres03gproject62月2313:31project//“+”表示已經(jīng)分配了ACL權(quán)限$getfacl--omit-headerproject//查看詳細的ACL信息user::rwxuser:wrestest03:r-x//wrestest03具有r-x權(quán)限group::rwxmask::rwxother::---default:user::rwxdefault:user:wrestest03:r-x//wrestest03具有默認ACL權(quán)限r(nóng)-xdefault:group::rwxdefault:mask::rwxdefault:other::---4.3項目三:文件特殊權(quán)限設(shè)置接4.2節(jié)項目,項目組成立后,又對文件訪問做了如下的規(guī)范:(1)項目組成員在project目錄下創(chuàng)建的文件的所屬組是gproject。(2)各用戶只能刪除自己創(chuàng)建的文件,不能刪除其他用戶創(chuàng)建的文。序號知識點詳見章節(jié)1SGID權(quán)限4.3.2節(jié)2SBIT權(quán)限4.3.3節(jié)4.3.1SUID權(quán)限SUID介紹觀察/usr/bin/passwd文件的權(quán)限:#ls-l/usr/bin/passwd-rwsr-xr-x.1rootroot278326月102014/usr/bin/passwd可以看出,文件/usr/bin/passwd的所有者root的權(quán)限是“rws”,這好像與前述章節(jié)介紹的用戶對文件的權(quán)限只有3種(讀、寫和執(zhí)行)的說法有些沖突,其實,這里的“s”權(quán)限就是SUID權(quán)限,它占據(jù)了原來“x”的位置。再觀察/etc/shadow文件的權(quán)限:#ls-l/etc/shadow----------.1rootroot15042月2313:33/etc/shadow4.3.1SUID權(quán)限SUID介紹文件/etc/shadow的所有者,root具有最高權(quán)限,即使不設(shè)置權(quán)限,它依然具有最高文件操作權(quán)限。除root用戶外的其他所有用戶的權(quán)限也是“---”,為什么都可以修改/etc/shadow文件呢?密碼是記錄在/etc/shadow文件中的,修改密碼的過程其實就是修改該文件的過程。該文件具有SUID權(quán)限,SUID權(quán)限的作用就是暫時為命令的執(zhí)行者賦予命令所有者(root)權(quán)限,授權(quán)其行使命令所有者的權(quán)限,直到命令執(zhí)行結(jié)束。也就是說,雖然普通用戶沒有修改/etc/shadow文件的權(quán)限,但是passwd命令具有SUID權(quán)限,所以普通用戶可以通過passwd命令獲得暫時的root權(quán)限,從而具備了修改/etc/shadow文件的權(quán)限。4.3.1SUID權(quán)限SUID介紹再來觀察/bin/cat文件的權(quán)限#ls-l/bin/cat-rwxr-xr-x.1rootroot5408011月62016/bin/cat由于cat命令不具有SUID權(quán)限,所以普通用戶在通過cat命令查看shadow文件內(nèi)容時就會報出“權(quán)限不夠”的錯誤。4.3.1SUID權(quán)限SUID介紹對SUID做幾點說明:(1)只有命令(可執(zhí)行二進制文件)才能被設(shè)定SUID權(quán)限(2)要為某命令文件設(shè)置特殊權(quán)限,命令執(zhí)行者必須對該命令擁有執(zhí)行(x)權(quán)限(3)命令執(zhí)行者在執(zhí)行該命令時獲得該程序文件的所有者身份(4)SUID權(quán)限只在該命令執(zhí)行過程中有效(5)要謹慎使用SUID權(quán)限,因為如果使用不當(dāng)可能會帶來災(zāi)難性后果。4.3.1SUID權(quán)限SUID介紹命令格式:chmodn755

文件名

或者chmodu+s

文件名其中,n可以是4、2、1、7中的任何一個數(shù)字,4代表SUID,2代表SGID,1代表SBIT,7代表SUID、SGID和SBIT。〖例4.19〗為cat命令設(shè)置SUID權(quán)限,使其他用戶可以使用cat命令查看/etc/shadow文件內(nèi)容(實踐結(jié)束后務(wù)必還原,否則會給系統(tǒng)帶來危險)。#chmod4755/bin/cat取消SUID權(quán)限的命令格式:chmod755文件名或者chmodu-s文件名4.3.2SGID權(quán)限SGID對文件的作用SGID作用于普通文件時,和SUID類似,在執(zhí)行該文件時,用戶將獲得該文件所屬組的權(quán)限。限就是SUID特殊權(quán)限,它占據(jù)了原來“x”的位置?!祭?.20〗舉例說明具有SGID權(quán)限的二進制文件的執(zhí)行過程。任何用戶都可以用文件查找命令locate通過對/var/lib/mlocate/mlocate.db文件的搜索來查找文件。觀察這兩個文件的權(quán)限:#ls-l/var/lib/mlocate/mlocate.d-rw-r-----.1rootslocate25903882月2710:11/var/lib/mlocate/mlocate.db#ls-l/usr/bin/locate-rwx--s--x.1rootslocate4051211月52016/usr/bin/locate普通用戶在執(zhí)行l(wèi)ocate命令時,其組身份被賦予了slocate身份,具有了slocate組對mlocate.db文件的讀權(quán)限,從而實現(xiàn)了對mlocate.db文件的查找功能。命令執(zhí)行結(jié)束后,用戶的組身份立即還原為原來的組身份。4.3.2SGID權(quán)限SGID對目錄的作用當(dāng)用戶對某一目錄有寫和執(zhí)行權(quán)限時,該用戶可以在該目錄下建立文件,如果該目錄用SGID修飾,則該用戶在這個目錄下建立的文件都屬于這個目錄所屬的組。注意:(1)普通用戶必須對目錄擁有“r”和“x”權(quán)限,即可以用ls命令,可以進入該目錄。(2)普通用戶在進入該目錄后會賦予該目錄的所屬組身份。(3)當(dāng)普通用戶對此目錄擁有“w”權(quán)限時,新建文件的所屬組就是這個目錄的所屬組。4.3.2SGID權(quán)限SGID對目錄的作用〖例4.21〗舉例說明SGID權(quán)限對目錄的作用。#mkdir/tmp/sgidtest//以root身份新建一個sgidtest目錄#chmod2777/tmp/sgidtest//為新目錄賦予讀、寫執(zhí)行和SGID權(quán)限#suwres04//切換用戶wres04$cd/tmp/sgidtest//進入新目錄,wres04被賦予所屬組root的身份$ls-ld/tmp/sgidtest//驗證確實具有讀、寫執(zhí)行和SGID權(quán)限drwxrwsrwx.2rootroot62月2814:55/tmp/sgidtest$touchsgidfile//wres04在/tmp/sgidtest/下新建一個文件$mkdirsgiddir//wres04在/tmp/sgidtest/下新建一個目錄$ls–l

drwxrwsr-x.2wres04root62月2814:57sgiddir//新建目錄的所屬組為root-rw-rw-r--.1wres04root02月2814:57sgidfile//新建文件的所屬組為root4.3.2SGID權(quán)限設(shè)置和取消SGID權(quán)限為目錄設(shè)置和取消SGID權(quán)限的命令語法類似SUID權(quán)限的設(shè)置和取消,也具有一定的危險性,使用時需要特別謹慎。設(shè)置SGID權(quán)限的命令格式:chmod2777目錄名

或者chmodg+s目錄名取消SGID權(quán)限的命令格式:chmod755目錄名

或者chmodg-s目錄名4.3.3SBIT權(quán)限SBIT的作用可稱為黏著位、黏滯位、防刪除位。SBIT權(quán)限僅對目錄有效,設(shè)定了SBIT權(quán)限,則用戶在此目錄下創(chuàng)建的文件或目錄,就只有自己和root用戶才有刪除的權(quán)限。例如:系統(tǒng)中的/tmp是一個臨時目錄,任何用戶都可以在其中創(chuàng)建、刪除、拷貝、粘貼文件或目錄,但是每個用戶只能刪除自己創(chuàng)建的目錄或文件,而不能刪除其他用戶創(chuàng)建的目錄或文件,就是因為目錄/tmp具有SBIT權(quán)限。查看目錄/tmp的權(quán)限:#ls-ld/tmpdrwxrwxrwt.20rootroot40962月2814:55/tmp 可知,目錄/tmp的所有者是root,所屬組是root組,其他人對該目錄擁有“rwt”權(quán)限,其中的“t”就是

SBIT權(quán)限。4.3.3SBIT權(quán)限設(shè)置和取消SBIT權(quán)限設(shè)置SBIT權(quán)限的命令格式:chmod1777目錄名或者chmodo+t目錄名取消SBIT權(quán)限的命令格式:chmod755目錄名或者chmodo-t目錄名4.3.3SBIT權(quán)限設(shè)置和取消SBIT權(quán)限〖例4.22〗創(chuàng)建一個新目錄/tmp/sbittest,為該目錄設(shè)置SBIT權(quán)限,驗證在該目錄下用戶wres04創(chuàng)建的文件不能被其他用戶(如wres05)刪除。#mkdir/tmp/sbittest#chmod1777/tmp/sbittest//為/tmp/sbittest目錄設(shè)置SBIT權(quán)限#ls-ld/tmp/sbittestdrwxrwxrwt.2rootroot62月2815:51/tmp/sbittest//驗證SBIT權(quán)限設(shè)置成功#suwres04 //切換用戶為wres04 $cd/tmp/sbittest$mkdirsbit04//以wres04身份創(chuàng)建一個目錄sbit04$suwres05//切換用戶為wres05$rm-rfsbittest//用戶wres05刪除目錄sbittestrm:無法刪除"sbittest":權(quán)限不夠//wres05不能刪除wres04創(chuàng)建的目錄sbittest。4.3項目三:文件特殊權(quán)限設(shè)置操作過程:以wres03賬號登錄系統(tǒng):$cd/tmp/project$chmodg+sproject//為project目錄設(shè)置SGID權(quán)限$chmodo+tproject//為project目錄設(shè)置SBIT權(quán)限4.4知識擴展——4.4.1設(shè)置文件系統(tǒng)屬性的chattr命令作為服務(wù)器系統(tǒng),Linux系統(tǒng)被不同的用戶使用,因此,這些用戶有機會訪問一組共同的文件。可能會發(fā)生如意外刪除或編輯重要文件等情況,作為管理員,可以使用chattr命令避免類似的情況發(fā)生。chattr(changefileattributes)命令用于改變文件系統(tǒng)屬性。該命令只能由root用戶使用并且chattr命令的設(shè)置對root用戶也生效。命令格式:chattr[+|-|=][選項]文件名或目錄名4.4知識擴展——4.4.1設(shè)置文件系統(tǒng)屬性的chattr命令〖例4.23〗在/tmp目錄下創(chuàng)建文件chattrfile,為其設(shè)置文件系統(tǒng)性,使任何用戶不能刪除、重命名該文件,也不能修改該文件內(nèi)容。#cd/tmp#touchchattrfile#echohellolinux>>chattrfile//設(shè)置i屬性前修改chattrfile文件中的內(nèi)容#catchattrfilehellolinux //修改成功#chattr+ichattrfile //設(shè)置i屬性

#lsattrchattrfile//查看chattrfile的文件系統(tǒng)屬性----i-----------chattrfile//文件具備了i屬性

#echotest>>chattrfile//修改文件內(nèi)容-bash:chattrfile:權(quán)限不夠//設(shè)置i屬性后不能再修改文件內(nèi)容#rm-rfchattrfile //刪除文件

rm:無法刪除"chattrfile":不允許的操作//設(shè)置i屬性后不能再刪除文件

4.4知識擴展——4.4.1設(shè)置文件系統(tǒng)屬性的chattr命令〖例4.24〗/tmp目錄下創(chuàng)建chattrdir目錄,設(shè)置其文件系統(tǒng)屬性,使任何用戶不得在該目錄下新建和刪除文件,而只能修改該目錄下的已有文件。#cd/tmp#mkdirchattrdir#cdchattrdir#touchchattrfile//設(shè)置i屬性前可可以在chattrdir目錄中新建文件#chattr+i/tmp/chattrdir//為目錄chattrdir設(shè)置i屬性#lsattr-d/tmp/chattrdir----i-----------/tmp/chattrdir //目錄具備了i屬性

#echolinux>>chattrfile//設(shè)置i屬性后仍然可以修改目錄chattrdir中的文件內(nèi)容#rm-rfchattrfile rm:無法刪除"chattrfile":權(quán)限不夠//

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論