《Linux就該這么學(xué)》課件-第5章-用戶身份與文件權(quán)限

課程概述用戶身份與能力UserIdentityAndCapabilities01文件權(quán)限與歸屬DocumentAuthorityAndOwnership02文件的特殊權(quán)限SpecialPermissionsForFiles03文件的隱藏屬性HiddenPropertiesOfFiles04文件訪問控制列表FileAccessControlList05su命令與sudo服務(wù)SuCommandAndSudoService061前言0301Linux是一個(gè)多用戶、多任務(wù)的操作系統(tǒng)，具有很好的穩(wěn)定性與安全性，在幕后保障Linux系統(tǒng)的安全則是一系列復(fù)雜的配置工作。02文件的所有者、所屬組以及其他人可對文件進(jìn)行的讀（r）、寫（w）、執(zhí)行（x）等操作，如何在Linux系統(tǒng)中添加、刪除、修改用戶賬戶信息。03使用SUID、SGID與SBIT特殊權(quán)限更加靈活地設(shè)置系統(tǒng)權(quán)限，來彌補(bǔ)對文件設(shè)置一般操作權(quán)限時(shí)所帶來的不足。04隱藏權(quán)限能夠給系統(tǒng)增加一層隱形的防護(hù)層，讓黑客最多只能查看關(guān)鍵日志信息，而不能篡改或刪除。05文件訪問控制列表（AccessControlList，ACL）可以進(jìn)一步讓單一用戶、用戶組對單一文件或目錄進(jìn)行特殊的權(quán)限設(shè)置，讓文件具有能滿足工作需求的最小權(quán)限。06如何使用su命令與sudo服務(wù)讓普通用戶具備管理員的權(quán)限，這不僅能夠滿足日常的工作需求，還可以確保系統(tǒng)的安全性。2用戶身份與能力UserIdentityAndCapabilitiesPARTONE3用戶身份與能力0501在Linux的學(xué)習(xí)過程中如果使用普通用戶身份進(jìn)行操作，則在配置服務(wù)之后出現(xiàn)錯(cuò)誤時(shí)很難判斷是系統(tǒng)自身的問題還是因?yàn)闄?quán)限不足而導(dǎo)致的；這無疑會(huì)給大家的學(xué)習(xí)過程徒增坎坷。02更何況我們的實(shí)驗(yàn)環(huán)境是使用VMware虛擬機(jī)軟件搭建的，可以將安裝好的系統(tǒng)設(shè)置為一次快照，這樣即便系統(tǒng)徹底崩潰了，也可以在5秒的時(shí)間內(nèi)快速還原出一臺全新的系統(tǒng)，而不用擔(dān)心數(shù)據(jù)丟失。03很多圖書或培訓(xùn)機(jī)構(gòu)的老師會(huì)講到，Linux系統(tǒng)中的管理員就是root。這其實(shí)是錯(cuò)誤的，Linux系統(tǒng)的管理員之所以是root，并不是因?yàn)樗拿纸衦oot，而是因?yàn)樵撚脩舻纳矸萏柎a即UID（UserIDentification）的數(shù)值為0。04在Linux系統(tǒng)中，UID就像我們的身份證號碼一樣具有唯一性，因此可通過用戶的UID值來判斷用戶身份。4用戶身份06系統(tǒng)用戶UID為1～999Linux系統(tǒng)為了避免因某個(gè)服務(wù)程序出現(xiàn)漏洞而被黑客提權(quán)至整臺服務(wù)器，默認(rèn)服務(wù)程序會(huì)由獨(dú)立的系統(tǒng)用戶負(fù)責(zé)運(yùn)行，進(jìn)而有效控制被破壞范圍。管理員UID為0系統(tǒng)的管理員用戶。12普通用戶UID從1000開始是由管理員創(chuàng)建的用于日常工作的用戶。3需要注意的是，UID是不能沖突的，而且管理員創(chuàng)建的普通用戶的UID默認(rèn)是從1000開始的（即使前面有閑置的號碼）。5用戶組07為了方便管理屬于同一組的用戶，Linux系統(tǒng)中還引入了用戶組的概念。通過使用用戶組號碼（GID，GroupIDentification），可以把多個(gè)用戶加入到同一個(gè)組中，從而方便為組中的用戶統(tǒng)一規(guī)劃權(quán)限或指定任務(wù)。用戶組基本用戶組在Linux系統(tǒng)中創(chuàng)建每個(gè)用戶時(shí)，將自動(dòng)創(chuàng)建一個(gè)與其同名的基本用戶組，而且這個(gè)基本用戶組只有該用戶一個(gè)人。如果該用戶以后被歸納到其他用戶組，則這個(gè)其他用戶組稱之為擴(kuò)展用戶組。一個(gè)用戶只有一個(gè)基本用戶組，但是可以有多個(gè)擴(kuò)展用戶組，從而滿足日常的工作需要。注：基本用戶組就像是原生家庭，是在創(chuàng)建賬號（出生）時(shí)就自動(dòng)生成的；而擴(kuò)展用戶組則像工作單位，為了完成工作，需要加入到各個(gè)不同的群體中，這是需要手動(dòng)添加的。6用戶能力08usermod命令usermod命令用于修改用戶的屬性，英文全稱為“usermodify”，語法格式為“usermod[參數(shù)]用戶名”。id命令id命令用于顯示用戶的詳細(xì)信息，語法格式為“id用戶名”。123456useradd命令useradd命令用于創(chuàng)建新的用戶賬戶，語法格式為“useradd[參數(shù)]用戶名”。groupadd命令groupadd命令用于創(chuàng)建新的用戶組，語法格式為“groupadd[參數(shù)]群組名”。passwd命令passwd命令用于修改用戶的密碼、過期時(shí)間等信息，英文全稱為“password”，語法格式為“passwd[參數(shù)]用戶名”。userdel命令userdel命令用于刪除已有的用戶賬戶，英文全稱為“userdelete”，語法格式為“userdel[參數(shù)]用戶名”。7useradd命令中的參數(shù)以及作用09參數(shù)作用-d指定用戶的家目錄（默認(rèn)為/home/username）-e賬戶的到期時(shí)間，格式為YYYY-MM-DD.-u指定該用戶的默認(rèn)UID-g指定一個(gè)初始的用戶基本組（必須已存在）-G指定一個(gè)或多個(gè)擴(kuò)展用戶組-N不創(chuàng)建與用戶同名的基本用戶組-s指定該用戶的默認(rèn)Shell解釋器8usermod命令中的參數(shù)以及作用10參數(shù)作用-c填寫用戶賬戶的備注信息-d–m參數(shù)-m與參數(shù)-d連用，可重新指定用戶的家目錄并自動(dòng)把舊的數(shù)據(jù)轉(zhuǎn)移過去-e賬戶的到期時(shí)間，格式為YYYY-MM-DD-g變更所屬用戶組-G變更擴(kuò)展用戶組-L鎖定用戶禁止其登錄系統(tǒng)-U解鎖用戶，允許其登錄系統(tǒng)-s變更默認(rèn)終端-u修改用戶的UID9passwd命令中的參數(shù)以及作用11參數(shù)作用-l鎖定用戶，禁止其登錄-u解除鎖定，允許用戶登錄--stdin通過標(biāo)準(zhǔn)輸入修改用戶密碼，如echo"NewPassWord"|passwd--stdinUsername-d使該用戶可用空密碼登錄系統(tǒng)-e強(qiáng)制用戶在下次登錄時(shí)修改密碼-S顯示用戶的密碼是否被鎖定，以及密碼所采用的加密算法名稱10userdel命令中的參數(shù)以及作用12參數(shù)作用-f強(qiáng)制刪除用戶-r同時(shí)刪除用戶及用戶家目錄11文件權(quán)限與歸屬PARTTWODocumentAuthorityAndOwnership12文件權(quán)限14可寫（w）“可寫”表示能夠在目錄內(nèi)新增、刪除、重命名文件；可讀（r）“可讀”表示能夠讀取目錄內(nèi)的文件列表；12文件權(quán)限可執(zhí)行（x）“可執(zhí)行”則表示能夠進(jìn)入該目錄。313可讀、可寫、可執(zhí)行權(quán)限對應(yīng)的命令在文件和目錄上的區(qū)別15

文件目錄可讀（r）catls可寫（w）vimtouch可執(zhí)行（x）./scriptcd14文件權(quán)限的字符與數(shù)字表示16權(quán)限項(xiàng)可讀可寫可執(zhí)行可讀可寫可執(zhí)行可讀可寫可執(zhí)行字符表示rwxrwxrwx數(shù)字表示421421421權(quán)限分配文件所有者文件所屬組其他用戶15轉(zhuǎn)換示意圖17字符表示權(quán)限與數(shù)字表示權(quán)限的轉(zhuǎn)換示意圖rw-420r-x401-w-020數(shù)字與字符權(quán)限轉(zhuǎn)換示意圖420rw-401r-x020-w-16常見的文件類型18123564普通文件的范圍特別廣泛，比如純文本信息、服務(wù)配置信息、日志信息以及Shell腳本等，都屬于普通文件。幾乎在每個(gè)目錄下都能看到普通文件（-）和目錄文件（d）的身影。塊設(shè)備文件（b）和字符設(shè)備文件（c）一般是指硬件設(shè)備，比如鼠標(biāo)、鍵盤、光驅(qū)、硬盤等，在/dev/目錄中最為常見。應(yīng)該很少有人會(huì)對鼠標(biāo)、鍵盤進(jìn)行硬件級別的管理吧。普通文件（-）鏈接文件（l）塊設(shè)備文件（b）字符設(shè)備文件（c）。管道文件（p）目錄文件（d）17文件的特殊權(quán)限SpecialPermissionsForFilesPARTTHREE18文件的特殊權(quán)限20SUID是一種對二進(jìn)制程序進(jìn)行設(shè)置的特殊權(quán)限，能夠讓二進(jìn)制程序的執(zhí)行者臨時(shí)擁有所有者的權(quán)限（僅對擁有執(zhí)行權(quán)限的二進(jìn)制程序有效）。SUIDSGID特殊權(quán)限有兩種應(yīng)用場景：當(dāng)對二進(jìn)制程序進(jìn)行設(shè)置時(shí)，能夠讓執(zhí)行者臨時(shí)獲取文件所屬組的權(quán)限；當(dāng)對目錄進(jìn)行設(shè)置時(shí)，則是讓目錄內(nèi)新創(chuàng)建的文件自動(dòng)繼承該目錄原有用戶組的名稱。SGIDSBIT特殊權(quán)限位可確保用戶只能刪除自己的文件，而不能刪除其他用戶的文件。換句話說，當(dāng)對某個(gè)目錄設(shè)置了SBIT粘滯位權(quán)限后，那么該目錄中的文件就只能被其所有者執(zhí)行刪除操作了。SBIT19SUID、SGID、SBIT特殊權(quán)限的設(shè)置參數(shù)21參數(shù)作用u+s設(shè)置SUID權(quán)限u-s取消SUID權(quán)限g+s設(shè)置SGID權(quán)限g-s取消SGID權(quán)限o+t設(shè)置SBIT權(quán)限o-t取消SBIT權(quán)限20文件的特殊權(quán)限22將權(quán)限的字符表示法轉(zhuǎn)換為數(shù)字表示法rwsrwSr--SUID+SGIDSUID+SGID+4+2421420400+=6764將權(quán)限的數(shù)字表示法轉(zhuǎn)換為字符標(biāo)識法55375537+4+1401021421+=r-s-wxrwtSUID+SBITr-x-wxrwx+21文件的隱藏屬性HiddenPropertiesOfFilesPARTFOUR22文件的隱藏屬性2401chattr命令chattr命令用于設(shè)置文件的隱藏權(quán)限，英文全稱為changeattributes，語法格式為“chattr[參數(shù)]文件名稱”。02lsattr命令lsattr命令用于查看文件的隱藏權(quán)限，英文全稱為“l(fā)istattributes”，語法格式為“l(fā)sattr[參數(shù)]文件名稱”。23chattr命令中的參數(shù)及其作用25參數(shù)作用i無法對文件進(jìn)行修改；若對目錄設(shè)置了該參數(shù)，則僅能修改其中的子文件內(nèi)容而不能新建或刪除文件a僅允許補(bǔ)充（追加）內(nèi)容，無法覆蓋/刪除內(nèi)容（AppendOnly）S文件內(nèi)容在變更后立即同步到硬盤（sync）s徹底從硬盤中刪除，不可恢復(fù)（用零塊填充原文件所在的硬盤區(qū)域）A不再修改這個(gè)文件或目錄的最后訪問時(shí)間（Atime）b不再修改文件或目錄的存取時(shí)間D檢查壓縮文件中的錯(cuò)誤d使用dump命令備份時(shí)忽略本文件/目錄c默認(rèn)將文件或目錄進(jìn)行壓縮u當(dāng)刪除該文件后依然保留其在硬盤中的數(shù)據(jù)，方便日后恢復(fù)t讓文件系統(tǒng)支持尾部合并（tail-merging）x可以直接訪問壓縮文件中的內(nèi)容24文件訪問控制列表FileAccessControlListPARTFIVE25文件訪問控制列表27setfacl命令用于管理文件的ACL權(quán)限規(guī)則，英文全稱為“setfilesACL”，語法格式為“setfacl[參數(shù)]文件名稱”。setfacl命令參數(shù)作用-m修改權(quán)限-M從文件中讀取權(quán)限-x刪除某個(gè)權(quán)限-b刪除全部權(quán)限-R遞歸子目錄setfacl命令中的參數(shù)以及作用getfacl命令用于查看文件的ACL權(quán)限規(guī)則，英文全稱為“getfilesACL”，語法格式為“getfacl[參數(shù)]文件名稱”。getfacl命令26su命令與sudo服務(wù)PARTSIXSuCommandAndSudoService27su命令與sudo服務(wù)2901授權(quán)原則：在保證普通用戶完成相應(yīng)工作的前提下，盡可能少地賦予額外的權(quán)限。02sudo命令用于給普通用戶提供額外的權(quán)限，語法格式為“sudo[參數(shù)]用戶名”。03使用sudo命令可以給普通用戶提供額外的權(quán)限來完成原本只有root管理員才能完成的任務(wù)，可以限制用戶執(zhí)行指定的命令，記錄用戶執(zhí)行過的每一條命令，集中管理用戶與權(quán)限（/etc/sudoers），以及可以在驗(yàn)證密碼后的一段時(shí)間無須讓用戶再次驗(yàn)證密碼。參數(shù)作用-h列出幫助信息-l列出當(dāng)前用戶可執(zhí)行的命令-u用戶名或UID值以指定的用戶身份執(zhí)行命令-k清空密碼的有效時(shí)間，下次執(zhí)行sudo時(shí)需要再次進(jìn)行密碼驗(yàn)證-b在后臺執(zhí)行指定的命令-p更改詢問密碼的提示語setfacl命令中的參數(shù)以及作用28su命令與sudo服務(wù)30稍后要為哪位用戶進(jìn)行命令授權(quán)。誰可以使用可以填寫ALL表示不限制來源的主機(jī)，亦可填寫如192.168.10.0/24這樣的網(wǎng)段限制來源地址，使得只有從允許網(wǎng)段登錄時(shí)才能使用sudo命令。允許使用的主機(jī)可以填寫ALL表示系統(tǒng)最高權(quán)限，也可以是另外一位用戶的名字。以誰的身份可以填寫ALL表示不限制命令，亦可填寫如/usr/bin/cat這樣的文件名稱來限制命令列表，多個(gè)命令文件之間用逗號（,）間隔?？蓤?zhí)行命令的列表誰可以使用允許使用的主機(jī)=（以誰的身份）可執(zhí)行命令的列表29復(fù)習(xí)題311．在RHEL8系統(tǒng)中，root管理員是誰？答：是UID為0的用戶，是權(quán)限最大、限制最小的管理員。2．如何使用Linux系統(tǒng)的命令行來添加和刪除