rhel7文件权限管理

231312

本节所讲内容：

      文件基本权限

      文件高级权限

      实战-创建一个让root都无法删除的黑客文件

查看文件权限
[iyunv@localhost ~]#touch liulang
[iyunv@localhost ~]# llliulang
-rw-r--r-- 1 root root0 Nov 30 20:35 liulang

文件基本权限
-  　　rwx　　　　r-x　　　   　r-x　　　  　user1　 user1　　FILENAME
类型  拥有者的权限　所属组的权限　其他人的权限　拥有者　　属组　　　对象

对于文件：r读　　w写　　x执行
对于目录：r读（看到目录里面有什么）       cat   more  less   ls
　　　　　w建文件、删除、移动                  touch   mkdir   rm   mv  cp
　　　　　x进入                                        cd

修改权限的相关命令：
chmod      
作用：修改文件权限
u-w               user                      拥有者
g+x               group                   组
o=r                other                    其他人
a+x               all                        所有人

[iyunv@localhost ~]#touch  tuluo
[iyunv@localhost ~]# lltuluo
-rw-r--r-- 1 root root0 Nov 30 20:45 tuluo
[iyunv@localhost ~]#chmod u+x tuluo
[iyunv@localhost ~]# lltuluo
-rwxr--r-- 1 root root0 Nov 30 20:45 tuluo
[iyunv@localhost ~]#chmod g-r tuluo
[iyunv@localhost ~]# lltuluo
-rwx---r-- 1 root root0 Nov 30 20:45 tuluo
[iyunv@localhost ~]#chmod o=w tuluo
[iyunv@localhost ~]# lltuluo
-rwx----w- 1 root root0 Nov 30 20:45 tuluo
[iyunv@localhost ~]#chmod a+x tuluo
[iyunv@localhost ~]# lltuluo
-rwx--x-wx 1 root root0 Nov 30 20:45 tuluo

chmod g+/-/=  rwx   用法同上

修改目录的权限
[iyunv@localhost ~]#mkdir fengchen
[iyunv@localhost ~]# ll-d fengchen/
drwxr-xr-x 2 root root6 Nov 30 20:55 fengchen/
[iyunv@localhost ~]#chmod u-w fengchen/
[iyunv@localhost ~]# ll-d fengchen/
dr-xr-xr-x 2 root root6 Nov 30 20:55 fengchen/
[iyunv@localhost ~]#chmod g+w fengchen/
[iyunv@localhost ~]# ll-d fengchen/
dr-xrwxr-x 2 root root6 Nov 30 20:55 fengchen/

修改other权限：
chmod o+/-/=  r 、w 、 x  用法同上
chmod  o+/-/= rwx 用法同上
chmod a+/-/= rwx  用法同上
chmod  +/-/= rwx  用法同上  #不写a也可以

使用数字表示权限
-  　　rwx　　　　r-x　　　　    r-x　　　　user1　 user1　　FILENAME
类型  拥有者的权限　所属组的权限　其他人的权限　属主　　属组　

rwx
r--      -w-   --x
100     010     001                    二进制                   进制转换器
4            2            1                   十进制

rw-    的值是多少？                    4+2=6
r-x                                             4+1=5
rwxr-xr-x 的值是多少？rwx=4+2+1=7          r-x=4+1=5  r-x=4+1=5     rwxr-xr-x=755  

[iyunv@localhost ~]#touch  longyu
[iyunv@localhost ~]# lllongyu
-rw-r--r-- 1 root root0 Nov 30 21:00 longyu
[iyunv@localhost ~]#chmod 633 longyu
[iyunv@localhost ~]# lllongyu
-rw--wx-wx 1 root root0 Nov 30 21:00 longyu

chown
作用：修改文件拥有者和所属组
语法：chown USER:GROUP 对象

chown USER 对象

chown :GROUP 对象

-R 递归(目录下的所有内容全部更改，否则只修改目录)
[iyunv@localhost ~]#touch eshao
[iyunv@localhost ~]# lleshao
-rw-r--r-- 1 root root0 Nov 30 21:05 eshao
[iyunv@localhost ~]#useradd eshao
[iyunv@localhost ~]#chown eshao:bin eshao
[iyunv@localhost ~]# lleshao
-rw-r--r-- 1 eshao bin0 Nov 30 21:05 eshao
[iyunv@localhost ~]#chown daemon eshao
[iyunv@localhost ~]# lleshao
-rw-r--r-- 1 daemon bin0 Nov 30 21:05 eshao
[iyunv@localhost ~]#chown :nobody eshao
[iyunv@localhost ~]# lleshao
-rw-r--r-- 1 daemonnobody 0 Nov 30 21:05 eshao

-R递归
[iyunv@localhost ~]#chown -R :daemon alen/
[iyunv@localhost ~]# llalen/
total 0
-rw-r--r-- 1 rootdaemon 0 Nov 30 21:10 alen.txt
-rw-r--r-- 1 rootdaemon 0 Nov 30 21:10 eshao.txt

一个文件只有读的权限，拥有者是否可以写这个文件？   文件所有者一定可以写文件
[iyunv@localhost~]# useradd yunwu
[iyunv@localhost ~]#touch huiji
[iyunv@localhost ~]# cphuiji  /home/yunwu/
[iyunv@localhost ~]# su- yunwu
[yunwu@localhost ~]$vim huiji
结果：可以正常写入内容

设置文件默认权限的补码：
系统用户：#umask022
普通用户：#umask002

计算方法：
文件默认权限＝666-umask值  666-022=644
目录默认权限＝777-umask 值  777-022=755
#这是一个好的记忆方法，但不严谨。

umask掩码为033 . 666-033=633  结果为： 644
计算方法：
6  6 6            umask   0  3   3
110 110110                 000 011  011  |  取反
                             111 100  100   \/
110 110110   与  111100  100
    |        /
110 100 100
6   4   4

了解：
/etc/bashrc
if [ $UID -gt 199 ]&& [ "`id -gn`" = "`id -un`" ]; then  # id -gn显示组名，id -un 显示用户名
        umask 002   ＃普通用户
else
        umask 022   ＃系统用户
fi

特殊权限：
SUID               SGID                 Stickybit
s对应的数值为：u 4，g  2，o   1
SUID：
限定：只能设置在二进制可执行程序上面。对目录文本设置无效。
功能：程序运行时的权限从执行者变更成程序所有者。

[iyunv@localhost ~]# ll/usr/bin/passwd
-rwsr-xr-x. 1 root root27832 Jan 30  2014 /usr/bin/passwd
[jiangfeng@localhost~]$ less /etc/shadow
/etc/shadow: Permissiondenied

[iyunv@localhost ~]#chmod u+s /usr/bin/less
[iyunv@localhost ~]# ll /usr/bin/less
-rwsr-xr-x. 1 root root158240 Feb  4  2014 /usr/bin/less
验证：
[jiangfeng@localhost~]$ less /etc/shadow                  成功读取

注意：
[iyunv@localhost ~]#chmod u+s /usr/bin/less                            等同于
[iyunv@localhost ~]#chmod 4755 /usr/bin/less


SGID：
限定：既可以给二进制可执行程序设置，也可以给目录设置。
功能：在设置了SGID权限的目录下建立文件时，新创建的文件的所属组会继承上级目录的所属组

[iyunv@localhost ~]#chown :bin test/
[iyunv@localhost ~]# ll-d test/
drwxr--r-- 2 root bin 6Nov 30 21:55 test/
[iyunv@localhost ~]# cdtest/
[iyunv@localhost test]#touch a.txt
[iyunv@localhost test]#ll a.txt
-rw-r--r-- 1 root root0 Nov 30 21:56 a.txt

[iyunv@localhost ~]#chmod g+s test/
[iyunv@localhost ~]# ll-d test/
drwxr-Sr-- 2 root bin30 Nov 30 21:57 test/
验证：
[iyunv@localhost ~]# cdtest/
[iyunv@localhost test]# touchb.txt
[iyunv@localhost test]#ll b.txt
-rw-r--r-- 1 root bin 0Nov 30 21:57 b.txt

Stickybit
限定：只作用于目录
功能：目录下创建的文件只有root、文件创建者、目录所有者才能删除

[iyunv@localhost ~]# ll-d /tmp/
drwxrwxrwt. 14 rootroot 4096 Nov 30 21:59 /tmp/

[iyunv@localhost ~]#mkdir /share
[iyunv@localhost ~]#chmod 777 /share/
[iyunv@localhost ~]# ll-d /share/
drwxrwxrwx 2 root root6 Nov 30 22:00 /share/
[iyunv@localhost ~]#chmod o+t /share/
[iyunv@localhost ~]# ll-d /share/
drwxrwxrwt 2 root root6 Nov 30 22:00 /share/

[iyunv@localhost ~]# su- eshao
[eshao@localhost ~]$ cd/share/
[eshao@localhostshare]$ ls
jiangfeng.txt
[eshao@localhostshare]$ rm -rf jiangfeng.txt
rm: cannot remove‘jiangfeng.txt’: Operation not permitted
[eshao@localhostshare]$ echo  aaa > jiangfeng.txt

扩展ACL
[iyunv@localhost ~]#touch b.txt

查看
[iyunv@localhost ~]#getfacl  b.txt
# file: b.txt
# owner: root
# group: root
user::rw-
group::r--
other::r--

设置
[iyunv@localhost ~]#setfacl -m u:eshao:rwx b.txt
[iyunv@localhost ~]#getfacl  b.txt
# file: b.txt
# owner: root
# group: root
user::rw-
user:eshao:rwx
group::r--
mask::rwx
other::r--

对目录进行设置
[iyunv@localhost ~]#setfacl -R -m u:jiangfeng:rw- test
(-R一定要在-m前面，表示目录下所有文件）
[iyunv@localhost ~]#getfacl !$
getfacl test
# file: test
# owner: root
# group: bin
# flags: -s-
user::rwx
user:jiangfeng:rw-
group::r--
mask::rw-
other::r--

删除acl      

[iyunv@localhost ~]#setfacl -x u:eshao b.txt                        #删除单个用户的权限
[iyunv@xuegod163~]# setfacl -b b.txt                                  #删除所有acl权限

      实战-创建一个让root都无法删除的黑客文件

REHL6 Linux文件系统扩展属性：chattr  lsattr
+a  只能追加内容
+i  不能被修改

[iyunv@localhost ~]#touch xiaobai
[iyunv@localhost ~]#echo xiaobaihaoniubi  > xiaobai
[iyunv@localhost ~]# catxiaobai
xiaobaihaoniubi
[iyunv@localhost ~]#chattr +a xiaobai
[iyunv@localhost ~]#echo xiaobaizhendehaoniubi > xiaobai
-bash: xiaobai:Operation not permitted
[iyunv@localhost ~]#echo xiaobaizhendehaoniubi >> xiaobai
[iyunv@localhost ~]# catxiaobai
xiaobaihaoniubi
xiaobaizhendehaoniubi
[iyunv@localhost ~]# rm-rf xiaobai
rm: cannot remove‘xiaobai’: Operation not permitted

[iyunv@localhost ~]#chattr +i xiaobai
[iyunv@localhost ~]#echo xiaobaizhendehaoniubima? >> xiaobai
-bash: xiaobai:Permission denied
[iyunv@localhost ~]# rm-rf xiaobai
rm: cannot remove‘xiaobai’: Operation not permitted

[iyunv@localhost ~]#lsattr xiaobai
----ia----------xiaobai

[iyunv@localhost ~]#lsattr xiaobai
----ia----------xiaobai
[iyunv@localhost ~]#chattr -i xiaobai
[iyunv@localhost ~]#chattr -a xiaobai
[iyunv@localhost ~]#lsattr xiaobai
----------------xiaobai