個(gè)人主頁(yè):哈維數(shù)據(jù)
QQ:1876815991
郵箱:cnharvey@foxmail.com
一渺绒、文件權(quán)限
1.文件權(quán)限位置信息
第一位不是權(quán)限位携丁,是文件類型標(biāo)識(shí)位。
rwx分別代表了讀鹏控、寫(xiě)短绸、執(zhí)行。
三個(gè)rwx分別代表了育苟,用戶较鼓,用戶組,其他人违柏。
而最后一位的.表示這個(gè)文件是受SElinux保護(hù)的(小細(xì)節(jié))
| 1 | 2 | 3 | 4 |
|---|---|---|---|
| d | rwx | rwx | rwx |
| 標(biāo)識(shí)區(qū) | user權(quán)限 | group權(quán)限 | other權(quán)限 |
2.標(biāo)識(shí)位
-|普通文件
d|目錄文件
l|軟鏈接文件
s|套接字文件 一種特殊設(shè)備文件笨腥,支持socket訪問(wèn)的服務(wù)會(huì)出現(xiàn)
c|字符設(shè)備文件,一般來(lái)講勇垛,鼠標(biāo)鍵盤(pán)這種輸入設(shè)備都是字符設(shè)備文件
b|塊設(shè)備文件,存儲(chǔ)設(shè)備一般都是塊設(shè)備文件
p|管道符文件士鸥,一般很少見(jiàn)
二闲孤、修改權(quán)限命令
1.修改權(quán)限 chmod
root@localhost ~]# chmod [選項(xiàng)] [權(quán)限模式] [文件名]
命令名稱:chmod
英文原意:change file mode bits
所在路徑:/bin/chmod
執(zhí)行權(quán)限:所有用戶
功能描述:修改文件的權(quán)限模式
| 選項(xiàng) | 作用 |
|---|---|
| -R | 遞歸設(shè)置權(quán)限,也就是子目錄的所有文件設(shè)定權(quán)限 |
修改權(quán)限的具體案例:
【單獨(dú)使用】
chmod u+x abc //給abc的user添加執(zhí)行權(quán)限
chmod g+r abc //給abc的group添加讀權(quán)限
chmod o+w abc //給abc的other添加寫(xiě)權(quán)限
【組合使用】
chmod o+w,u+x abc //給abc的other添加寫(xiě)權(quán)限和執(zhí)行權(quán)限
這樣操作的壞處是需要知道原本的權(quán)限是什么烤礁,所以可以使用=來(lái)進(jìn)行設(shè)置權(quán)限讼积,不過(guò)這些方式都比較復(fù)雜。所以我們會(huì)使用數(shù)字賦權(quán)法脚仔。
2.數(shù)字權(quán)限
| 權(quán)限 | 數(shù)字對(duì)應(yīng) |
|---|---|
| 讀 | 4 |
| 寫(xiě) | 2 |
| 執(zhí)行 | 1 |
數(shù)字權(quán)限的具體案例
chmod 775 abc//user為rwx勤众,group為rwx,其他人為rw-
3.常用的數(shù)字權(quán)限
644:文件基本權(quán)限
755:文件的執(zhí)行權(quán)限和目錄的基本權(quán)限
777:最大權(quán)限鲤脏,實(shí)際生產(chǎn)服務(wù)器中盡量避免(尤其是網(wǎng)站们颜,除了系統(tǒng)自帶的777,實(shí)際的服務(wù)器不要賦予777權(quán)限)猎醇,此類現(xiàn)象容易出現(xiàn)安全隱患窥突,極大可能出現(xiàn)在網(wǎng)站上。
在正常情況下硫嘶,所有者>所屬組>其他人阻问。
4.chown修改文件所有者
root@localhost ~]# chown [選項(xiàng)] 所有者:所屬組 [文件名]
命令名稱:chown
英文原意:change file owner and group
所在路徑:/bin/chown
執(zhí)行權(quán)限:所有用戶
功能描述:修改文件和目錄的所有者和所屬組
| 選項(xiàng) | 作用 |
|---|---|
| -R | 遞歸設(shè)置權(quán)限,也就是子目錄的所有文件設(shè)定權(quán)限 |
注:
普通用戶不能修改文件所有者沦疾,哪怕自己是這個(gè)文件所有者也不行称近。
普通用戶可以修改所有者是自己的文件的權(quán)限
5.chgrp修改文件所屬組
root@localhost ~]# chgrp [選項(xiàng)] 所屬組 [文件名]
命令名稱:chgrp
英文原意:change group ownership
所在路徑:/bin/chgrp
執(zhí)行權(quán)限:所有用戶
功能描述:修改文件和目錄的所屬組
| 選項(xiàng) | 作用 |
|---|---|
| -R | 遞歸設(shè)置權(quán)限,也就是子目錄的所有文件設(shè)定權(quán)限 |
一般來(lái)講哮塞,為了方便我們操作刨秆,我們都會(huì)選擇使用chown對(duì)用戶和用戶組進(jìn)行更改
三、添加用戶和用戶組
1.添加用戶
root@localhost ~]# useradd [用戶名] //添加新用戶忆畅,添加用戶就會(huì)生成同名的出生組坛善,隨著用戶添加自動(dòng)生成。
root@localhost ~]# passwd [用戶名] //給用戶改登陸密碼
2.新建用戶組
root@localhost ~]# groupadd [用戶名] //新建用戶組
| 用戶類型 | UID范圍 |
|---|---|
| 普通用戶 | UID > 500 |
| root | UID=0 |
| 系統(tǒng)用戶 | UID< 200 |
注意事項(xiàng):
- 在不設(shè)置密碼的時(shí)候新創(chuàng)建的用戶一般是不能正常使用的。
- 普通用戶在設(shè)置自己的密碼的時(shí)候眠屎,必須復(fù)合復(fù)雜性要求剔交,而root則不用,但是不代表可以修改的較為簡(jiǎn)單改衩。
- 一般來(lái)講岖常,生產(chǎn)環(huán)境中的root用戶都是掌握在高級(jí)的工程師手中,多數(shù)的普通工程師可以操作的都是普通用戶葫督,這樣做其實(shí)從根本上提高了安全性竭鞍,是一個(gè)較好的安全模式。權(quán)限是Linux中最重要的一部分橄镜,同樣也是生產(chǎn)環(huán)境中最需要注意的一部分偎快,權(quán)限與生產(chǎn)安全密不可分。
3.權(quán)限對(duì)文件的作用
雖然Linux中只有讀寫(xiě)執(zhí)行三個(gè)權(quán)限洽胶,但是對(duì)目錄和文件是不同的晒夹。
| 權(quán)限 | 作用 |
|---|---|
| 讀 | 可以讀取文件的數(shù)據(jù),可以對(duì)文件執(zhí)行cat姊氓,more丐怯,less等文件查看命令 |
| 寫(xiě) | 可以修改文件中的數(shù)據(jù),比如vi翔横,echo重定向等读跷。但是:對(duì)文件有寫(xiě)權(quán)限,并不代表可以刪除文件本身的禾唁,只能修改文件中的數(shù)據(jù)效览。如果想要?jiǎng)h除文件,則需要對(duì)文件的上級(jí)目錄有寫(xiě)權(quán)限荡短,原因是因?yàn)镮節(jié)點(diǎn)的存放的文件名信息在上級(jí)目錄中钦铺,權(quán)限控制的是block,我們對(duì)文件有權(quán)限代表我們只能修改這個(gè)文件的block內(nèi)容肢预,而文件名確在上級(jí)目錄的block中矛洞。所以我們只有對(duì)上級(jí)目錄有寫(xiě)的權(quán)限,才能刪除文件烫映。 |
| 執(zhí)行 | 對(duì)文件有執(zhí)行權(quán)限沼本,只代表有執(zhí)行權(quán)限,到底能不能正確執(zhí)行锭沟,不僅僅是需要執(zhí)行權(quán)限同樣還要看文件中的代碼是不是正確的語(yǔ)言代碼抽兆。對(duì)文件來(lái)講,執(zhí)行權(quán)限是最高權(quán)限族淮。所以給文件要小心給執(zhí)行權(quán)限辫红。 |
4.權(quán)限對(duì)目錄的作用
| 權(quán)限 | 作用 |
|---|---|
| 讀 | 可以查看目錄下的內(nèi)容凭涂,如果對(duì)目錄有讀,就可以執(zhí)行l(wèi)s等命令 |
| 寫(xiě) | 可以修改目錄下的數(shù)據(jù)贴妻,能對(duì)目錄新建切油、刪除、復(fù)制名惩、剪切文件或者子目錄澎胡。比如可以執(zhí)行touch、rm娩鹉、cp攻谁、mv等命令,對(duì)目錄來(lái)說(shuō)弯予,寫(xiě)是最高權(quán)限戚宦,所以一定要小心給寫(xiě)權(quán)限 |
| 執(zhí)行 | 目錄是不能執(zhí)行的,所以給目錄執(zhí)行權(quán)限锈嫩,代表可以進(jìn)入目錄受楼,也就是可以執(zhí)行cd命令,進(jìn)入目錄祠挫,對(duì)目錄來(lái)講,執(zhí)行權(quán)限的危險(xiǎn)遠(yuǎn)遠(yuǎn)不如寫(xiě)權(quán)限的危險(xiǎn)悼沿。 |
在我們實(shí)際操作中真的需要目錄的可用權(quán)限其實(shí)只有以下幾個(gè)
0:任何權(quán)限都沒(méi)有
5:基本的目錄瀏覽和進(jìn)入權(quán)限(常用)
7:完全權(quán)限
這些所有權(quán)限對(duì)root是沒(méi)有任何限制的等舔,root是凌駕于權(quán)限之上的賬戶存在,這也側(cè)面又一次強(qiáng)調(diào)了root用戶的風(fēng)險(xiǎn)度糟趾,也側(cè)面解釋了為什么root用戶都被嚴(yán)格管控慌植。
四、UMSK權(quán)限
1.umask默認(rèn)權(quán)限(做了解即可)
所有文件都需要有默認(rèn)權(quán)限义郑,我們需要了解為什么新建文件都有權(quán)限蝶柿。這個(gè)東西不需要我們更改,但是我們需要知道原理
root@localhost ~]# umask //查詢當(dāng)前系統(tǒng)的umask權(quán)限
2.1umask權(quán)限的計(jì)算方法
我們需要先了解一下新建文件和目錄默認(rèn)的最大權(quán)限
對(duì)文件來(lái)講非驮,新建文件的默認(rèn)最大權(quán)限是666交汤,沒(méi)有執(zhí)行權(quán)限,以為執(zhí)行權(quán)限對(duì)文件來(lái)講劫笙,過(guò)于危險(xiǎn)芙扎,不能再新建文件的收默認(rèn)賦予,而是必須通過(guò)用戶手工賦予填大。
而對(duì)目錄來(lái)講戒洼,新建目錄的默認(rèn)權(quán)限最大是777。對(duì)目錄而言執(zhí)行權(quán)x僅僅代表可以進(jìn)入到這個(gè)目錄中去允华,所以即使新建目錄的時(shí)候默認(rèn)給予執(zhí)行權(quán)限圈浇,也不會(huì)有什么風(fēng)險(xiǎn)寥掐。
umask的默認(rèn)值,并不是反向進(jìn)行運(yùn)算就的出來(lái)的磷蜀。是采用二進(jìn)制進(jìn)行邏輯與運(yùn)算和邏輯非的聯(lián)合運(yùn)算才可以的到正確的新建文件和目錄的默認(rèn)權(quán)限召耘,這種方式對(duì)計(jì)算機(jī)特別友好,不需要多少運(yùn)算資源蠕搜。對(duì)人來(lái)講這種方式就不好理解了怎茫。
如果我們真的需要進(jìn)行修改,那么我們可以使用字母減的方式來(lái)進(jìn)行運(yùn)算妓灌。
| rw-rw-rw- | 減去 | -----w--w | 等于 | rw-r--r-- |
|---|
計(jì)算過(guò)程:
- 文件的最大權(quán)限是666
- 666-022等于的結(jié)果為644
- 目錄的最大權(quán)限是777
- 777-022等于的結(jié)果為755
這樣只是方便我們理解轨蛤。
注意:umask的默認(rèn)權(quán)限的計(jì)算絕不是數(shù)字直接相減!3婀 O樯健!
如果需要修改umask
可以再/etc/profile(環(huán)境變量文件)進(jìn)行修改掉伏。但是我們?cè)谑褂玫臅r(shí)候沒(méi)有必要對(duì)umask值進(jìn)行更改缝呕。
