您好,欢迎访问三七文档
5-1目标学习了本单元后,你应该能够:•解释Linux的安全模型•解释用户帐号和组群帐号的目的•理解并设置文件权限•理解文件的特殊权限和隐藏属性5-2用户(账号)•每个用户都被分配了一个唯一的用户ID号(UID)•用户名和UID被保存在/etc/passwd这个文件中•当用户登录成功时,他就登录到了他的主目录下面,和一个运行的程序(通常是shell)/etc/passwd和/etc/passwd文件的介绍•上面有七个字段,每个字段的含义•用户名:密码:uid:gid:用户描述:主目录:登陆shell•账号名称:对应uid.例如root就是系统默认系统管理员账号。•密码:早期unix的密码都放在该文件中,由于安全原因,现在将其存于了/etc/shadow中了。现在这个字段是x,表示密码已经移到了shadow中加密了:如果这个字段为空,表示空密码可登陆,如果是!或者*表示此用户不可登陆。•Uid:这就是用户的识别码,通常uid有如下限制:0系统管理员。不建议有多个系统管理员1-499保留个系统使用的id。通常1-99保留给系统本身使用,100-499保留给用户建立系统服务账号时使用,useradd-r用户名500以后的就是给一般用户了•GID:与/etc/group有关,这个系统里的组信息(解读些文件结构)•用户信息说明栏:这个字段用来对账户进行简单说明,如作用等•家目录:用户的家目录,就是用户登陆后默认进入到的目录。例如root登陆后就是/root目录•Shell:用于让你执行命令,如果该字段是/sbin/nologin表示这个账户是无法登录的介绍/etc/shadow•系统中有shadow和shadow-两个文件,其他用户都不可查看各字段的含义•/etc/shadow•账号名称•密码,如果是!或者*表示此用户不可登陆•最近更改密码的日期•密码不可更改的天数•密码必须重新更改的天数•密码更改期限前的警告•密码过期的账号的宽限时间•账号失效的日期•保留5-9组•每个用户都被分配给一个组•每个组群都被分配了一个独特的组群ID号码(gid)group•GID等组信息被保存在/etc/group这个文件中•每个用户都有他们自己的私有组群,但是同时可以被添加到其它组群中来获得额外的存取权限(复习useradd-g-G的用法)•组群中的所有用户都可以共享属于该组群的文件,但是要看同组人有什么权限了•公共组机制:就是所有人都属于同一个组在系统中同样存在/etc/group和/etc/group-•文件的内容/etc/group各字段的含义•用户组名称•用户组密码•gid就是用户组id•支持的账号名称系统中出现的/etc/passwd-/etc/shadow-/etc/group-/etc/gshadow-文件,如果添加新用户新账户和组等都不会被更新5-13Linux文件安全性•每个文件都属于一个UID和一个GID•每个进程都使用一个UID和一个或多个GID运行•三种存取权限类型:–进程使用和文件相同的UID的权限来运行(用户,user)–进程使用和文件相同的GID的权限来运行(组群,group)–所有其它进程(其它,other)5-14权限的优先顺序•如果UID匹配,就应用用户(user)权限•否则,如果GID匹配,就应用组群(group)权限•如果都不匹配,就应用其它(other)权限/etc/gshadow和/etc/gshadow-•查看文件和内容/etc/gshadow各字段的含义•用户组名称•密码,同样以!开头表示不可登陆•用户组管理员账号•该用户组的所属账号与/etc/group内容相同5-17权限类型•在显示权限时,使用了四种符号:–r:读取文件或者列举目录内容的权限–w:写入文件或者在目录中创建、删除文件的权限–x:执行程序或者可cd(切换)目录中–-:无权限(在r、w、或x的位置上)–---完全没有权限executable5-18查看权限•文件的权限可以使用ls–l命令来查看$ls-l/bin/login-rwsr-sr-t1rootroot19080Apr118:26/bin/login•文件类型和权限被一个10个字符长的字符串代表5-19权限的意义-rwxr-x---1andersentrusted2948Oct1114:07myscript•所属用户andersen具备读取、写入、和执行权限•组群trusted中的成员具备读取和执行权限•其它用户没有任何权限5-20改变文件所有者•只有根用户才能改变文件的所有者•只有根用户才能改变文件的组群•chown命令被用来改变所属用户:–chown[-R]用户名文件|目录–chown用户名:组名文件或者目录•chgrp被用来改变所属组群:–chgrp[-R]组群名文件|目录5-21改变权限–符号式方法•要改变存取权限模式:–chmod[-R]模式文件•这里的模式是:–u、g、或o,分别代表用户、组群和其它用户–=、+或–代表授予或拒绝–r、w、或x,分别代表读取、写入、或执行•例如:chmodu=rwx,g=rwx,o=rwxfile/dirctory:–chmodugo+rfile/dirctory:授予所有用户以读取权限–chmodo-wxfile/directory:拒绝其它用户的写入和执行权限–如果使用a+或者a-权限,如:chmoda+wfile表示所有的ugo都同时添加w权限5-22改变权限–数字式方法•通过把以下数值相加起来,来计算权限:r代表读取4w代表写入2x代表执行1-没有任何权限0•使用三个数字模式–第一个数字代表所属用户的权限–第二个数字代表组群权限–第三个数字代表其它用户的权限•例如:–chmod640myfile5-23改变权限-Nautilus•Nautilus程序也可以被用来设置文件和目录的权限和组群–在Nautilus的窗口中,右击某个文件–从菜单中选择[属性]–选择[权限]标签页目录和文件的默认权限隐藏权限•文件的默认权限与umask有密切关系•umaks就是制定“当前用户在建立文件或者目录时的默认的属性值”依据值•一种就是以-S参数,就会以符号的形式显示出来•umask有自四组数据,第一组为特殊权限•在默认权限的属性上,目录和文件不一样•所以用户建立文件默认没有可执行权限,即只有rw权限,这就是最大666,默认属性-rw-rw-rw-•若用户建立目录,则由于x是否可以进入此目录有关,默认所有权限均开放,即为777,默认属性为drwxrwxrwx•umask指定的是该默认值需要屏蔽的权限,因为r,w,x分别是4,2,1,当要去掉写权限时,就输入2,要去掉读权限时,就要输入4,那么要去掉读写权限时,就要输入6。而要去掉执行和写权限时,就要输入3,如上面例子来说明的话,umask为022,所以user并没有被去掉属性,不过group和others的属性去掉了2,也就是w这个属性,那么当用户•建立目录时:drwxr-xr-x.2rootroot4096Oct318:41test:•即(drwxrwxrwx)–(d----w--w-)或者(0022)-rw-r-xr-x•建立文件时:-rw-r--r--.1rootroot0Oct318:42test.txt:默认文件时没有执行权限的•即(-rw-rw-rw-)–(----w--w-)或者(0022)drwxr-xr-x•这里遮罩不能用减法来设定,用符号。默认的0022就行了我们把umask修改为000来查看默认文件和目录的权限•我们看见系统默认的就是上面提到的•文件-rw-rw-rw即0666•目录-drwxrwxrwx即0777•如果为033的话减法就出问题了,所以不能用033。•减法的话0666-033=0633是错误的,而是0644•遮罩时不能用减法来计算的大家要记住验证•建立文件•建立目录•默认情况下root的umask会去掉比较多的属性,root的umask默认为022,这是基于安全考虑,一般用户的umask为002,同时保留用户组的写如权限。•使用umask可以对权限进行全局控制文件隐藏属性•文件隐藏属性,隐藏属性对系统有很大的帮组,尤其是系统的安全性方面很重要•1、chattr设置文件的隐藏属性•+增加某个特隐藏属性,其他原本的参数不动•-删除某个特殊隐藏属性,其他原本的参数不动•=权限就是后面就是这个参数•A:当设置了A属性时,这个文件或者目录的访问时间atime,将不可能修改S:(大写的)这个参数类似于sync,就是将数据同步到磁盘中,避免数据丢失•a参数,文件只追加数据,而不能删除数据,只有root才能设置这个属性。•c这个属性设置后会自动压缩,在读取的时候会自动解压缩•d当执行dump程序的时候,设置d属性将使该文件或者目录不具有转存功能•i:i的作用很大,就是让一个文件不能动,什么都不能做•j当文件系统是ext3以上时格式时,就是支持了日志功能,设置j属性将会使该文件在写入时记录在journal中,但是当系统的文件系统已经支持了jonrnal功能时,由于设置重复设置了日志,所以该参数无效(data=jounal)•s参数,当文件设置了s参数时,如里这个文件被删除,将不可恢复•u参数与s相反,当设置了u参数时,数据其实还保存在磁盘中,可以用来还原删除下面介绍常用的a和i参数•首先介绍-i参数•查看一下写入是有有权限•介绍a参数•删除a参数后就可以删除文件了lsattr显示特殊权限的属性•lsattr[-aR]•-a将隐藏文件的属性也列出来•-R连同子目录的属性一同列出来•-d列出目录的隐藏属性•如果想看到更为详细的信息而不是看到字母的表示的话通过lsattr–lfilename来查看5-39结束单元5•答疑•总结–所有文件都属于一个用户和一个组群–文件的模式由三类权限构成:用户权限、组群权限、以及其它用户权限–三种权限可以被授予或拒绝:读取、写入、执行–隐藏文件属性的设置与查看
本文标题:2用户组权限
链接地址:https://www.777doc.com/doc-3218387 .html