权限管理与切换(二十一)

时间:2021-08-28 16:43:56

权限管理与切换:sudo,id,chmod,chown,chgrp,setfacl,getfacl,umask


21.1.su

功能:变更用户身份(super user)

切换用户时:

切换用户时:

(1) 不读取目标用户的配置文件(非登录式切换,半切换);

su  USERNAME

(2) 读取目标用户的配置文件(登录式切换,完全切换);

su  -l  USERNAME

su  -  USERNAME

注意:root切换至任何其它用户无须认证密码;普通用户切换至其它用户,都需要密码;


21.2.sudo

功能说明:用来以其他用户来执行命令

常用选项:

-b:在后台执行指令; 

-h:显示帮助; 

-H:将HOME环境变量设为新身份的HOME环境变量; 

-k:结束密码的有效期限,也就是下次再执行sudo时便需要输入密码;。 

-l:列出目前用户可执行与无法执行的指令; 

-p:改变询问密码的提示符号; 

-s:执行指定的shell; 

-u<用户>:以指定的用户作为新的身份。若不加上此参数,则预设以root作为新的身份; 

-v:延长密码有效期限5分钟;  因为sudo在第一次执行时或是在N分钟内没有执行(N预设为5)会询问密码。这个参数是重新做一次确认,如果超过N分钟,也会问密码。

-V :显示版本信息。


21.3.chmod

功能:改变文件权限

这一命令有符号模式和绝对模式


符号模式:

语法:chmod [who] operator [permission] filename


who的含义是:


u 文件属主权限。

g 属组用户权限。

o 其他用户权限。

a 所有用户(文件属主、属组用户及其他用户)。


operator的含义:


+ 增加权限。

- 取消权限。

= 设定权限。


permission的含义:


r 读权限。

w 写权限。

x 执行权限。

s 文件属主和组set-ID。

t 粘性位*。

l 给文件加锁,使其他用户无法访问。

u,g,o 针对文件属主、属组用户及其他用户的操作。


示例:

[root@localhost scripts]# chmod a+x test.txt   #添加所有的执行权限[root@localhost scripts]# ll test.txt
-rwxr-xr-x 1 root root 276 Jun 26 18:39 test.txt
[root@localhost scripts]# chmod a-x test.txt   #收回所有命令的执行权限
[root@localhost scripts]# ll test.txt
-rw-r--r-- 1 root root 276 Jun 26 18:39 test.txt
[root@localhost scripts]# chmod og-w test.txt  #收回属组用户和其他用户的写权限
[root@localhost scripts]# ll test.txt
-rw-r--r-- 1 root root 276 Jun 26 18:39 test.txt
[root@localhost scripts]# chmod g+w test.txt #赋予属组用户写权限
[root@localhost scripts]# chmod u+x test.txt  #赋予文件属主执行权限
[root@localhost scripts]# chmod go+x test.txt  #赋予属组用户和其他用户执行权限

21.4.chown

功能:变更文件或目录的拥有者或所属群组。

语法:chomd -R -h owner file

常用选项:

 -c或--changes           效果类似"-v"参数,但仅回报更改的部分。

 -f或--quite或--silent  不显示错误信息。

 -h或--no-dereference  之对符号连接的文件作修改,而不更动其他任何相关文件。

 -R或--recursive  递归处理,将指定目录下的所有文件及子目录一并处理。

 -v或--version  显示指令执行过程。

 --dereference  效果和"-h"参数相同。

 --help  在线帮助。

 --reference=<参考文件或目录>  把指定文件或目录的拥有者与所属群组全部设成和参考文件或目 录的拥有者与所属群组相同。

示例:

[root@localhost scripts]# ll test.txt-rwxrwxr-x 1 root root 276 Jun 26 18:39 test.txt[root@localhost scripts]# chown user001 test.txt[root@localhost scripts]# ll test.txt-rwxrwxr-x 1 user001 root 276 Jun 26 18:39 test.txt

21.5.chgrp

功能:变更文件或目录的所属群组

语法:chgrp [-cfhRv][--help][--version][所属群组][文件或目录...]

常用选项:

 -c或--changes  效果类似"-v"参数,但仅回报更改的部分。

 -f或--quiet或--silent  不显示错误信息。

 -h或--no-dereference  只对符号连接的文件作修改,而不更动其他任何相关文件。

 -R或--recursive  递归处理,将指定目录下的所有文件及子目录一并处理。

  --reference=<参考文件或目录>

示例:

[root@localhost scripts]# ll test.txt-rwxrwxr-x 1 user001 root 276 Jun 26 18:39 test.txt[root@localhost scripts]# chgrp group1 test.txt[root@localhost scripts]# ll test.txt-rwxrwxr-x 1 user001 group1 276 Jun 26 18:39 test.txt

21.6.umask

功能:遮罩权限


root用户:

默认创建目录的权限:755

默认创建文件的权限:644

普通用户:

默认创建目录的权限:775

默认创建文件的权限:664

 

umask 查看当前用户的默认权限

root:

umask

0022

普通用户:

uamsk

0002

 

目录的最大权限:777

文件的最大权限:666

root:

目录的默认权限=0777-umask=0777-0022=0755

文件的默认权限=0666-umask=0666-0022=0644

普通用户:

目录的默认权限=0777-umask=0777-0002=0775

文件的默认权限=0666-umask=0666-0002=0664

 

更改用户的默认权限:

临时更改:

umask 0002 只在当前终端生效

永久生效:

 

vim ~/.bashrc  当前用户家目录里的文件(局部变量)

..

umask 0002

 

# source ~/.bashrc  立刻马上读取文件内容(让其马上生效)

# . ~/.bashrc

  

vim /etc/bashrc 针对所有用户(全局)

...

umask 0066

 

. ~/.bashrc


说明:

当局部变量和全局变量冲突,以局部为准


练习:

1、创建一个文件test,要求它实现user001只读,user002,user003可读可写,user004,user005可读可执行

[root@localhost scripts]# usermod -g group1  user002 [root@localhost scripts]# usermod -g group1  user003[root@localhost scripts]# id user002uid=601(user002) gid=10015(group1) groups=10015(group1)[root@localhost scripts]# id user003uid=602(user003) gid=10015(group1) groups=10015(group1)[root@localhost scripts]# touch test[root@localhost scripts]# ll test-rw-r--r-- 1 root root 78184 Jun 27 14:06 test[root@localhost scripts]# chown user001:group1 test[root@localhost scripts]# ll test-rw-r--r-- 1 user001 group1 0 Jun 27 14:28 test[root@localhost scripts]# chmod u-w,g+w,o+x test[root@localhost scripts]# ll test-r--rw-r-x 1 user001 group1 0 Jun 27 14:28 test

2.什么情况下才能删除一个文件或目录?

答:跟这个文件或目录本身的权限无关,跟你对它们的上一级目录是否有写权限有关。你对一个目录有写权限,你就可以删除这个目录里任何文件

 

3.请问下面的情况,我一个普通用户能否删除/test/abc/这个子目录

# ll -d /testdrwxr-xrwx. 3 root root 12288 Jul 16 17:42 /test# ll /testdrwxr-xr-x. 2 root root 4096 Jul 16 17:40 abc# ll /test/abc/-rw-r--r--. 1 root root 0 Jul 16 17:40 1

答案:删除不了,因为如果abc是个空目录就可以,但因为删除不了abc下的1这个文件,所以造成abc也删除不了

 

4、什么情况下修改了一个文件才需要强制保存,什么情况下能够成功强制保存?

答案:如果你对一个文件没有写权限,那么修改后,要保存就会出现强制保存的选项;

     虽然你对这个文件没有写权限,但如果你对文件所在的上一级目录有写权限,则可以强制保存成功,并且保存后,把文件的owner和group属性改成了你自己

     如果对上一级目录没有写权限,则不可以强制保存;但也有一个例外,就是如果这个文件的owner就是你,那么你对它没有写权限,对它上级目录也没写权限,也可以强制保存成功


21.7.特殊权限(s,t)

s位叫特权位,英文的叫法有setuid,setgid,suid,sgid等


1)冒险位(setuid):4000 u+s 临时拥有文件拥有者的权限,作用在属主身上,一般针对命令。皇帝临时给一个用户一个尚方宝剑.只针对前三位

对目录可以加,但是无效,因为目录不是命令,根本不能执行它

demo:# chmod u+s /usr/bin/vim# ll /usr/bin/vim-rwsr-xr-x. 1 root root 1967072 Feb 17  2012 /usr/bin/vim# chmod 0766 /usr/bin/vim[root@node1 Desktop]# ll /usr/bin/vim-rwxrw-rw-. 1 root root 1967072 Feb 17  2012 /usr/bin/vim


小实验:

1,测试passwd命令的s位,去掉其s位,普通用户就不能自己改自己密码了,加上s位就可以了

 

2,/bin/touch这个命令是没有s位的,你可以尝试加上s位,然后用普通用户touch文件,观察效果。做完测试后,记得改回来也就是把s位去掉

 

3,普通用户能关机吗?怎么让普通用户关机

 

可以对关机命令加s位来让普通用户能关机,在rhel6下测试reboot,shutdown可以这样做,init不能这样做

这只是一个理论讨论,实际情况不会这么做的


 

2)强制位(setgid):2000 g+s 针对目录,任何人在该目录下创建的文件或目录强制继承父目录的属组。强制继承家族企业。中间三位

demo:chmod g+s dir1chmod 2755 dir1测试验证# ll -ddrwxr-sr-x. 5 u01 sysadmin 4096 Apr  6 11:24 .


3)粘制位 :1000 o+t 针对公共目录,在该目录下的文件只有root和文件的拥有者可以删除,其他人不能删除。自己管理自己

demo:# chmod 1777 dir2drwxrwxrwt. 2 root root     4096 Apr  6 10:33 dir2 # ll -d /tmpdrwxrwxrwt. 24 root root 4096 Apr  6 11:16 /tmp


s位和t位注意的地方:

 

用数字表示

 

前三位上加s        4

中间三位加s    2

后三位加t    1

 

chmod 1777 /tmp

 

s位和t位大小写的区别 

 

        小写的话就表示 有x执行权限

        大写的话就表示 没有x执行权限 


21.8.acl访问控制策略

setfacl:

-R:递归授权,对目录下已经存在的文件有acl策略,但是新建的文件没有acl策略

-d:递归授权,对目录下新建的文件有acl策略,老文件没有

-m:修改acl策略

-x:删除某个用户的权限

-b:删除所有的acl策略

-mask:设置除了其他人和拥有者以外的最大权限

 

下面我们再来继续看一个例子

假如现在我们设置test.sh的mask为read only,那么family组的用户还会有write 权限吗?

 

代码:

[root@zyq-server data]# setfacl -m mask::r test.sh[root@zyq-server data]# getfacl -c test.shuser::rwxuser:zyq:rwx                    #effective:r--group::rw-                      #effective:r--mask::r--other::r-- demo1: # setfacl -m u:u01:rw file1 [root@node1 test]# lltotal 8-rw-rw-r--+ 1 root root 6 Apr  6 11:41 file1-rw-rw-r--. 1 root root 0 Apr  6 11:33 file2[root@node1 test]# getfacl file1# file: file1# owner: root# group: rootuser::rw-user:u01:rw-group::rw-mask::rw-other::r--  # setfacl -m g:sysadmin:rw file2[root@node1 test]# getfacl file2# file: file2# owner: root# group: rootuser::rw-group::rw-group:sysadmin:rw-mask::rw-other::r-- # setfacl -m m::r file2# getfacl file2# file: file2# owner: root# group: rootuser::rw-group::rw-            #effective:r--group:sysadmin:rw-        #effective:r--mask::r--other::r--

说明:

属于sysadmin组里的成员就只有r的权限,因为最大权限就是r 

[u01@node1 test]$ echo 777 >>file2-bash: file2: Permission denied # setfacl -R -m u:u01:rwx dir1# setfacl -d -m g:sysadmin:rwx . # setfacl -Rd -m u:april:rwx

21.9.隐藏属性

lsattr

chattr

 

# lsattr 1.txt

-------------e- 1.txt

 

# chattr +A 1.txt        --这个属性让文件的access time访问后也不会变化,节省了IO(IO优化);默认情况下rhel5,访问一次atime就会跟着变一次,rhel6下只有当atime等于或早于mtime和ctime之一时,才会访问跟着变,否则不会变。(原因我们在后面讲mount参数时再补充)

 

# lsattr 1.txt

-------A-----e- 1.txt   

 

# stat 1.txt |tail -3        --用cat命令访问这个文件,再用此命令查看access time,会发现不再变化

Access: 2014-07-17 11:12:58.589838878 +0800

Modify: 2014-07-17 11:12:58.589838878 +0800

Change: 2014-07-17 11:13:15.405701371 +0800

 

一个文件加了a属于,重定向覆盖以前的内容不允许,但追加内容是可以的

# lsattr 1.txt

-----a-------e- 1.txt

 

# echo 456 > 1.txt

bash: 1.txt: Operation not permitted

# echo 456 >> 1.txt       

 

# chattr -a 1.txt

# chattr +i 1.txt  --加了i属性,此文件不可被修改,重命名

 


练习一:

1、root用户新建目录/tmp/common,要求目录的所属组为tom

# mkdir /tmp/common

前提是有tom组

# chgrp tom /tmp/common/

或者

# chown .tom /tmp/common/

2、是否允许tom用户在/tmp/common下创建文件tomfile?如果不允许,怎么才能让它创建文件?

不允许,给属组一个w权限

chmod g+w /tmp/common

3、用户jack如果想修改tomfile文件,怎么做?

chmod o+w tomfile

或者

usermod -G tom jack

或者

gpasswd -a jack tom(组)

或者

setfacl -m u:jack:rw tomfile

 

练习二:

1、以普通用户user01身份登录,新建目录/shared/sysadmin,并且属于sysadmin组

# su - user01$ mkdir /shared/sysadmin -p# setfacl -m u:user01:rwx /# chgrp sysadmin /shared/sysadmin

2、要求组成员有读写访问的权限,其他成员没有任何权限

[root@node1 home]# ll -d /shared/sysadmin/-xdrwxrwxr-x. 2 user01 sysadmin 4096 Apr  6 14:44 /shared/sysadmin/[root@node1 home]# chmod o=--- /shared/sysadmin/[root@node1 home]# ll -d /shared/sysadmin/

3、要求组成员不可以删除属于其他成员的文件

# ll -d /shared/sysadmin/drwxrwx--T. 2 user01 sysadmin 4096 Apr  6 14:44 /shared/sysadmin/

4、要求在/shared/sysadmin下面创建的文件全部属于sysadmin组

# ll -d /shared/sysadmin/drwxrws--T. 2 user01 sysadmin 4096 Apr  6 14:44 /shared/sysadmin/

5、要求harry可写,natash不能读写

# setfacl -m u:harry:rwx /shared/sysadmin/# setfacl -m u:natash:--- /shared/sysadmin/

本文出自 “烂笔头” 博客,请务必保留此出处http://lanbitou.blog.51cto.com/9921494/1942486