前言:
linux的权限管理是比较复杂的,主要原因是linux系统是一个多用户的并且是一个多种权限的权限系统。
- 基本权限有:读,写,执行。
- 特殊权限有:SUID,SGID,SBIT,隐藏权限 a i
- 用户:超级用户root以及其它的普通用户,普通用户里又有管理员用户,体现在文件(夹)上,我们通常也叫属主
- 用户组:超级用户组wheel以及其它普通用户组,体现在文件(夹)上,我们通常也叫属组
以上这些构成了Linux系统的完整的权限系统。
例如我们查看一个文件,ls -al它的所有权限和属组:
[root@node3 ~]# ls -al admin.conf
-rw------- 1 root root 5643 Nov 3 11:26 admin.conf
输出可以分隔为如下(以|为分隔符);
- |rw- | --- | --- | 1 | root |root |5643 |Nov 3 11:26 |admin.conf
- 第一部分:文件类型,-表示普通文件,如果是文件夹,此处会是d,如果是链接文件,此处会是l
- 第二部分:用户权限---可读可写不可执行(三种基本权限r是读,w是写,x是执行)-代表没有权限,这一组权限通常用字母u表示,user的简写,以上面的文件为例,给它增加用户执行权限:
chmod u+x admin.conf
再次查询它的权限:
[root@node3 ~]# ls -al admin.conf
-rwx------ 1 root root 5645 Nov 11 16:22 admin.conf
- 第三部分:组权限---- -代表没有权限,因此,任何组都无读写执行的权限。这一组权限通常用字母g表示,group的简写,以上面的文件为例,给它增加组执行权限:
[root@node3 ~]# chmod g+x admin.conf
[root@node3 ~]# ls -al admin.conf
-rwx--x--- 1 root root 5645 Nov 11 16:22 admin.conf
- 第四部分:其它用户和组的权限---- -代表没有权限,因此,其它的任何用户和组都没有读写执行权限,这里的其它相对的是六七,也就是属组,这一组权限通常用字母o表示,other 的简写,例子和上面一样就不举例了,需要注意的是,ugo这三个是可以合并起来使用的,比如,用户和其它用户增加写权限:
[root@node3 ~]# chmod uo+w admin.conf
[root@node3 ~]# ls -al admin.conf
-rwx--x-w- 1 root root 5645 Nov 11 16:22 admin.conf
- 第五部分:链接次数---此文件的软硬链接, 这里是1,表示没有任何链接文件
- 第六部分:归属用户---- 这里是归属于root用户
- 第七部分:归属组---- 这里是归属于root组
- 第八部分:文件的字节数--- 这里是5643个字节大小
- 第九部分:文件的创立时间----这里是11月3号 11点26创建的
- 第十部分: 文件的名称---- 这里是admin.conf
那么,以上这个admin.conf 文件的实际意义是:此文件仅仅能够由root用户读取和修改,不可以执行。
OK,什么是数字权限?什么是字母权限?权限如何增删改查呢?如何更加快速准确的设定权限?这些问题将在下面的内容逐一介绍。
一,
什么是数字权限?
Linux的权限系统内规定:
读权限=字母r=4
写权限=字母w=2
执行权限=字母x=1
SUID=字母s(S)=4
SGID=字母s(S)=2
SBIT=字母t(T)=1
例如,下面这个文件的,通过ls -al命令列出了它的详细信息,那么,-rw------- 就是该文件的详细权限,那么,用数字表示它的权限,数字应该是多少呢:
[root@node4 ~]# ls -al admin.conf
-rw-------. 1 root root 5478 Nov 3 14:24 admin.conf
根据以上的定义,我们可以说这个admin.conf 现有的权限是600,具体的含义是rw也就是读写权限给予了属主root和属组root,(6是r+w=4+2,剩下的位置都是无权限因此是600),如何证明呢?
[root@node4 ~]# stat admin.conf
File: ‘admin.conf’
Size: 5478 Blocks: 16 IO Block: 4096 regular file
Device: 801h/2049d Inode: 67110625 Links: 1
Access: (0600/-rw-------) Uid: ( 0/ root) Gid: ( 0/ root)
Context: unconfined_u:object_r:admin_home_t:s0
Access: 2022-11-03 14:24:20.859979527 +0800
Modify: 2022-11-03 14:24:15.161979592 +0800
Change: 2022-11-03 14:24:15.161979592 +0800
Birth: -
那么,问题来了,0600是什么情况?为什么不是600?
根本原因是stat命令会显示SUID这些权限,但此文件并没有这些权限,因此用0表示了嘛。
二,
常用的数字权限有哪些?
- 600 -rw------- 重要的专属于某个用户的配置文件一般配置此权限,一般认为这个是最低权限
- 644 -rw-r--r-- 比上面的权限稍高
- 700 -rwx------ 比上面的权限稍高
- 755 -rw-r-xr-x 大部分普通文件都是此权限
- 777 -rwxrwxrwx 暴力权限,一般是不使用的,安全性没有保障
三,
如何设置权限?
【linux的默认权限】
通常Linux有一个默认的umask,也就是默认的权限,一般是不需要修改的,此权限可以满足大部分的多用户工作,如果有安全方面以及使用范围的考虑才会针对某个文件(夹)做特别的指定。
[root@node4 ~]# umask
0022
- 用户创建文件夹权限值=初始创建文件夹默认值-umask的预设值如:
- 775=777-002
- 用户创建文件权限值=初始创建文件默认值-umask的预设值
- 664=666-002
证明:
可以看到新建的文件file1和文件夹dir1权限用数字表示,分别是644和755
[root@node4 ~]# ls -al file1 dir1/
-rw-r--r--. 1 root root 0 Nov 12 13:12 file1
dir1/:
total 4
drwxr-xr-x. 2 root root 6 Nov 12 13:12 .
dr-xr-x---. 9 root root 4096 Nov 12 13:12 ..
使用普通用户仍然是这两个权限:
[zsk@node4 ~]$ touch file1 && mkdir dir1
[zsk@node4 ~]$ ls -al file1 dir1/
-rw-rw-r--. 1 zsk zsk 0 Nov 12 13:15 file1
dir1/:
total 0
drwxrwxr-x. 2 zsk zsk 6 Nov 12 13:15 .
drwx------. 3 zsk zsk 87 Nov 12 13:15 ..
OK,修改umask的值临时为0044,那么,现在的默认新建文件(夹)的权限是多少呢?
答案是:文件---622 文件夹---733
[zsk@node4 ~]$ umask 0044
[zsk@node4 ~]$ touch file1 && mkdir dir1
[zsk@node4 ~]$ ls
dir1 file1
[zsk@node4 ~]$ ls -al file1 dir1/
-rw--w--w-. 1 zsk zsk 0 Nov 12 13:20 file1
dir1/:
total 0
drwx-wx-wx. 2 zsk zsk 6 Nov 12 13:20 .
drwx------. 3 zsk zsk 87 Nov 12 13:20 ..
再次临时修改umask的值为0077,以上默认权限会是多少呢?
计算式子为:文件 666 -077=600,文件夹 777-077=700
[zsk@node4 ~]$ stat file1
File: ‘file1’
Size: 0 Blocks: 0 IO Block: 4096 regular empty file
Device: 801h/2049d Inode: 67390885 Links: 1
Access: (0600/-rw-------) Uid: ( 1000/ zsk) Gid: ( 1000/ zsk)
Context: unconfined_u:object_r:user_home_t:s0
Access: 2022-11-12 13:29:17.495681844 +0800
Modify: 2022-11-12 13:29:17.495681844 +0800
Change: 2022-11-12 13:29:17.495681844 +0800
Birth: -
[zsk@node4 ~]$ stat dir1/
File: ‘dir1/’
Size: 6 Blocks: 0 IO Block: 4096 directory
Device: 801h/2049d Inode: 1430410 Links: 2
Access: (0700/drwx------) Uid: ( 1000/ zsk) Gid: ( 1000/ zsk)
Context: unconfined_u:object_r:user_home_t:s0
Access: 2022-11-12 13:29:24.680681565 +0800
Modify: 2022-11-12 13:29:17.498681844 +0800
Change: 2022-11-12 13:29:17.498681844 +0800
Birth: -
指定权限:
设置权限无疑是使用数字会更加的快,例如,上面的文件和文件夹指定为满权限777:
数字指定:
[zsk@node4 ~]$ chmod 777 file1 dir1/
[zsk@node4 ~]$ ls -al file1 dir1/
-rwxrwxrwx. 1 zsk zsk 0 Nov 12 13:29 file1
dir1/:
total 0
drwxrwxrwx. 2 zsk zsk 6 Nov 12 13:29 .
drwx------. 3 zsk zsk 103 Nov 12 13:29 ..
字母指定:
[zsk@node4 ~]$ chmod u=rwx,g=rwx,o=rwx file1
[zsk@node4 ~]$ ls -al file1
-rwxrwxrwx. 1 zsk zsk 0 Nov 12 13:40 file1
赋权指令可以简化为如下:
chmod ugo=rwx file1
也可以写成如下形式:
a等于ugo,也就是等于属主,属组,其它用户。
chmod a+rwx file1
那么,减掉此文件的写权限呢?
chmod a-w file1
chmod ago-w file1
数字赋权呢?
[zsk@node4 ~]$ chmod 555 file1
[zsk@node4 ~]$ stat file1
File: ‘file1’
Size: 0 Blocks: 0 IO Block: 4096 regular empty file
Device: 801h/2049d Inode: 67390885 Links: 1
Access: (0555/-r-xr-xr-x) Uid: ( 1000/ zsk) Gid: ( 1000/ zsk)
Context: unconfined_u:object_r:user_home_t:s0
Access: 2022-11-12 13:40:18.838656141 +0800
Modify: 2022-11-12 13:40:18.838656141 +0800
Change: 2022-11-12 13:49:41.845634259 +0800
Birth: -
上面的数字赋权其实都省略了特殊权限,比如上面的chmod 555 file1 其实是chmod 055 file1 ,那么,快速建立一个SBIT权限的文件夹是这样的:
[zsk@node4 ~]$ chmod 1755 dir1
[zsk@node4 ~]$ ls -al dir1/
total 0
drwxr-xr-t. 2 zsk zsk 6 Nov 12 13:40 .
drwx------. 3 zsk zsk 103 Nov 12 13:40 ..
同理,SUID和SGID数字赋权分别是4755和2755,当然,普通文件和文件夹赋予SUID并没有实际的意义,这里就不过多解释了。
权限设置需要谨慎,一般是最小化权限的原则,同时考虑实际的应用情况来综合设计。