文件和目录权限
.建立良好的文件和目录权限是保障计算机
环境安全性的一项重要工作。
文件和目录权限
.文件基本权限分为只读权限r、读写权限w、可执
行权限x
.文件归属分为:本用户(user)、同组用户
(group)、其他用户(other)
.文件类型分为
普通文件-目录文件d
连接文件l 块设备文件b
字符设备文件c 管道文件p
文件和目录权限
第一列:文件类型
第一个三元组:文件拥有者的权限(u)
第二个三元组:文件拥有者组的权限(g)
第三个三元组:所有其他用户的权限(o)
访问权限规定三种访问文件或目录的方式:
r:对于一个文件,指该文件是可读的;对于一个目
录,指能够浏览该目录的内容
w:对于一个文件,指可以修改该文件;对于一个
目录,指可以删除或添加该目录中的文件
x:对于一个文件是指该文件是可执行的;对于目录
指可以进入此目录
文件和目录权限
.修改文件或目录的权限,用chmod命令,且
只有文件的拥有者或root才有权修改文件或
目录的访问权限。
文件和目录权限
.命令格式:chmod[-选项] <权限值组合>
<文件或目录名>
.选项:
-R 递归,包含其下所有目录、子目录及文件
-v 修改权限时显示详细信息
文件和目录权限
.用数字方式修改权限
数字4表示可读权限(r),数字2表示
可写权限(w),数字1表示可执行权
限(x)
文件和目录权限
例:
#chmod 400 file1
指定只有file1文件的拥有者对file1有读的权限,
file1文件的拥有者组和其他用户对file1没有任何
权限
#chmod 777 file2
指定file2为所有用户可读、可写、可执行
#chmod -R 644 dir/
将dir目录下的所有文件权限设置为644
..用字符方式修改权限
u代表拥有者=userg代表用户组=groupo代表其他用户=othersa代表所有人=all
赋权限的符号+/-/=
文件和目录权限
文件和目录权限
chmodu+(加入)r文件或目录
g-(除去)wo=(设定)xa
.例:
# chmod u+w file2
给file2文件的拥有者可写的权限
# chmod og-x file2
删除文件的拥有者组与其他用户对file2文件的
执行权利
# chmod u=rwx file2
将file2的文件拥有者的权限设为可读、可写、
可执行
# chmod a+r file2
所有用户对file2有读的权利
文件和目录权限
文件和目录权限
.set位及粘滞位
.权限值组合中的第4位数,对应关系:suid=4,
sgid=2,粘滞位=1
.使用字母表示时对应关系:s=set位,t=粘滞位
.set位含义:设置set位以后,其他用户执行该文件
时也会拥有设置该set位用户的对应身份和权限,
一般设置在文件上
.粘滞位含义:设置粘滞位以后,让其他用户无法
删除别人的文件,一般设置在目录上
文件和目录权限
.对文件或目录加S权限
.S权限分为:SUID和SGID
.SUID功能是当用户(不一定是该文件的拥有
者)执行被设置了SUID权限的文件时,这个
文件的用户号(UID)就会被设定为该文件拥有
者的用户号(UID),也就相当于是这个文件的
拥有者在执行这个文件
.SUID只能出现在文件的拥有者权限的第三
位。
文件和目录权限
对于SUID来说,最好的实例就是passwd程序了,谁都知
道使用passwd可以给自己的帐号修改密码,但是修改密
码就是要修改shadow文件,而shadow文件的默认权限是
只有root可操作。passwd就是利用了SUID的功能。当一
般程序运行时,都是以运行那个程序的用户的ID去执行
的,而SUID则可以使用程序的拥有者的ID去执行,
passwd的拥有者就是root,所以当用户去执行时,是以
root的身份执行。而去除了SUID位以后,普通用户就无法
帮自己修改密码了。
文件和目录权限
.给文件设置SUID权限的方法:
.1、数字修改模式
#chmod 4755 file1
.2、字符修改模式
#chmod u+s file2
文件和目录权限
.对于SGID,类似于SUID,当用户(不一定
是该文件的拥有者组成员)执行被设置了
SGID的文件时,这个文件的用户组号(GID)
就会被设定为该文件的拥有者组的用户组
号(GID),相当于是这个文件的拥有者组的
成员在执行这个文件
.SGID一般出现在文件的拥有者组权限的第
三位。
文件和目录权限
.给文件设置SGID权限的方法:
.1、数字修改模式
#chmod 2755 file1
.2、字符修改模式
#chmod g+s file1
.当SGID加在目录上,会使在其目录下新建的文件
的拥有者组为该目录的拥有者组。
文件和目录权限
.对目录加粘滞位权限
这种权限主要是在目录上出现,它是
使用户在这个目录里只能删除属于自
己的文件,而不能删除其他人的文
件。
.粘滞位出现在第三个三元组的第三位
文件和目录权限
.给目录设置粘着位权限的方法:
.1、数字修改模式
#chmod 1755 dir1
.2、字符修改模式
#chmod o+t dir1
文件和目录权限
.改变文件或目录的拥有者的命令:chown
.格式:chown 用户名文件或目录
.例:
.#chown user file1/dir1
将文件file1或目录dir1的拥有者设置为user
.#chown -R user dir2/
将dir2目录内的所有文件的拥有者改为user
文件和目录权限
.改变文件或目录的拥有者组的命令:chgrp
.格式:chgrp 拥有者组名文件或目录
.例:
.#chgrp group file1/dir1
将文件file1或目录dir1的拥有者组设置为group
.#chgrp -R group dir2/
将dir2目录内的所有文件的拥有者组改为group
文件和目录权限
例:
#chown user.group dir/
将目录dir的拥有者改为user,拥有者组
改为group
#chown -R user.group dir/
将目录dir内的所有文件的拥有者改为
user,拥有者组改为group
文件和目录权限
.设置文件权限的默认生成掩码:umask
.命令格式:umask
.例:$ umask
$ umask 022
对于目录来说建立时的默认权限是用777减去
umask的值
对于文件来说建立时的默认权限是用666减去
umask的值
文件和目录权限
.修改文件或目录的特殊属性chattr
.命令格式:chattr[-选项] <文件或目录名>
.选项:
-R 递归,包含其下所有目录、子目录及文件
+i 给文件添加i属性,使之不能被修改、删除、移动、硬连
接,只有超级用户可以设置或清除该属性
+a 给文件添加a属性,使之只能添加,只有超级用户可以
设置或清除该属性
-i 清除文件或目录的i属性
-a 清除文件或目录的a属性
.使用lsattr命令才能查看到该属性
.示例:
chattr+i /etc/passwd
chattr-R +a /home/thiz
阅读(7882) | 评论(0) | 转发(0) |
