Linux操作系统应用实战 课件 项目4 Linux权限管理

项目4Linux权限管理任务1一般权限管理任务2

特殊权限管理“二十大精神”与中国计算机科学家（1）党的二十大报告中指出“教育、科技、人才是全面建设社会主义现代化国家的基础性、战略性支撑。必须坚持科技是第一生产力、人才是第一资源、创新是第一动力，深入实施科教兴国战略、人才强国战略、创新驱动发展战略，开辟发展新领域新赛道，不断塑造发展新动能新优势。”老一辈中国计算机人不忘初心，建库奋斗，才使我们有了今天的美好生活。我们新时代的青年，应该继承前辈们的精神遗产，艰苦奋斗，为中华民族的伟大复兴梦，更多贡献自己的力量。项目导入

每个企业内都有大量工作人员，且有自己的分工协作体系，不同岗位的员工，负责不同的工作内容，不属于岗位职责范围内的事情，员工通常不具有参与权和知情权。如果每个岗位的员工都可以参与所有的工作、看到所有的信息，就会给企业的分工协作体系造成巨大冲击，导致内部管理混乱。更极端的情况是，员工利用自己“无限制的参与权和知情权”，进行违法的牟利活动，给企业带来致命的损害。同样在使用Linux操作系统的过程中，也需要根据用户和组来设定文件的权限，保证信息的安全，本项目主要是学习文件的一般权限管理和特殊权限管理等内容。职业能力目标和要求1.了解文件/文件夹十位字符的表示含义。2.了解Linux文件系统访问者的三种身份。3.了解Linux文件系统特殊权限的各个功能。4.熟练掌握Linux系统下显示文件/文件夹和相关属性的方法。5.熟练掌握Linux掌握修改权限指令，及其常用参数。6.熟练掌握Linux文件系统权限中的特殊权限的修改。7.感悟文件权限的重要性，弘扬二十大报告中提到的社会主义法治精神。项目4Linux权限管理一般权限管理任务1任务介绍任务1根据公司的要求，网络管理员小李需要对目录和文件实现分级分部门管理，所有目录和文件均保存在/tangxun目录下，每个部门拥有一个独立的文件夹，部门之间不能访问对方文件夹。另外，每位员工都有所属部门的文件夹，相同部门不同员工之间可以查看对方的文件夹，但不可修改，员工只能修改自己的文件夹。每个部门员工和目录分配情况如表4-1所示。任务介绍任务1任务分析任务1在企业内实现某个文件/目录的权限分配，分为以下几个步骤:步骤一:创建员工目录步骤二:设置部门目录权限步骤三:设置用户目录权限4.1.1任务准备：Linux文件系统结构任务1

在Linux系统中，目录、字符设备、块设备、套接字、打印机等都被抽象成了文件：Linux系统中一切都是文件。既然平时我们打交道的都是文件，那么又应该如何找到它们呢？在Windows操作系统中，想要找到一个文件，我们要依次进入该文件所在的磁盘分区（假设这里是D盘），然后在进入该分区下的具体目录，最终找到这个文件。但是在Linux系统中并不存在C/D/E/F等盘符，Linux系统中的一切文件都是从“根（/）”目录开始的，并按照文件系统层次化标准（FilesystemAierarchyStandard，FHS）采用树形结构来存放文件，以及定义了常见目录的用途。另外，Linux系统中的文件和目录名称是严格区分大小写的。Linux系统中的文件存储结构如下表4-2所示。任务1

4.1.1任务准备：Linux文件系统结构任务11.文件和文件权限文件是操作系统用来存储信息的基本结构，是一组信息的集合。文件通过文件名来唯一地标识。Linux中的文件名称最长可允许255个字符，这些字符可用A~Z、0~9、.、_、-等符号来表示。与其他操作系统相比，Linux最大的不同就是没有“扩展名”的概念，也就是说文件的名称和该文件的种类并没有直接的关联。2.文件类型（ls-l/ll）3.文件属性开头首字母类型4.文件权限5.权限值4.1.1任务准备：Linux文件系统结构任务准备：

4.1.2.文件的属性信息任务1

对于一个Linux系统中的文件来说，它的权限可以分为三种：读的权限、写的权限和执行的权限，分别用r、w和x表示。不同的用户具有不同的读、写和执行的权限。任务1第一部分是文件类型权限。第一个字符一般用来区分文件的类型，第2~10个字符表示文件的访问权限第二部分是文件数。每个文件都会将其权限属性记录到文件系统中的i-node(节点)中，每个文件名都会连接到一个i-node。因此，文件数就反映了有多少个不同文件名连接到相同的一个i-node。第三部分是该文件(目录)所属用户。这里显示的是该文件(目录)拥有者的用户账号。第四部分是该文件(目录)所属组。这里显示的是该文件(目录)所属的初始用户组。第五部分是该文件的大小。这里的文件大小默认单位为byte。第六部分是文件创建或修改时间。这部分的内容分别是日期(日/月)和时间，如果文件创建或修改时间距离现在比较久远，那么该部分显示为日/月/年。第七部分是文件名。

任务准备：

4.1.2.文件的属性信息任务准备：4.1.3.设置文件属性任务11.修改权限（chmod）格式：chmod[-cfvR][--help][--version]modefile...2.使用数字表示法修改权限

在文件建立时系统会自动设置权限，如果这些默认权限无法满足需求，那么现在可以使用chmod命令来修改权限。通常在权限修改时可以使用两种方式来表示权限类型：数字表示法和文字表示法。数字表示法是指将读取(r)、写入(w)、执行(x)分别以4、2、1来表示，没有授予的部分表示为0，然后再把所授予的权限相加而成。3.使用文字表示法修改权限使用权限的文字表示法时，系统会用四个字母来表示不同的用户u:user，表示所有者属主g:group，表示属组o:others，表示其他用户a:all，表示以上三种用户任务1【实例4-1】将project_2文件属主设置为可读可写，属组设置为可读可写，所有人设置为可读。[root@localhosttest]#chmodu=rw,g=rw,o=rproject_2 //将project_2文件属主设置为可读可写，属组设置为可读可写，所有人设置为可读-rw-rw-r--.1rootroot0Apr2413:51project_2任务准备：4.1.3.设置文件属性任务准备：

4.1.4修改文件拥有者和所属组任务11.修改文件属主和属组（chown）chown命令改变某个文件或目录的所有者和所属的组，该命令可以向某个用户授权，使该用户变成指定文件的所有者或者改变文件所属的组。用户可以是用户或者是用户id，用户组可以是组名或组id。文件名可以使由空格分开的文件列表，在文件名中可以包含通配符。只有文件拥有者和超户才可以使用该命令。格式：chown[选项][属主][属组]文件。任务1【实例4-2】修改属主：chown主文件。

[root@localhosttangxun]#llprojectdrwxrwxrwx.2rootroot6Apr2413:50project[root@localhosttangxun]#chownpro2project //修改project目录的属主为pro_2[root@localhosttangxun]#llprojectdrwxrwxrwx.2pro_2root6Apr2413:50project任务准备：

4.1.4修改文件拥有者和所属组任务12.修改文件属组(chgrp)为了方便初学者记忆，可以将chgrp理解为是"changegroup"的缩写。chgrp命令的用法很简单，其命令基本格式为：-R选项作用于更改目录的所属组，表示连同子目录中所有文件的所属组信息[root@localhost~]#chgrp[-R]所属组文件名/目录名表2-4ls命令选项任务准备：

4.1.4修改文件拥有者和所属组任务1【实例4-3】将test目录及其目录下的子文件修改属主属组为test，以及权限为：主：可读可写可执行，组：可读可写可执行，其他人：可执行知识链接：在使用chown时，如果有多个选项要用的话，是可以连用的。[root@localhostsrv]#chown-Rtest:testtest[root@localhostsrv]#chmod-R771test/知识链接：在使用chown时，如果有多个选项要用的话，是可以连用的。任务准备：

4.1.4修改文件拥有者和所属组任务实施任务1任务实施通过任务准备，请完成如下任务实施部分。（1）创建员工目录[root@localhosttangxun]#mkdir./tangxun/project/ //创建project目录[root@localhosttangxun]#mkdir/tangxun/service //创建service目录[root@localhosttangxun]#mkdir/tangxun/manage //创建manage目录任务实施任务1（2）设置部门权限[root@localhosttangxun]#chmod750project/service/manage/ //设置project、service、manage部门权限[root@localhosttangxun]#chgrpitemproject/ //设置project/project_1所属组[root@localhosttangxun]#chgrpserveservice/ //设置service_1所属组[root@localhosttangxun]#chgrpadmmanage/ //设置manage所属组任务实施任务1（3）设置用户目录权限[root@localhosttangxun]#chownpro_1project/project_1/[root@localhosttangxun]#chownpro_2project/project_2/[root@localhosttangxun]#chownser_1service/service_1[root@localhosttangxun]#chownser_2service/service_2[root@localhosttangxun]#chownman_1manage/manage_1[root@localhosttangxun]#chownman_2manage/manage_2[root@localhost/]#chmod-R755/tangxun/[root@localhosttangxun]#llmanage/总用量0drwxr-xr-x.2man_1root66月2415:56manage_1drwxr-xr-x.2man_2root66月2415:56manage_2[root@localhosttangxun]#llproject/总用量0drwxr-xr-x.2pro_1root66月2415:55project_1drwxr-xr-x.2pro_2root66月2415:55project_2[root@localhosttangxun]#llservice/总用量0drwxr-xr-x.2ser_1root66月2415:56service_1drwxr-xr-x.2ser_2root66月2415:56service_2任务小结任务1

(1)在实际生产环境中，如果想要在某个组内加入大量用户，这种情况下我们去使用shell脚本的话会更方便。

(2)如果要给某一个目录修改权限或者它的属主或属组，那么通常会用到一个选项-R。(3)学习阶段我们可以之间使用root，但是后续工作情况下，我们一般是接触不到root的。任务拓展任务1根据高职院校的要求，系统管理员需要对目录和文件实现分级分部门管理，每个部门拥有一个独立的文件夹，部门之间不能访问对方文件夹。另外，每位教师都有所属部门的文件夹，相同部门不同教师之间可以查看对方的文件夹，但不可以修改，教师只能修改自己的文件夹。项目4Linux权限管理特殊权限管理任务2任务介绍任务2网络管理员小李为了便于每位员工设置自己的登陆密码，限定于周一上午8：00至10：00期间开放密码设置权限，同时，企业为了收集员工意见和建议，促进企业健康发展，特指定/tangxun/proposal目录，用来保存员工建议文件，但不允许删除他人的文件。另外，企业项目部为了提升软件和硬件开发之间的效率，创建一个共享目录/tangxun/work，现指定dev01和dev02两个人负责协调工作，单独建立一个work组，共享目录只有两人具有权限，且互相可以修改对方的文件，其他人无法访问。任务分析任务2要实现该企业相关人员特殊权限的设置，可以按以下几个步骤进行操作：

步骤一：设置普通用户密码权限

步骤二：设公共目录权限

步骤三：设置项目部专用目录权限任务准备：

4.2.1文件预设权限任务2Linux系统在为使用者建立文件的时候，预设的权限为-rw-rw-rw-，换算为数值，即为666。建立文件夹的时候，预设的权限为drwxrwxrwx，因为文件夹的x权限，表示能进入到该文件夹，系统默认全部放开，换算为数值即为777。1.文件的默认权限(umask)

新建的文件，都有默认的权限。这个默认权限的设置，与umask有关，umask就是指定目前用户在建立文件或目录时候的权限默认值。任务2【实例4-3】查看Linux默认权限。0022，第一位数值对应的是特殊权限，这个后面会介绍。第一组是特殊权限用的，稍后会讲到。现在先看后面的3组。任务准备：

4.2.1文件预设权限任务22.修改默认权限umask后面加上我们想要设定的设置即可。即为：umask数值知识链接：查阅默认权限的方式有两种：一是直接输入umask，可以看到数字形态的权限设定；二是加入-S（Symbolic）选项，则会以符号类型的方式显示权限。试一试：假设umask为003，在此情况下建立的文件与目录的权限又是怎样的呢？任务准备：

4.2.1文件预设权限任务2

前面学习了关于文件的重要权限，即r、w、x这三个读、写、执行的权限。但是，/tmp和/usr/bin/passwd的权限却不同。除了有r、w、x外，还有其他的特殊权限(s和t)我们先来说一下前边提到的Stickbit(粘着位)，Stickbit对程序而言，该权限告诉系统在程序完成后在内存中保存一份运行程序的备份，如该程序常用，可为系统节省点时间，不用每次从磁盘加载到内存。Linux当前对文件没有实现这个功能，一些其他的UNIX系统实现了这个功能。任务准备：

4.2.2文件特殊权限任务21.SetUID当s标志出现在文件拥有者的x权限上时，例如刚才提到的/usr/bin/passwd这个文件的权限状态:-rwsr-x-r-x，此时就被称为SetUserID，也就是SUID的特殊权限。2.SGID当s标志出现在文件拥有者的x权限上时称为SUID，而当s标志出现在属组的x权限上时则称为SetGID，即SGID。3.SBITSBIT(StickyBit)也是一种特殊权限，但是这种特殊权限目前只针对目录有效，对于文件无效。任务准备：

4.2.2文件特殊权限任务24.ACL权限ACL全称是AccessControlList(访问控制列表)，一个针对文件/目录的访问控制列表，为文件系统提供一个额外的、更灵活的权限管理机制。ACL允许给任何的用户或用户组设置任何文件/目录的访问权限，只有root可以定义ACL。（1）.查看ACL权限(getfacl)getfacl命令用来查看ACL权限（2）.设置ACL权限(setfacl)setfacl命令主要用来设置ACL权限

格式：setfacl[格式]文件名任务准备：

4.2.2文件特殊权限任务准备：

4.2.3隐藏权限任务2

除了之前介绍的Linux普通权限和Linux特殊权限外，Linux文件还有一种隐藏权限，所谓隐藏权限，即这些权限隐藏起来，一般不易被用户所发现，这些隐藏权限有时会限制表面上允许的操作。1.修改隐藏权限（chattr）2.查看隐藏权限(lsattr)文件的隐藏权限用ls-l是无法查看的，查看隐藏权限需要用到lsattr任务2【实例4-5】查看隐藏权限。知识链接：各参数选项中常用到的是a和i。a选项强制只可添加不可删除，多用于日志系统的安全设定。而i是更为严格的安全设定，只有superuser(root)或具有CAP_LINUX_IMMUTABLE处理能力（标识）的进程能够施加该选项。任务准备：

4.2.3隐藏权限任务2【实例1】输出重定向操作符的使用。[root@localhost~]#echo'thisisweb’//将字符串‘thisisweb’显示在屏幕thisisweb[root@localhost~]#echo‘thisisweb’>f1//将'thisisweb'写入f1文件[root@localhost~]#echo‘thisisftp’>f2//将'thisisweb'写入f2文件[root@localhost~]#catf1f2>>f12//将f1和f2文件内容合并到f12知识链接：利用输出重定向操作符可合并多个文件内容。任务准备：

4.2.3隐藏权限任务实施任务2通过任务准备，请完成如下任务实施部分。（1）步骤一：设置普通用户密码权限。[root@localhost~]#chmodu+s/usr/bin/passwd //修改passwd文件权限[root@localhost~]#ll/usr/bin/passwd //查看passwd文件信息-rwsr-xr-x.1rootroot27832Jun102014/usr/bin/passwd任务实施任务2（2）设置公共目录权限。[root@localhost~]#mkdir/tangxun //创建公共目录/tangxun[root@localhost~]#mkdir/tangxun/proposal //在/tangxun下创建/proposal目录[root@localhost~]#chmod1777/tangxun/proposal/ //修改公共目录的特殊权限任务实施任务2（3）在公共目录创建用户文件验证。[pro_1@localhostroot]$cd/tangxun/proposal/ //切换到/tangxun/proposal目录[pro_1@localhostproposal]$touchpro_1 //创建一个pro_1文件[pro_1@localhostproposal]$exit //退出pro_1用户exit[root@localhost~]#supro_2 //切换到pro_2用户[pro_2@localhostroot]$cd/tangxun/proposal/ //切换到/tangxun/proposal[pro_2@localhostproposal]$touchpro_2 //创建一个pro_2文件[pro_2@localhostproposal]$rmpro_1 //测试删除pro_1文件rm:removewrite-protectedregularemptyfile‘pro_1’?yrm:cannotremove‘pro_1’:Operationnotpermitted //无法删除pro_1:不允许操作[pro_2@localhostproposal]$任务实施任务2（4）设置项目部门专用目录权限。[root@localhost~]#groupaddwork //创建work组[root@localhost~]#useradd-Gworkdev01 //创建dev01用户并加入work组[root@localhost~]#useradd-Gworkdev02 //创建dev02用户并加入work组[root@localhost~]#mkdir/tangxun/work //创建/tangxun/work目录[root@localhost~]#chgrpwork/tangxun/work/ //修改/tangxun/work目录属组为work[root@localhost~]#chmod2770/tangxun/work/ //修改work目录权限[root@localhost~]#ls-ld/tangxun/work/ //查看work目录信息drwxrws---.2rootwork6May410:59/tangxun/wo