Linux系统管理与服务器配置-基于CentOS 7（第2版） 课件 第4章权限管理

第4章权限管理Linux系统管理与服务器配置——基于CentOS7目录4.1项目一：对用户访问文件权限的基本设置4.1.1文件属性 4.1.2修改文件访问权限的chmod命令 4.1.3设置文件默认权限掩码的umask命令 4.1.4修改文件所有者的chown命令 4.1.5提升用户权限的su、sudo命令 4.2项目二：ACL权限设置 4.2.1查看和开启系统对ACL权限的支持 4.2.2ACL权限管理 4.2.3最大有效权限 4.2.4递归ACL权限和默认ACL权限 4.3项目三：文件特殊权限设置 4.3.1SUID权限 4.3.2SGID权限 4.3.3SBIT权限 4.4知识扩展 4.4.1设置文件系统属性的chattr命令 4.4.2查看文件系统属性的lsattr命令 本章小结4.1项目一：对用户访问文件权限的基本设置研发部近期招聘了两名在校大学生到项目组实习，并为他们做了关于Linux基础应用方面的培训。两人为了尽快熟悉Linux系统，共享学习成果，计划在系统的/tmp目录下创建一个名为ourfile的文件，用于分享学习收获。因此，两人需要可以随时读取和修改ourfile文件的内容。序号知识点详见章节1对文件访问权限的理解4.1.1节2文件访问权限的修改命令4.1.2节4.1.1文件属性每一行代表对应文件或目录的详细信息。从左到右各个字段具体的含义是：文件属性、文件数、拥有者、所属的组、文件大小、建立月份、建立日期、建立年份或时间、以及文件名。其中“建立年份或时间”字段，如果文件是今年建立的，则显示具体时间；如果是往年建立的，则显示年份。4.1.1文件属性文件属性由10个字母组成，其中第一个字母表示文件类型，后九个字母分为三组，表示文件的访问权限。文件属性的第一个字母是类型标识，用来说明文件的类型。在Linux操作系统中，共有七种文件类型，分别是：d

(directory)

目录文件。l

(link)

符号链接。s

(socket)

套接字文件。b

(block)块设备文件，为二进制文件。c

(character)字符设备文件。p

(pipe)

命名管道文件。-

普通文件，或者更准确地说，不属于以上几种类型的文件。4.1.1文件属性用户对文件的操作权限分为读、写和执行三种，分别用r、w、x表示。若用户没有某个权限，则在相应权限位用“-”占位，代表无此权限。若文件具有x属性，是可执行的文件。具有x属性的文件一般是二进制文件或可执行的脚本文件。若目录具有x属性，则表示允许打开该目录中的文件，并且可用cd命令进入该目录。4.1.2修改文件访问权限的chmod命令(1)绝对权限方法文件的九位权限除了可用r、w、x来表示外，还可用一个3位的十进制数字来表示。比如644，其百位上的数字代表文件拥有者的权限，十位上的数字代表所属用户组的权限，个位上的数字代表其他用户对该文件的权限。这种采用数字来表示权限的方法，称为绝对权限方法也称为数字权限方法法。由于用户的权限是用rwx来表示的，没有的权限对应位置上用“-”表示，有权限的位置可用1表示，没有权限的位置用0来表示，这样就会形成一个3位的二进制编码，然后将该二进制数转换成对应的十进制数，这样就得到一个0~7的数，从而就可以实现十进制数来表示用户对文件的权限。4.1.2修改文件访问权限的chmod命令(1)绝对权限方法命令格式：chmod[选项]绝对权限值

要修改的文件或目录名称chmod命令常用的选项是-R，其功能是可以递归设置指定目录下的全部文件(包括子目录和子目录中的文件)的权限。〖例4.1〗修改当前目录下test文件的访问权限使所有用户对该文件均有读写权限。#chmod666test4.1.2修改文件访问权限的chmod命令(2)相对权限方法使用相对权限方法修改文件权限，命令格式：chmod修改对象运算符用户权限

要修改的文件或目录名称其中修改对象可以是u(文件拥有者)、g(同组用户)、o(其他用户)、a(全体用户)的任意组合。运算符可以是+(添加)、-(删除)、=(只赋值)中的任意一个。用户权限上写的是r、w、x的任意组合。〖例4.2〗对文件test的组用户添加写权限chmodg+wtest。4.1.2修改文件访问权限的chmod命令(2)相对权限方法〖例4.3〗修改当前目录下test文件的访问权限使所有用户对该文件均有读写权限。#chmoda+rwtest或者#chmodugo+rwtest〖例4.4〗增加组用户对当前目录下file文件的写权限，取消其他用户对file文件的读权限。#chmodg+w，o-rfile如果修改前file文件的权限是644，那么修改后file文件的权限是660。4.1.3设置文件默认权限掩码的umask命令一般用户的默认umask值为002，系统用户的默认umask值为022。用户可以自主修改umask值，并在改动后立刻生效。对于文件，其可拥有的最大默认权限是666，即rw-rw-rw-。也就是说，使用文件的任何用户都没有执行（x）权限。因为执行权限是文件的最高权限，出于安全考虑，系统不允许为新创建的文件默认赋予执行权限，必须在创建新文件后用chmod命令增加可执行权限。对于目录，其可拥有的最大默认权限是777，即rwxrwxrwx。4.1.3设置文件默认权限掩码的umask命令命令格式：umask[-S][权限掩码]umask命令可以指定创建文件或者目录时预设的权限掩码。选项-S表示使用符号法表示权限掩码，不使用-S则表示使用数字法表示权限掩码。〖例4.5〗查看系统默认权限掩码。4.1.3设置文件默认权限掩码的umask命令〖例4.5〗修改系统默认权限掩码。4.1.4修改文件所有者的chown命令文件或目录的创建者，一般是该文件或目录的拥有者，对文件具有最高的使用权。root用户可以将一个文件或目录的拥有权转让给其他用户，使其他用户成为该文件或目录的拥有者。通过chown命令还可以修改文件所属的组。命令格式：chown[选项]新所有者.新用户组

要修改的文件或目录名称chown命令常用的选项是-R，其功能是可以递归设置指定目录下的全部文件(包括子目录和子目录中的文件)的所属关系。4.1.4修改文件所有者的chown命令〖例4.7〗将当前目录下的file文件的拥有者修改为tom，所属组改为tom组。#chowntom.tomfile

或者#chowntom:tomfile〖例4.8〗将当前目录下的file文件的所属组改为tom组。#chown.tomfile

或者#chown:tomfile注意“.”或“:”的作用。4.1.5提升用户权限使用su命令切换用户在su命令后加用户名，可以切换系统当前用户。在用户切换的时候，从root用户向普通用户可以直接进行切换，反之则需要root账号密码。这是因为root用户是系统中权限最高的用户，可以切换到任意身份而不需要密码。普通用户之间切换需要密码验证。在切换用户时，通常需要增加“-”选项，例如#su-tom命令表示切换到tom用户。“-”选项表示：切换用户时，使环境变量(home，Shell，user，logname，path等)和欲切换的用户相同，不使用该选项，则取得的只是用户的临时权限。4.1.5提升用户权限使用sudo命令提升权限root用户将普通用户的名字、可以执行的特定命令、按照哪种用户或用户组的身份执行等信息，登记在/etc/sudoers文件中，即完成对该用户的授权（此时该用户称为“sudoer”）。sudoer用户需要取得特殊权限时，可在命令前加上“sudo”，此时sudo将会询问该用户自己的密码（以确认终端前的是不是用户本人），回答后系统即会将该命令的进程以超级用户的权限运行，对于普通用户来讲不需要知道root用户的密码，这样可以提高系统的安全性。4.1.5提升用户权限使用sudo命令提升权限〖例4.9〗root用户需要创建一个普通用户teacherli具有管理员权限，并执行系统的日常维护工作。则可以把teacherli用户设为sudoer。第1步：查看是否已经安装了sudo#rpm–qa|grepsudosudo-1.8.6p7-16.el7.x86_64如果没有安装sudo，可以在系统光盘中找到sudo的rpm包进行安装：#rpm–ivh/media/Packages/sudo-1.8.6p7-16.el7.x86_64第2步：编辑/etc/sudoers文件在文件的最后插入：teacherliALL=(ALL)ALL保存退出。此后，以teacherli登录系统，就可以以sudo命令的方式进行系统的管理了。4.1.5提升用户权限使用sudo命令提升权限例：teacherli向系统添加用户lihua4.1.5提升用户权限使用sudo命令提升权限用户teacherli做为一个普通用户账号，是没有权限执行useradd命令向系统添加用户的，但是做为一个sudoer则可以通过使用$sudouseraddlihua然后在系统提示“[sudo]passwordforteacherli:”时输入teacherli的密码，确认后即可。如果需要指定某个用户只能执行指定的命令，则可以在/etc/sudoers文件中按照如下格式插入一行：用户账户名

可执行的命令列表例如，让john用户只具有执行添加用户组的命令权限。johnlocalhost=/usr/sbin/goupadd4.1项目一：对用户访问文件权限的基本设置操作过程：为方便实习生的操作，root管理员创建实习生专用账号wrestest01和wrestest02账户：#useraddwrestest01//创建用户wrestest001#useraddwrestest02//创建用户wrestest002其中一名实习生以wrestest01账号登录系统：$touch/tmp/ourfile//在/tmp目录下创建ourfile文件此时若其他用户修改文件ourfile，则系统会提示“文件只读”，而不能完成修改功能。因此需要设置用户对文件的访问权限。$chmod666/tmp/ourfile//修改ourfile文件的访问权限，使其他用户可以修改ourfile文件4.2项目二：文件特殊权限设置研发部近期成立一个项目组，由一名组长、两名组员和一名实习生构成。项目组所使用到的文件放在服务器的project目录中，项目组所有成员都可以访问该目录，但是身份不同，权限不同。（1）作为项目组长对project目录拥有rwx权限，同时可以管理其他组员的权限。（2）两名组员对project目录拥有rwx权限。（3）实习生对project目录拥有r-x权限。（4）其他人对project目录没有任何权限。序号知识点详见章节1用户管理命令3.1.3节2用户组管理命令3.2.3节3ACL权限概念4.2.1节4ACL权限管理与应用4.2.2节~4.2.4节4.2.1查看和开启系统对ACL权限的支持查看系统支持ACL权限

CentOS7系统中，默认支持ACL权限并处于开启状态，也可以通过如下方式查看Linux内核是否支持ACL.如图4.6，“CONFIG_XFS_POSIX_ACL=y”表示支持ACL。开启分区的ACL权限如果需要手动开启分区的ACL权限，则需要修改/etc/fstab文件，修改方法如下：[root@localhost~]#vim/etc/fstab/dev/mapper/cl-root/xfsdefaults,acl00//在default后面增加ACL权限4.2.2ACL权限管理用getfacl命令查看ACL权限的设置情况任何用户都可以使用getfacl

命令查看自己所拥有文件的ACL权限。命令格式：getfacl文件名〖例4.10〗wres03用户查看project目录的ACL权限。4.2.2ACL权限管理用setfacl命令设置ACL权限任何用户都可以使用setfacl命令，用来为其他用户或用户组设定对自己所拥有文件的访问权限。命令格式：setfacl[选项][u:用户名|g:用户组名][:权限]文件名〖例4.11〗wres03用户为wrestest03用户设置对/tmp/project目录的rx权限。4.2.2ACL权限管理用setfacl命令设置ACL权限〖例4.12〗删除wrestest03用户对/tmp/project目录的rx权限。$setfacl-xu:wrestest03/tmp/project〖例4.13〗删除/tmp/project目录的所有ACL权限。$setfacl-b/tmp/project〖例4.14〗创建dgroup用户组，并设置其对/tmp/project目录的rwx权限。4.2.3最大有效权限设置最大有效权限的命令格式setfacl-mm:---目录或文件名参数“m:--”表示为mask赋予的相应权限。〖例4.15〗为/tmp/project目录的mask赋予rx权限。4.2.3最大有效权限设置最大有效权限的命令格式〖例4.16〗验证除了所有者和other用户不受mask权限限制外，其他用户的权限都受mask权限限制。4.2.4递归ACL权限和默认ACL权限递归ACL权限所谓递归ACL权限，就是在设定用户或用户组对某目录的ACL权限时，同时使该用户或用户组对该目录的所有子目录和文件也都具有相同的ACL权限。命令格式:setfacl-m[u:用户名|g:用户组名]:权限-R目录名-R：设置递归ACL权限，该参数的位置不能改变。〖例4.17〗为用户组dgroup设置对目录/tmp/project及其子录和文件的读与执行的ACL权限。$setfacl-mg:dgroup:rx-R/tmp/project注意：递归ACL权限设置只对目录中已有的子目录和文件生效，对ACL权限设置后建立的子目录和文件是无效的，这时需要用到默认ACL权限。4.2.4递归ACL权限和默认ACL权限默认ACL权限如果给某目录设置了默认ACL权限，则在该目录下所有新建的子目录和文件都会继承相应的默认ACL权限。命令格式:setfacl-md:[u:用户名g:用户组名]:权限目录名d：设置默认(default)ACL权限。〖例4.18〗为用户wrestest03同时设置对目录/tmp/project的递归ACL权限和默认ACL权限。$setfacl-md:u:wrestest03:rx-R/tmp/project注意：不管是默认ACL权限，还是递归ACL权限，命令本身的作用对象是目录。4.2项目二：文件特殊权限设置操作过程：为方便实习生的操作，root管理员创建wres03和wres04账户：#cd/tmp#mkdirproject//创建项目目录project#ls-ldprojectdrwxr-xr-x.2rootroot62月2313:31project//project的默认访问权限是755#useraddwres03//创建用户wres03，wres04，wres05其中wres03作为组长账号#useraddwres04#useraddwres054.2项目二：ACL权限设置操作过程：#useraddwrestest03//创建实习生账号#groupaddgproject//创建用户组#chownwres03:gprojectproject//将project目录的所属用户改为wres03，所属用户组改为gproject#ls-ldprojectdrwxr-xr-x.2wres03gproject62月2313:31project//所属用户和组修改成功#gpasswd-awres03gproject//将wres03添加到gproject组#gpasswd-Awres03gproject//设置wres03作为gproject组的组长4.2项目二：ACL权限设置操作过程：以wres03用户登录，完成以下操作（继续使用root用户操作也可以）：$gpasswd-awres04gproject//将wres04，wres05添加到gproject组$gpasswd-awres05gproject$chmod770project//设置project的所属用户和组具有rwx权限，其他用户无权限$ls-ldprojectdrwxrwx---.2wres03gproject62月2313:31project//设置770权限成功$setfacl-mu:wrestest03:rx/tmp/project//为用户wrestest03设置对目录/tmp/project的ACL权限rx$setfacl-md:u:wrestest03:rx/tmp/project//为用户wrestest03设置对目录/tmp/project的默认ACL权限rx4.2项目二：ACL权限设置操作过程：$ls-ldprojectdrwxrwx---+2wres03gproject62月2313:31project//“+”表示已经分配了ACL权限$getfacl--omit-headerproject//查看详细的ACL信息user::rwxuser:wrestest03:r-x//wrestest03具有r-x权限group::rwxmask::rwxother::---default:user::rwxdefault:user:wrestest03:r-x//wrestest03具有默认ACL权限r-xdefault:group::rwxdefault:mask::rwxdefault:other::---4.3项目三：文件特殊权限设置接4.2节项目，项目组成立后，又对文件访问做了如下的规范：（1）项目组成员在project目录下创建的文件的所属组是gproject。（2）各用户只能删除自己创建的文件，不能删除其他用户创建的文。序号知识点详见章节1SGID权限4.3.2节2SBIT权限4.3.3节4.3.1SUID权限SUID介绍观察/usr/bin/passwd文件的权限：#ls-l/usr/bin/passwd-rwsr-xr-x.1rootroot278326月102014/usr/bin/passwd可以看出，文件/usr/bin/passwd的所有者root的权限是“rws”，这好像与前述章节介绍的用户对文件的权限只有3种(读、写和执行)的说法有些冲突，其实，这里的“s”权限就是SUID权限，它占据了原来“x”的位置。再观察/etc/shadow文件的权限：#ls-l/etc/shadow----------.1rootroot15042月2313:33/etc/shadow4.3.1SUID权限SUID介绍文件/etc/shadow的所有者，root具有最高权限，即使不设置权限，它依然具有最高文件操作权限。除root用户外的其他所有用户的权限也是“---”，为什么都可以修改/etc/shadow文件呢?密码是记录在/etc/shadow文件中的，修改密码的过程其实就是修改该文件的过程。该文件具有SUID权限，SUID权限的作用就是暂时为命令的执行者赋予命令所有者(root)权限，授权其行使命令所有者的权限，直到命令执行结束。也就是说，虽然普通用户没有修改/etc/shadow文件的权限，但是passwd命令具有SUID权限，所以普通用户可以通过passwd命令获得暂时的root权限，从而具备了修改/etc/shadow文件的权限。4.3.1SUID权限SUID介绍再来观察/bin/cat文件的权限#ls-l/bin/cat-rwxr-xr-x.1rootroot5408011月62016/bin/cat由于cat命令不具有SUID权限，所以普通用户在通过cat命令查看shadow文件内容时就会报出“权限不够”的错误。4.3.1SUID权限SUID介绍对SUID做几点说明:(1)只有命令（可执行二进制文件）才能被设定SUID权限(2)要为某命令文件设置特殊权限，命令执行者必须对该命令拥有执行(x)权限(3)命令执行者在执行该命令时获得该程序文件的所有者身份(4)SUID权限只在该命令执行过程中有效(5)要谨慎使用SUID权限，因为如果使用不当可能会带来灾难性后果。4.3.1SUID权限SUID介绍命令格式：chmodn755

文件名

或者chmodu+s

文件名其中，n可以是4、2、1、7中的任何一个数字，4代表SUID，2代表SGID，1代表SBIT，7代表SUID、SGID和SBIT。〖例4.19〗为cat命令设置SUID权限，使其他用户可以使用cat命令查看/etc/shadow文件内容(实践结束后务必还原，否则会给系统带来危险)。#chmod4755/bin/cat取消SUID权限的命令格式：chmod755文件名或者chmodu-s文件名4.3.2SGID权限SGID对文件的作用SGID作用于普通文件时，和SUID类似，在执行该文件时，用户将获得该文件所属组的权限。限就是SUID特殊权限，它占据了原来“x”的位置。〖例4.20〗举例说明具有SGID权限的二进制文件的执行过程。任何用户都可以用文件查找命令locate通过对/var/lib/mlocate/mlocate.db文件的搜索来查找文件。观察这两个文件的权限:#ls-l/var/lib/mlocate/mlocate.d-rw-r-----.1rootslocate25903882月2710:11/var/lib/mlocate/mlocate.db#ls-l/usr/bin/locate-rwx--s--x.1rootslocate4051211月52016/usr/bin/locate普通用户在执行locate命令时，其组身份被赋予了slocate身份，具有了slocate组对mlocate.db文件的读权限，从而实现了对mlocate.db文件的查找功能。命令执行结束后，用户的组身份立即还原为原来的组身份。4.3.2SGID权限SGID对目录的作用当用户对某一目录有写和执行权限时，该用户可以在该目录下建立文件，如果该目录用SGID修饰，则该用户在这个目录下建立的文件都属于这个目录所属的组。注意：(1)普通用户必须对目录拥有“r”和“x”权限，即可以用ls命令，可以进入该目录。(2)普通用户在进入该目录后会赋予该目录的所属组身份。(3)当普通用户对此目录拥有“w”权限时，新建文件的所属组就是这个目录的所属组。4.3.2SGID权限SGID对目录的作用〖例4.21〗举例说明SGID权限对目录的作用。#mkdir/tmp/sgidtest//以root身份新建一个sgidtest目录#chmod2777/tmp/sgidtest//为新目录赋予读、写执行和SGID权限#suwres04//切换用户wres04$cd/tmp/sgidtest//进入新目录，wres04被赋予所属组root的身份$ls-ld/tmp/sgidtest//验证确实具有读、写执行和SGID权限drwxrwsrwx.2rootroot62月2814:55/tmp/sgidtest$touchsgidfile//wres04在/tmp/sgidtest/下新建一个文件$mkdirsgiddir//wres04在/tmp/sgidtest/下新建一个目录$ls–l

drwxrwsr-x.2wres04root62月2814:57sgiddir//新建目录的所属组为root-rw-rw-r--.1wres04root02月2814:57sgidfile//新建文件的所属组为root4.3.2SGID权限设置和取消SGID权限为目录设置和取消SGID权限的命令语法类似SUID权限的设置和取消，也具有一定的危险性，使用时需要特别谨慎。设置SGID权限的命令格式：chmod2777目录名

或者chmodg+s目录名取消SGID权限的命令格式：chmod755目录名

或者chmodg-s目录名4.3.3SBIT权限SBIT的作用可称为黏着位、黏滞位、防删除位。SBIT权限仅对目录有效，设定了SBIT权限，则用户在此目录下创建的文件或目录，就只有自己和root用户才有删除的权限。例如：系统中的/tmp是一个临时目录，任何用户都可以在其中创建、删除、拷贝、粘贴文件或目录，但是每个用户只能删除自己创建的目录或文件，而不能删除其他用户创建的目录或文件，就是因为目录/tmp具有SBIT权限。查看目录/tmp的权限:#ls-ld/tmpdrwxrwxrwt.20rootroot40962月2814:55/tmp 可知，目录/tmp的所有者是root，所属组是root组，其他人对该目录拥有“rwt”权限，其中的“t”就是

SBIT权限。4.3.3SBIT权限设置和取消SBIT权限设置SBIT权限的命令格式：chmod1777目录名或者chmodo+t目录名取消SBIT权限的命令格式：chmod755目录名或者chmodo-t目录名4.3.3SBIT权限设置和取消SBIT权限〖例4.22〗创建一个新目录/tmp/sbittest，为该目录设置SBIT权限，验证在该目录下用户wres04创建的文件不能被其他用户(如wres05)删除。#mkdir/tmp/sbittest#chmod1777/tmp/sbittest//为/tmp/sbittest目录设置SBIT权限#ls-ld/tmp/sbittestdrwxrwxrwt.2rootroot62月2815:51/tmp/sbittest//验证SBIT权限设置成功#suwres04 //切换用户为wres04 $cd/tmp/sbittest$mkdirsbit04//以wres04身份创建一个目录sbit04$suwres05//切换用户为wres05$rm-rfsbittest//用户wres05删除目录sbittestrm:无法删除"sbittest":权限不够//wres05不能删除wres04创建的目录sbittest。4.3项目三：文件特殊权限设置操作过程：以wres03账号登录系统：$cd/tmp/project$chmodg+sproject//为project目录设置SGID权限$chmodo+tproject//为project目录设置SBIT权限4.4知识扩展——4.4.1设置文件系统属性的chattr命令作为服务器系统，Linux系统被不同的用户使用，因此，这些用户有机会访问一组共同的文件。可能会发生如意外删除或编辑重要文件等情况，作为管理员，可以使用chattr命令避免类似的情况发生。chattr（changefileattributes）命令用于改变文件系统属性。该命令只能由root用户使用并且chattr命令的设置对root用户也生效。命令格式：chattr[+|-|=][选项]文件名或目录名4.4知识扩展——4.4.1设置文件系统属性的chattr命令〖例4.23〗在/tmp目录下创建文件chattrfile，为其设置文件系统性，使任何用户不能删除、重命名该文件，也不能修改该文件内容。#cd/tmp#touchchattrfile#echohellolinux>>chattrfile//设置i属性前修改chattrfile文件中的内容#catchattrfilehellolinux //修改成功#chattr+ichattrfile //设置i属性

#lsattrchattrfile//查看chattrfile的文件系统属性----i-----------chattrfile//文件具备了i属性

#echotest>>chattrfile//修改文件内容-bash:chattrfile:权限不够//设置i属性后不能再修改文件内容#rm-rfchattrfile //删除文件

rm:无法删除"chattrfile":不允许的操作//设置i属性后不能再删除文件

4.4知识扩展——4.4.1设置文件系统属性的chattr命令〖例4.24〗/tmp目录下创建chattrdir目录，设置其文件系统属性，使任何用户不得在该目录下新建和删除文件，而只能修改该目录下的已有文件。#cd/tmp#mkdirchattrdir#cdchattrdir#touchchattrfile//设置i属性前可可以在chattrdir目录中新建文件#chattr+i/tmp/chattrdir//为目录chattrdir设置i属性#lsattr-d/tmp/chattrdir----i-----------/tmp/chattrdir //目录具备了i属性

#echolinux>>chattrfile//设置i属性后仍然可以修改目录chattrdir中的文件内容#rm-rfchattrfile rm:无法删除"chattrfile":权限不够//