《Linux操作系统》课件-6.Linux权限管理

1.文件属性学习任务01基于文件的用户类型02文件属性解读与查看用户类型01文件拥有者（u）02文件所属组成员（g）03其他用户（o）Linux用户类型自己（owner）同组（group）其他（others）问题一：对于一个文件来说可以有几种访问方式？只允许用户自己访问01允许用户组中的用户访问02允许系统中任何用户访问03老师出镜，要有动画问题二：如何查看文件的属性？通过ls–l命令查看2.umask01umask的计算方法02更改umask值将/tmp/test目录的所有者和所属组更改为linuxstudy在test目录下创建dir1、dir2、dir3三个目录进入dir2目录并创建file1、file2、file3、file4、file5五个空文件使用ls-l命令来查看这些目录以及文件的属性信息文件目录的默认权限命令名称：umask使用方式：umask[-S][权限掩码]参数

：-S以文字的方式来表示权限掩码说明：umask可用来设定权限掩码。权限掩码由3个八进制数字组成，将现有的存取权限减掉权限掩码后，即可产生建立文件时预设的权限。即目录默认权限为rwxr-xr-x，表示目录的所有者拥有读写执行权，目录的所属组拥有读写和执行权，除了目录所有者和所属组之外的其他人拥有的权限为读和执行权。777－022=755默认权限022系统默认值777权限最大值权限755为目录的默认权限，而文件的默认权限为644，即rw-r--r--，表示文件的所有者拥有读写权，文件的所属组拥有读的权限，除了文件所有者和所属组之外的其他人拥有读的权限为。777－022=755默认权限022系统默认值777权限最大值

因为对于Linux系统的默认权限的设置是基于系统的安全性考虑的，对于一个目录来说，基本的权限是读和执行权，即用户可以查看目录内容及切换到该目录，而对于文件的执行权来说意味着该文件（脚本或程序）可以被执行。如果系统中的所有文件默认能够被执行，则可能导致出现安全漏洞，使得一个木马病毒文件可以被执行。因为文件和目录的默认权限是基于安全性考量而设置的。为什么文件和目录的默认权限不同呢？注意：如果umask的部分位或全部位为奇数，那么，在对应为奇数的文件权限位上计算结果分别再加1就是最终文件权限值。666－umask值文件的最终权限666创建文件默认的最大权限文件与目录的权限默认文件权限计算方法1）假设umask值为：022（所有位数为偶数）666==>文件的起始权限值022-==>umask的值--------644默认文件权限计算方法2）假设umask值为：045（其他用户组为奇数）666==>文件的起始权限值045-==>umask的值--------621==>计算出来的权限。由于umask的最后一位数字是5，所以，在其他用户组位再加1。001+--------622==>真实文件权限默认目录权限计算方法777==>目录的起始权限值022-==>umask的值--------7553.主机ACL01什么是主机ACL02如何设置主机ACL权限Internet172.17.0.0172.16.0.0管理员控制台ACL是访问控制列表的所写，其主要功能是限制用户、进程或设备对网络资源的访问权限。Internet172.17.0.0172.16.0.0管理员控制台ACL通常由一组规则（即ACL条目）组成，每个ACL条目定义了一种访问控制策略，包括允许或拒绝特定类型的流量或访问请求。在LInux系统中，ACL的主要目的是在提供传统的

owner,group,others

的read,write,execute

权限之外的细部权限设置。ACL可以针对单一使用者，单一文件或目录来进行

r,w,x

的权限规范，对于需要特殊权限的使用状况非常有帮助。01针对使用者，来设置权限，用user表示02针对群组为对象来设置其权限；用group表示03针对在该目录下在创建新文件/目录时，规范新数据的默认权限ACL主要可以针对哪些方面来控制权限呢？命令名称：setfacl使用方式：

setfacl[选项][文件/目录]通过setfacl设置ACL权限setfacl

命令的常用选项m：添加新的ACL项x：删除ACL项R：递归地为目录及其子目录设置ACLb：删除文件或目录的所有ACLk：删除默认ACL是管理文件和目录访问权限的强大工具允许用户为单个文件或目录添加或删除特定用户或组的权限用户可以更好地控制对文件和目录的访问setfacl

命令命令名称：getfacl使用方式：

getfacl[OPTIONS]FILE说明

：是Linux/Unix系统中用于查看文件或目录的访问控制列表（ACL）的命令，它可以显示文件或目录的ACL信息，也可以将ACL信息保存到文件中备份或恢复。通过getfacl查看ACL权限getfacl命令的常用选项选项描述-R递归显示目录下所有文件和子目录的ACL信息-p显示权限信息，而不仅仅是ACL信息-s显示ACL信息的摘要信息-b显示ACL信息的二进制格式-n显示UID和GID而不是用户名和组名-h显示ACL信息时，将UID和GID转换成对应是用户名和组名让用户查看和管理ACL信息，从而更好地控制文件和目录的访问权限。掌握getfacl命令的使用方法，用户可以更好地管理系统资源，保护系统安全。getfacl命令4.多用户与多任务管理01权限表示02权限设置本章内容要点01理解Linux系统的权限本章学习目标02掌握设置基本操作权限03学会设置特殊权限04学会设置ext2/3/4的文件扩展属性05学会设置FACL权限权限概述Linux是多用户的操作系统，允许多个用户同时在系统上登录和工作为了确保系统和用户的安全采取了如下安全措施：通过UID/GID确定每个用户在登录系统后都做了些什么通过UID/GID来区别不同用户所建立的文件或目录每个文件或目录都属于一个UID和一个GID权限概述每个进程都使用一个UID和一个或多个GID来运行通常由被运行进程的用户决定超级用户具有一切权限，无需特殊说明普通用户只能不受限制的操作主目录及其子目录下的所有文件，对系统中其他目录/文件的访问受到限制三种基本权限权限描述字符对文件的含义对目录的含义读权限r可以读取文件的内容可以列出目录中的文件列表写权限w可以修改或删除文件可以在该目录中创建或删除文件或子目录执行权限x可以执行该文件可以使用cd命令进入该目录三种基本权限（续）目录上只有执行权限，表示可以进入或穿越他进入更深层次的子目录。目录上只有执行权限，要访问该目录下的有读权限的文件，必须知道文件名才可以访问。目录上只有执行权限，不能列出目录列表也不能删除该目录。三种基本权限（续）目录上执行权限和读权限的组合，表示可以进入目录并列出目录列表。目录上执行权限和写权限的组合，表示可以在目录中创建、删除和重命名文件。分配三种基本权限文件和目录的使用者属主、同组人、其他人分配三种基本权限权限分配属主的权限：用于限制文件或目录的创建者属组的权限：用于限制文件或目录所属组的成员其他用户的权限：用于限制既不是属主又不是所属组的能访问该文件或目录的其他人员分配三种基本权限权限的优先顺序如果UID匹配，就应用用户属主（user）权限否则，如果GID匹配，就应用组（group）权限如果都不匹配，就应用其它用户（other）权限查看文件/目录的权限通过给三类用户分配三种基本权限，就产生了文件或目录的9个基本权限位[osmond@soho~]$ls-l总计12-rw-rw-r--1osmondfamily006-1620:43abcdrwxr-xr-x2osmondfamily409606-1620:43docs-rw-rw-r--1osmond

osmond115506-1620:44mylist.txtdrwxr-xr-x3osmond

osmond409605-1613:32nobp文件类型文件权限硬链接数或目录包含的文件数文件所有者文件所有者所在的用户组文件长度文件上次修改的时间和日期文件名-表示无权限文件/目录的权限[osmond@soho~]$ls-ldocsdrwxr-xr-x2osmondfamily409606-1620:43docs所有者的权限同组用户权限其他用户权限文件类型第一个字段的第2～10个字符是用来表示权限这9个字符每3个一组，组成3套权限控制文件/目录的权限[osmond@soho~]$ls-ldocsdrwxr-xr-x2osmondfamily409606-1620:43docs所有者的权限同组用户权限其他用户权限文件类型第一套控制文件所有者的访问权限第二套控制所有者所在用户组的其他成员的访问权限第三套控制系统其他用户的访问权限常见的权限字符串及其含义字符串八进制数值说明-rw-------600只有属主才有读取和写入的权限。-rw-r--r--644只有属主才有读取和写入的权限；同组人和其他人只有读取的权限。-rwx------700只有属主才有读取、写入、和执行的权限。-rwxr-xr-x755属主有读取、写入、和执行的权限；同组人和其他人只有读取和执行的权限。-rwx--x--x711属主有读取、写入、和执行权限；同组人和其他人只有执行权限。-rw-rw-rw-666每个人都能够读取和写入文件。-rwxrwxrwx777每个人都能够读取、写入、和执行。drwx------700只有属主能在目录中读取、写入。drwxr-xr-x755每个人都能够读取目录，但是其中的内容却只能被属主改变。与权限相关的命令chmod改变文件或目录的权限chown改变文件或目录的属主（所有者）与权限相关的命令chgrp改变文件或目录所属的组umask设置文件的缺省生成掩码修改文件/目录的权限更改已有文件或目录的访问权限使用chmod命令修改文件/目录的权限chmod命令有两种设置方法文字设定法使用字母和操作符表达式来修改或设定文件的访问权限chmod[-R]<文字模式>

<文件或目录名>

数值设定法使用八进制数字来设定文件的访问权限chmod[-R]<八进制模式>

<文件或目录名>-R选项表示对目录中的所有文件或子目录进行递归操作chmod的文字设定法chmod[who][+|-|=][permission]

文件或目录名操作对象操作符号访问权限操作对象操作方法访问权限u属主（user）+添加某权限r读g同组（group）-删除某权限w写o其他（others）=直接赋予某权限并取消其他所有权限x执行a所有（all）-无权限在一个命令行中可给出多个权限模式，其间用逗号间隔chmod的文字设定法举例chmodu+rwmyfilea+rx,u+wmyfileu+rwx,g+rx,o+rxmyfilea+rwx,g-w,o-wmyfilea=rwxmyfilego=rxmyfileu-wx,go-xmyfilea+xmyfilechmod的文字设定法举例续chmod+rmyfile

chmoda+rmyfilechmod+xmyfile

chmoda+xmyfile

chmod+wmyfile

chmodu+wmyfile

chmod=rmyfile

chmoda=rmyfilechmod的文字设定法举例续chmod=wmyfile

chmodu=wmyfilechmodo=myfile

chmodo=-myfilechmodu=rw,g=,o=projectschmod-Ru=rwx,go=projectschmod的数字设定法chmodn1n2n3文件或目录名使用三个数字模式来表示，分别代表用户（n1）、同组用户（n2）和其它用户（n3）的访问权限每个数字模式（n1|n2|n3）由不同权限所对应的数字相加得到一个表示访问权限的八进制数字权限对应数字r4w2x1-0-rw-r--r--644drwx--x--x711drwx------700-rwxr-xr-x755chmod的数字设定法举例chmod644myname.txt设定文件myname.txt的权限属性为：-rw-r--r--chmod750myname.txt设定文件myname.txt的权限属性为：-rwxr-x---chmod的数字设定法举例chmod700mydata/设定目录mydata的权限属性为：drwx------改变文件/目录属主或组只有root用户才能改变文件的所有者只有root用户或所有者才能改变文件所属的组用chown命令改变属主和/或组chown[-R]<用户名[<.|:>组名]><文件｜目录>chgrp被用来改变所属组chgrp[-R]<组名><文件｜目录>改变属主或组举例chownsoftmyfilechgrpsoftgrpmyfilechown.softgrpmyfilechown-Rsoftmydirchgrpsoftgrpmydirchown-R:softgrpmydirchown-Rsoft.softgrpmydir设置生成文件/目录时的默认权限创建新文件或新目录时，系统都会为它们指定默认的访问权限，这个缺省的访问权限就由umask值来决定。用户可以使用umask命令设置文件的默认生成掩码。默认生成掩码告诉系统当创建一个文件或目录时不应该赋予其哪些权限。设置生成文件/目录时的默认权限系统不允许用户在创建一个普通文件时就赋予它可执行权限，必须在创建后用chmod修改。目录则允许设定可执行权限。umask命令查看当前umask值格式：umask[-S]修改当前umask值格式：umasku1u2u3u1表示的是不允许属主有的权限u2表示的是不允许同组人有的权限u3表示的是不允许其他人有的权限umask命令RHEL/CentOS默认的umask值普通用户的umask是002root用户的umask是022umask值与文件/目录权限常见umask值与新建文件/目录的权限对应表umask值新建目录的访问权限新建文件的访问权限022777-022=755666-022=644027777-027=750666-027=640002777-002=775666-002=664006777-006=771666-006=660007777-007=770666-007=660设置umask值的方法使用umask命令临时设置在Shell环境配置文件中设置RHEL/CentOS默认在/etc/bashrc中设置用户可以在~/.bashrc中重新设置在/etc/fstab的文件系统挂装参数中指定例如：在/etc/fstab的挂装选项中加入umask值/dev/sda10/homeext3noauto,umask=022,iocharset=cp936,ro,users00文件权限的设置准则尽量使用私有组，保护用户各自的文件或目录。把权限设置为777或666的世界可读写的权限是不明智的，应该尽量避免使用。文件权限的设置准则应随时了解指定给文件和目录的权限，定期检查文件和目录以确保指定了正确的权限。如果在目录下发现陌生的文件请向系统管理员或安全人员报告为文件和目录指定权限时请慎重考虑只有在具有充分的理由时再将访问权限授予他人。例如处理小组项目时组员可能需要访问特定的文件或目录需要让他人访问特殊权限suid：使用命令的所属用户的权限来运行，而不是命令执行者的权限sgid：使用命令的组权限来运行可执行文件的特殊权限特殊权限sgid：在设置了sgid权限的目录中创建的文件会具备该目录的组权限sticky-bit：在带有粘滞位的目录中的文件只能被文件的所属用户和root用户删除，不管该目录的写入权限是如何设置的目录的特殊权限特殊权限的文字表示方法SUID和SGID用s表示；Sticky-bit用t表示SUID是占用属主的x位置来表示SGID是占用组的x位置来表示sticky-bit是占用其他人的x位置来表示特殊权限的文字表示方法例如-rwsr-xr-x1rootroot234202010-08-11/usr/bin/passwd-rwxr-sr-x1roottty1108403-1021:28/usr/bin/write-rwsr-sr-x1rootroot3154162010-01-06/usr/bin/crontabdrwxrws---3rootadmin409606-1801:01/admin/salesdrwxrwxrwt5rootroot409606-1801:01/tmp特殊权限的数值表示方法chmodn0n1n2n3文件或目录名使用一个单独的数字模式（n0）由不同权限所对应的数字相加得到一个表示特殊权限的八进制数权限对应数字SUID4SGID2Sticky-bit1-0-rwsr-sr-x6755drwxrwxrwt1777drwxrws---2770-rwxr-xr-x0755-rwsr-xr-x4755-rwxr-sr-x2755使用chmod设置特殊权限为程序~/bin/myapp添加SUID权限#chmodu+s~/bin/myapp#chmod4755~/bin/myapp0123/45601/56YOURBANK使用chmod设置特殊权限为目录/home/groupspace添加SGID权限#chmodg+s/home/groupspace#chmod2755/home/groupspace0123/45601/56YOURBANK使用chmod设置特殊权限为目录/home/share添加sticky-bit权限#chmodo+t/home/share#chmod1755/home/share0123/45601/56YOURBANKext2/3/4的文件扩展属性Linux内核中有大量安全特征。EXT2/3/4文件系统的扩展属性（ExtendedAttributes）可以在某种程度上保护系统的安全。常见的扩展属性属性说明A（Atime）告诉系统不要修改对这个文件的最后访问时间。S（Sync）一旦应用程序对这个文件执行了写操作，使系统立刻把修改的结果写到磁盘。a（AppendOnly）系统只允许在这个文件之后追加数据，不允许任何进程覆盖或者截断这个文件。如果目录具有这个属性，系统将只允许在这个目录下建立和修改文件，而不允许删除任何文件。i（Immutable）系统不允许对这个文件进行任何的修改。如果目录具有这个属性，那么任何的进程只能修改目录之下的文件，不允许建立和删除文件。显示ext2/3/4的文件扩展属性lsattr命令格式lsattr[-adR][文件|目录]-a:全部文件，包含隐含文件-d:目录本身，而非目录中的内容-R:递归方式，包含子目录显示ext2/3/4的文件扩展属性举例lsattrmyfilelsattr-R/etclsattr-d/etc修改ext2/3/4的文件扩展属性chattr命令格式chattr[-R][[-+=][属性]]<文件|目录>设置方式：添加（+）、删除（-）、直接设置（=）常用属性：A（Atime）、S（Sync）、a（AppendOnly）、i（Immutable）修改ext2/3/4的文件扩展属性举例chattr+amy.logchattr+i/etc/passwdchattr-i/etc/passwd设置文件扩展属性注意事项虽然属性能够提高系统的安全性，但是它并不适合所有的目录。为了保证系统的正常运行，注意如下目录的扩展属性/文件系统不能设置immutable属性/dev目录不能设置immutable和append-only属性/tmp目录不能设置immutable和append-only属性/var目录不能设置immutable属性文件访问控制列表简介IEEEPOSIX1003.1e制定了ACL标准FACL是访问控制列表（FileAccessControlLists）的缩写，简称ACL文件访问控制列表简介ACL给予用户和管理员更灵活的控制文件读写和权限赋予的能力ACL是标准UNIX文件属性（r，w）的附加扩展ACL可以针对任意指定的用户/组分配RWX权限ACL允许用户共享文件避免使用冒险的777权限文件访问控制列表简介支持FACL的操作系统主流的商业UNIX系统FreeBSD、Linux系统Linux的FACL支持ACL需要内核和文件系统的同时支持Linux从2.6内核开始提供了对EXT2/EXT3,JFS,XFS,ReiserFS等文件系统的ACL支持。Linux的FACL支持ACL的文件系统支持通过文件系统的挂装选项实现ACL支持#mount-t