Linux系统中一切都是文件,Linux的权限是基于文件的。但每个文件的类型不尽相同,Linux系统使用了不同的字符来加以区分

-:普通文件。

d:目录文件。

l:链接文件。

b:块设备文件。

c:字符设备文件。

p:管道文件。

Linux每个文件都有所属的所有者和所有组,并且规定了文件的所有者、所有组以及其他人对文件所拥有的可读(r)、可写(w)、可执行(x)等权限

r:能够读取文件的实际内容。

w:能够编辑、新增、修改、删除文件的实际内容。

x:能够运行一个脚本程序。

假如文件是一个目录,那可执行(x),是代表什么 呢?

对于目录,r表示可以查看该目录下的文件列表;w表示可以在目录内新增、删除、重命名文件;x表示可以进入该目录

linux查看文件权限命令(linux文件的执行权限)(1)

文件权限

格式:文件类型 访问权限 所属用户 所属组 占用磁盘大小 修改时间 文件名

如上图:-rw-rw-r--. drwxr-xr-x.

-表示普通/可执行文件,d是目录。w-rw-r--. 为什么有这么多权限符号呢

Linux描述一个文件的权限分为三组,三个符号为一组。拿rwxr-xr-x 来说

第一组rwx:表示这个文件的拥有者对它的权限:可读可写可执行(此处为zhy)

第二组r-x:表示这个文件的所属组对它的权限:可读不可写可执行(此处为zhy)

第三组r-x:表示其他用户对它的权限:可读不可写可执行

linux查看文件权限命令(linux文件的执行权限)(2)

home文件信息

ll -d /home/ --time-style=long-iso

通过分析可知,该文件的类型为目录,所有者权限为可读、可写、可执行(rwx),所属组权限为可读、可执行(r-x),除此以外的其他人也可读、可执行(r-x),文件的磁盘占用大小是28字节,最近一次的修改时间为2021-04-11 14:15,目录文件的名称为home。

linux查看文件权限命令(linux文件的执行权限)(3)

用户组权限问题(1)

linux查看文件权限命令(linux文件的执行权限)(4)

用户组权限问题(2)

linux查看文件权限命令(linux文件的执行权限)(5)

目录的rwx权限(3)

linux查看文件权限命令(linux文件的执行权限)(6)

目录的r权限(4)

图1验证用户的附加组权限,这里有个问题:图2明明把zhy 用户从root组中移除

了,但依然可对web目录作出编辑操作

图3验证目录的rwx权限,除去x,cd web/ 返回权限不够;除去r,ll web/ 返回没有权限;

加回r权限后,之所以web/2.txt 权限不够,是因为ll 读取时,无法cd 进入web目录,通过节点id,读取文件的信息,ll 只获取到web目录下的文件id列表

linux查看文件权限命令(linux文件的执行权限)(7)

groups与groups user 不一致

给用户添加或删除 附加组后,id、groups不会刷新,需重启才能获到正确的权限(CentOS Linux release 7.7.1908 (Core)版本有此问题,CentOS Linux release 6.4(Final)正常)

更改文件的所属者和所属组

chown [-R] user[:group] file

-R: 更改指定目录以及其子目录下的所有文件

:group: 更改的目标所属组

chgrp [-R] group file

chown tomcat 1.txt: 更改1.txt的所属用户为tomcat

chown :tomcat 1.txt:更改1.txt的所属组为tomcat

find ./ -perm -006 -exec chmod o-w {} \;

找到当前目录下只要其它用户有读写权限,并且将其改为读权限 。{}为 循环到的文件名

需要具有root权限

如:useradd tomcat;groupadd tomcat;chown tomcat:tomcat 1.txt

更改文件的权限

chmod [-R] [ugoa...][[+-=][rwxX]...] file
-R:更改指定目录以及其子目录下的所有文件
u:  此文件的所属者
g: 此文件的所属初始基本组
o:其他用户
a:   等效于ugo

+:加某某权限
-:减某某权限
=:赋予某某某权限,重新设置

r:	设置为可读权限
w: 设置为可写权限
x:	设置为可执行权限
X:	特殊执行权限	只有当文件为目录文件,或者其他类型的用户有可执行权限时,才将文件权限设置可执行
s:	setuid/gid	当文件被执行时,根据who参数指定的用户类型设置文件的setuid或者setgid权限
t:	粘贴位	设置粘贴位,只有超级用户可以设置该位,只有文件所有者u可以使用该位

命令:

一般使用格式

chmod u+r test.txt; chmod g+r test.txt; chmod o+r test.txt ==

chmod ugo+r test.txt == chmod a+r test.txt

chmod u+r, g+r, o+r test.txt test1.txt 同时设置多个文件的权限

chmod -R a+rw * 设置当前目录下的所有档案与子目录皆设为任何人可读写

数字权限使用格式

每个权限都可以用一个二进制数1和 0表示,而三个权限一组,共三组。故一个完整的文件权限可用9个二进制数表示,再简化为三个八进制数字形式。如:

rwx = 4 + 2 + 1 = 7

rx = 4 +1 = 5

rw = 4 + 2 = 6

rwxr-xr-x :111 101 101:755

chmod u=rwx,g=rwx,o=rwx test.txt == chmod a=rwx test.txt == chmod 777 test.txt

文件的附加权限

linux除了设置正常的读写操作权限外,还有关于一类设置也是涉及到权限,叫做Linxu附加权限。包括 SET位权限(suid,sgid)和粘滞位权限(sticky)。

1. SUID

让执行者临时拥有所属用户的权限(对拥有执行权限的二进制程序进行设置);

让普通用户临时获得程序所有者的身份

意思是进程执行一个文件时通常保持进程拥有者的UID。然而,如果设置了可执行文件的suid位,进程就获得了该文件拥有者的UID

如果文件设置了suid还设置了x位,则相应的执行位表示为s(小写)。但是,如果没有设置x位,它将表示为S(大写)。如:


-rwsr-xr-x 表示设置了suid,且拥有者有可执行权限

-rwSr--r-- 表示suid被设置,但拥有者没有可执行权限

linux查看文件权限命令(linux文件的执行权限)(8)

SUID(1)

linux查看文件权限命令(linux文件的执行权限)(9)

SUID(2)

2. SGID

让执行者临时拥有属组的权限(对拥有执行权限的二进制程序进行设置);

在某个目录中创建的文件自动继承该目录的用户组(只可以对目录进行设置)。

SUID差不多,只是获取到文件所属组的权限,把进程拥有者改成进程组了


-rwxr-sr-x 表示sgid被设置,且群组用户有可执行权限

-rw-r-Sr-- 表示sgid被设置,但群组用户没有可执行权限

linux查看文件权限命令(linux文件的执行权限)(10)

SGID(1)

linux查看文件权限命令(linux文件的执行权限)(11)

SGID(2)

命令:ls -ld `which rm`; which rm 与 whereis rm

说明:只有在可执行二进制文件上设置SUID和SGID位,且执行者有执行权限(o+x),命令运行时会获取标记位的用户或属组身份去执行,注,shell文件无法获取到标记位身份

以下命令可以发现系统上运行的所有SUID可执行文件。具体来说,命令将尝试查找具有root权限的SUID的文件

find / -user root -perm -4000 -print 2>/dev/null

从/目录中查找具有SUID权限位且属主为root的文件并输出他们,然后将所有错误重定向到/dev/null,从而就列出该用户具有访问权限的那些二进制文件

find / -perm -u=s -type f 2>/dev/null

find / -user root -perm -4000 -exec ls -ldb {} \;

ls -l | grep '^...s'

ls -l | grep '^...s..s'

find `pwd` -exec whoami \;

3. SBIT

一般用于为目录设置特殊的附加权限,当目录被设置了粘滞位权限后,即便用户对该目录有写的权限,也不能删除该目录中其他用户的文件数据

一个文件或目录被设置了粘滞位权限,会表现在其他组用户的权限的可执行位上。如果文件设置了sticky还设置了x位,其他组用户的权限的可执行位为t。但是,如果没有设置x位,它将表示为T(大写)。如:

-rwsr-xr-t 表示设置了粘滞位且其他用户组有可执行权限
-rwSr--r-T 表示设置了粘滞位但其他用户组没有可执行权限

SGID标志位可以设置共享目录,SBIT标志位限制不能删除或修改其他用户的文件

linux查看文件权限命令(linux文件的执行权限)(12)

SBIT

命令:

一般使用格式

chmod u+s,g+s,o+t /bin/rm

数字权限使用格式

在原来三组的基础上增加一组表示附加权限,其中:

4:SUID标志

2:SGID标志

1:SBIT标志

chmod 4777 /bin/rm; chmod 6777 /bin/rm;chmod 7777 /bin/rm;

文件的隐藏权限

chattr + | - [参数] 文件  设置或去除文件的隐藏权限
i:无法修改,若是目录,则就能修改子文件内容,不能新建,重命名,删除
a: 只能追加内容
d:使用dump命令备份时忽略此文件
c:默认将文件压缩
x:可以直接访问压缩文件中的内容

linux查看文件权限命令(linux文件的执行权限)(13)

隐藏权限用ls 之类的命令查不出来,需用 lsattr

lsattr 文件 查看隐藏权限

linux查看文件权限命令(linux文件的执行权限)(14)

文件访问控制列表(ACL)

对某个指定的用户或 用户组设置文件或目录的操作权限,如果是对目录设置了ACL,则目录中的文件继承其ACL;若是文件设置了ACL,则不继承其所在目录的ACL

setfacl [参数] [u|g]:[user|group]:权限码 文件名

-R:目录文件递归

-m: 文件

-b:删除ACL

getfacl 文件名 显示文件上设置的ACL信息

linux查看文件权限命令(linux文件的执行权限)(15)

su 和 sudo

su:切换用户,通常中间加 - ,表示环境变量信息也更改为新用户信息,root的用户切换别的用户不需要密码,但普通用户切root用户需要输入root密码,有暴露的风险,故一般设置sudo,授权相应的命令给普通用户执行。其实sudo也是用的 SUID附件权限

linux查看文件权限命令(linux文件的执行权限)(16)

linux查看文件权限命令(linux文件的执行权限)(17)

需要在/etc/sudoers 文件中配置,如:zhy ALL=NOPASSWD: /usr/bin/cat