Linux用户权限解析
目录
一、Linux用户权限解析
1、基本权限 UGO
权限对象:
基本权限类型:
1.1.设置权限
2、更改权限
使用符号
使用数字
2、权限案例 UGO
2.1.设置权限案例
2.2.rwx对文件的影响
实战案例1:rwx对文件的影响
2.3.rwx对目录的影响
实战案例2:对目录没有w,对文件有rwx
实战案例3:对目录有w,对文件没有任何权限。
小结
对文件:
对目录:
权限掩码
umask 用户掩码
高级权限
高级权限 suid(只对命令文件有效,大多为二进制文件),sgid(组继承),sticky
1.1高级权限的类型
1.2设置特殊权限
a、字符---语法:
b、数字
案例
Set UID 命令提权,主要针对命令
取消提权
Set GID (组继承)主要针对目录
案例
Sticky Bit T权限,主要针对目录。
案例
1.3.目前两种给普通用户提权手段:
案例
配置解释:
文件属性 chattr【扩展】
2.1文件属性添加与查看
一、Linux用户权限解析
我们linux服务器上有严格的权限等级,如果权限过高导致误操作会增加服务器的风险。所以对于了解linux系统中的各种权限及要给用户,服务等分配合理的权限十分重要。
1、基本权限 UGO
文件权限设置: 可以赋于某个用户或组 能够以何种方式 访问某个文件。
权限对象:
属主------->u 拥有者 拥有者权限。
属组------->g 拥有组 该文件所属组权限。
其他人------>o 其他人权限。
基本权限类型:
读(read):r ---->4
写(write):w ---->2
执行: x(exec) ----->1
案例:
r w x rw- r-- alice hr file1.txt
属主权限 属组权限 其他人权限 属主 属组 文件
U G O
前提条件:jack属于hr组
1、alice对file1.txt文件有什么权限?
2、jack对file1.txt文件有什么权限?
a. jack是所有者吗? b. jack属于hr组吗?
3、tom对file1.txt文件有什么权限?
a. tom是所有者吗? b. tom属于hr组吗? c. tom为其他人吗?
1.1.设置权限
Chown:改变文件或目录的所属主以及所属组。
Chmod:为文件或目录,设置访问权限UGO权限。
更改文件的属主(所有者)、属组(所属组)
chown 用户.组 文件
[root@linux-server ~]# chown alice.hr file1.txt //同时修改属主、属组
[root@linux-server ~]# chown tom file1.txt //只修改属主
[root@linux-server ~]# chown .it file1.txt //只改属组
[root@linux-server ~]# chown -R alice.hr dir1 //递归修改---针对目录(目录里的文件主以及主组都会改变。)
2、更改权限
使用符号
chmod u+x file1.txt //属主增加执行
chmod a=rwx file1.txt //所有人等于读写执行
chmod a=- file1.txt //所有人都没有权限
chmod ug=rw,o=r file1.txt //属主属组等于读写,其他人只读
[root@linux-server ~]# ll
-rw-rw-r--. 1 tom it 0 Nov 1 15:30 file1.txt
同时执行多个命令,中间用逗号隔开。
使用数字
读(read) :r ------->4
写(write) :w ------->2
执行 : x (exec) ----->1
[root@linux-server ~]# chmod 644 file1.txt
[root@linux-server ~]# ll file1.txt
-rw-r--r--. 1 tom it 0 Nov 1 15:30 file1.txt
2、权限案例 UGO
2.1.设置权限案例
针对hr部门的访问目录/home/hr设置权限,要求如下:
root用户和hr组的员工可以读、写、执行,其他用户没有任何权限。(root用户为超级管理员,无视UGO权限。)
2.2.rwx对文件的影响
实战案例1:rwx对文件的影响
有x,想执行前提有r。
2.3.rwx对目录的影响
想w,前提是有x。
x:对目录文件的影响是,决定了该用户是否可以进入到该目录。
r:针对目录,决定了该用户是否可以查看目录内的信息。
w:针对目录,需要有x权限的前提下,才能生效。其中w权限针对目录来说,决定了该用户是否可以在目录内创建文件(目录和普通文件)。
实战案例2:对目录没有w,对文件有rwx
实战案例3:对目录有w,对文件没有任何权限。
小结
对文件:
r----cat
w ---vi、vim (echo “内容” > 文件)
x ---- bash /dir/file
对目录:
r ---ls
w -----touch、rm
x ---- cd
对目录有w权限,可以在目录中创建新文件,可以删除目录中的文件(跟文件权限无关)。
注意事项:
文件: x 权限小心给予
目录: w 权限小心给予
权限掩码
umask 用户掩码
控制用户创建文件和目录的默认权限
#查看umask
[root@qfedu.com ~]# umask
0022 root账户默认
0002 普通用户默认
#root用户默认最高权限
目录777 文件666#通过计算得出root用户创建目录和文件的权限为:
也是现在root用户创建完目录和文件的默认权限:
目录:755
文件:644
#修改umask
[root@qfedu.com ~]# umask 0111
root 用户:创建目录默认最高权限755, 文件644。
普通用户:创建目录默认最高权限775, 文件664。
高级权限
高级权限 suid(只对命令文件有效,大多为二进制文件),sgid(组继承),sticky
1.1高级权限的类型
suid ==== 4 提权 (只对二进制命令文件生效,其他不管用)
sgid ==== 2 组继承 (只能对目录设置)
sticky == 1 (t权限) 权限控制
1.2设置特殊权限
a、字符---语法:
chmod u+s file
chmod g+s dir
chmod o+t dir
b、数字
chmod 4777 file
chmod 2770 dir
chmod 1770 dir
案例
Set UID 命令提权,主要针对命令
那么这个特殊权限的特殊性的作用是什么呢?
1、SUID权限仅对命令文件(二进制文件)有效;
2、执行者将具有该程序拥有者(owner)的权限。 所有普通用户都能像root一样随意使用该命令。
对所有用户进行单个命令的提权。
取消提权
ll /usr/bin/rm
-rwsr-xr-x. 1 root root 62864 Nov 6 2016 /usr/bin/rm
此时一旦给rm加上suid权限之后,普通用户相当于root用户。(即提权)
chmod u-s /usr/bin/rm #取消提权
Set GID (组继承)主要针对目录
把s放到文件的所属用户组的x位置上的话,就是SGID。那么SGID的功能是什么呢?和SUID一样,只是SGID是获得该程序所属用户组的权限。
SGID主要用在目录上-----如果用户在此目录下具有w权限的话,使用者在此目录下建立新文件,则创建的这个文件的群组与此目录的群组相同。
案例
[root@linux-server ~]# mkdir /opt/dir1 #创建目录
[root@linux-server ~]# groupadd hr #创建一个组
[root@linux-server ~]# chmod 775 /opt/dir1/ #给目录设置权限
[root@linux-server ~]# ll -d /opt/dir1/
drwxrwxr-x. 2 root root 6 Nov 6 21:26 /opt/dir1/
[root@linux-server ~]# chown .hr /opt/dir1/ #设置属组
[root@linux-server ~]# chmod g+s /opt/dir1/ #设置sgid
[root@linux-server ~]# ll -d /opt/dir1/
drwxrwsr-x. 2 root hr 6 Nov 6 21:26 /opt/dir1/
[root@linux-server ~]# touch /opt/dir1/a.txt 创建新文件
[root@linux-server ~]# ll /opt/dir1/a.txt 查看新文件
-rw-r--r--. 1 root hr 0 Nov 6 21:33 /opt/dir1/a.txt 新文件属组为设置属组
[root@linux-server ~]# chmod o+w /opt/dir1/ -R
[root@linux-server ~]# su - alice
Last login: Wed Nov 6 21:34:59 CST 2019 on pts/2
[alice@linux-server ~]$ touch /opt/dir1/b.txt
[alice@linux-server ~]$ ll /opt/dir1/b.txt
-rw-rw-r--. 1 alice hr 0 Nov 6 21:35 /opt/dir1/b.txt
Sticky Bit T权限,主要针对目录。
chmod o+/-t 目录
这个就是针对others来设置的了,和上面两个一样,只是功能不同而已。
SBIT(Sticky Bit)目前只针对目录有效,对于目录的作用是:当用户在该目录下建立文件或目录时,仅有自己与 root才有权力删除。
案例
[root@linux-server ~]# cd /home/
[root@linux-server home]# mkdir dir2 创建目录
[root@linux-server home]# chmod 757 dir2/ 给目录设置权限
[root@linux-server home]# chmod o+t dir2/ 给目录加上T权限
[root@linux-server home]# ll -d dir2/ 查看目录权限变化
drwxr-xrwt. 2 root root 52 Oct 31 16:49 dir2/
[root@linux-server home]# useradd jack #创建用户
[root@linux-server home]# su - alice 切换到普通用户1
Last login: Wed Nov 6 21:48:12 CST 2019 on pts/2
[alice@linux-server ~]$ touch /home/dir2/alice.txt #用户alice创建文件
[alice@linux-server ~]$ exit
logout
[root@linux-server home]# su - jack 切换到普通用户2
Last login: Wed Nov 6 21:48:36 CST 2019 on pts/2
[jack@linux-server ~]$ touch /home/dir2/jack.txt #用户2jack创建文件
[jack@linux-server ~]$ rm -rf /home/dir2/alice.txt 删除
rm: cannot remove ‘/home/dir2/alice.txt’: Operation not permitted
测试jack删除alice创建的文件,无法删除
1.3.目前两种给普通用户提权手段:
sudo: 有针对性,例如针对某个用户以能够以root的身份执行某些命令。需要在命令前加sudo。
suid: 基本针对所有用户,任何用户在执行有suid权限的程序时(例如/usr/bin/rm),都是以root身份在执行,缺少安全性。
sudo提权的用户必须有密码。除非加上NOPASSWD。
案例
放开所有命令使用权
配置解释:
root表示用户名
第一个 ALL 指示允许从任何终端、机器访问 sudo
第二个 (ALL) 指示 sudo 命令被允许以任何用户身份执行
第三个 ALL 表示所有命令都可以作为 root 执行
[root@linux-server ~]# visudo #打开配置文件 只能以root用户执行。
99 ## Allow root to run any commands anywhere
100 root ALL=(ALL) ALL(所有命令)
101 jack ALL=(ALL) NOPASSWD: ALL #添加内容
102 alice ALL=(ALL) NOPASSWD:/usr/bin/mkdir, /usr/bin/rm, /usr/bin/touch
103 ## Allows members of the 'sys' group to run networking, software,
测试
[root@linux-server ~]# su – jack
[alice@linux-server ~]$ touch /file
touch: cannot touch ‘/file’: Permission denied
[alice@linux-server ~]$ sudo touch /file
(此事jack用户的权限相当于root,所以命令成功执行)
没有密码,不能登陆,也不能使用sudo,那就passwd 用户名,设置密码,然后使用。
文件属性 chattr【扩展】
文件权限管理之: 隐藏权限防止root误删除
2.1文件属性添加与查看
[root@linux-server ~]# touch file1 file2 file3
1.查看文件属性
[root@linux-server ~]# lsattr file1 file2 file3
---------------- file1
---------------- file2
---------------- file3
2.设置权限
[root@linux-server ~]# chattr +a file1 不允许修改,只允许追加
[root@linux-server ~]# chattr +i file2 不允许做任何操作
[root@linux-server ~]# chattr +A file3 锁定访问时间。
[root@linux-server ~]# lsattr file1 file2 file3
-----a---------- file1
----i----------- file2
-------A-------- file3
i:即Immutable,系统不允许对这个文件进行任何的修改
a:即Append Only,系统只允许在这个文件之后追加数据,不允许任何覆盖或截断这个文件
A:即Atime,告诉系统不要修改对这个文件的最后访问时间
测试
[root@linux-server ~]# echo 111 > file1 #覆盖,只允许追加-bash: file1: Operation not
permitted[root@linux-server ~]# rm -rf file1 #不能删除rm: cannot remove ‘file1’: Operation not permitted[root@linux-server ~]# echo 111 >> file1 #追加[root@linux-server ~]# echo 111 > file2-bash: file2: Permission denied[root@linux-server ~]# echo 111 >> file2-bash: file2: Permission denied[root@linux-server ~]# rm -rf file2rm: cannot remove ‘file2’: Operation not
permitted[root@linux-server ~]# mv file2 file4mv: cannot move ‘file2’ to ‘file4’: Operation not permitted取消权限[root@linux-server ~]# chattr -a file1 [root@linux-server ~]# chattr -i file2
Linux用户权限解析相关推荐
- 【Android 逆向】Android 权限 ( Android 逆向中使用的 android.permission 权限 | Android 系统中的 Linux 用户权限 )
文章目录 一.Android 逆向中使用的 android.permission 权限 二.Android 系统中的 Linux 用户权限 一.Android 逆向中使用的 android.permi ...
- 03 linux用户权限和软件安装与管理
文章目录 linux用户权限和软件安装与管理 1. 用户.用户组.其他人概述 1.1 用户 1.2 用户组 2. 用户和用户组管理 2.1 Linux用户身份与用户组记录的文件 2.2 Linux系统 ...
- Linux入门到精通:第 3 关——Linux用户权限切换(第二章:Linux之用户管理)
第 3 关--Linux用户权限切换 任务描述 相关知识 图形化界面登录 案例演示 使用 login 命令登录 案例演示 使用 su 命令切换用户身份 案例演示 编程要求 评测说明 任务描述 恭喜你已 ...
- linux使用创建es用户,linux用户权限设置(安装elasticsearch7.x)
前言 今天下载了elasticsearch的7.x版本,使用bin/elasticsearch -d 启动后,报出如下错误: java.lang.RuntimeException: can not r ...
- linux用户权限简介,Linux用户及权限管理
[文件管理.管道.用户及组管理.用户及权限管理]\用户及组管理 用户与组管理 Linux系统是一个多用户多任务的分时操作系统,任何一个要使用系统资源的用户,都必须首先向系统管理员申请一个账号,然后以这 ...
- php 当前linux用户权限,Linux 下用户组别权限的理解
本篇讲述 Linux 用户组别权限的理解,希望给大家带来帮助. 先看操作历史记录.Last login: Thu Aug 3 03:31:18 2017 from 202.101.22.42 root ...
- linux 用户权限 数字,几个linux命令之用户权限相关命令
一.基本概念 1.用户是Linux系统工作中重要的一环,用户管理包括用户和组,在LINUX系统中可以给不同的用户或组针对某一文件或目录设定不同的操作权限,其中这些权限包括读(r,数字代号是4),写(w ...
- Linux用户权限相关命令
P60 用户权限相关命令 重点是用户和权限的相关概念.对于用户管理.组管理.修改权限的终端命令了解即可,以后的工作中使用频率也不高 在Linux中,每个系统都必须有一个账户,并且每一个用户针对不同的文 ...
- linux用户权限设置
一.提权 1.su 用户角色切换命令,永久提权. 示例:先创用户user01,设置密码登录,用user01进行操作命令. 2.sudo 临时提权.在Linux中,有时为了让普通用户获得root的执行权 ...
最新文章
- TensorFlow 2.0快速上手指南12条:“Keras之父”亲授 | 高赞热贴
- Django 下添加左侧字段显示和搜索
- Qt模态界面设置setWindowModality禁止其他界面响应
- 论文浅尝 | AMUSE: 基于 RDF 数据的多语言问答语义解析方法
- 安全领域多位世界级权威的智慧结晶——《黑客新型攻击防范:深入剖析犯罪软件》...
- Linux系统调用getuid的简单分析
- 网工路由交换相关配置
- QT显示图片和中途修改图片
- TFS2010的生成功能
- java web 发送短信_java程序或javaweb(网站)向手机发送短信
- 三种方式实现echarts树图的背景图片设置
- 文件上传绕waf(waf拦不住我)
- Java后端架构师的成长之路(二)——Java设计模式(3)
- Win10 开机突然蓝屏错误代码0xc0000001安全模式也进不了,不用重装系统怎么修复?(已解决)八个解决参考方案
- 第十届蓝桥杯C语言B组题解
- word2vec的参数选择及原理简介
- 参观计算机实验室后的感想,参观实验室心得体会.doc
- CAN\CANFD\FlexRay\LIN 一文深度解析常见通信协议
- h5设计师 赚钱_作为设计师赚钱的10种方法
- 有趣的数字环的算法实现