Linux文件权限

文章目录

Linux文件权限
0 背景
1 用户信息
2 密码
3 用户管理
- 3.1 添加新用户
- 3.2 删除用户
- 3.3 修改用户
- - 3.3.1 usermod
  - 3.3.2 passwd和chpasswd
  - 3.3.3 chsh、chfn和chage
4 使用linux用户组
- 4.1 创建新组
- 4.2 修改分组
5 文件权限
- 5.1 理解文件权限
- 5.2 默认文件权限
- 5.3 改变安全性设置
- - 5.3.1 改变权限
  - 5.3.2 改变所属关系
- 5.4 共享文件
6 总结

0 背景

本文内容总结自《Linux命令行与shell脚本编程大全》。

1 用户信息

root用户账户是Linux系统的管理员，固定分配给它的UID是0。

Linux系统会为各种各样的功能创建不同的用户账户，而这些账户并不是真的用户。这些账户叫作系统账户，是系统上运行的各种服务进程访问资源用的特殊账户。

Linux为系统账户预留了500以下的UID值。有些服务甚至要用特定的UID才能正常工作。

/etc/passwd文件

登录用户名
用户密码
用户账户的UID（数字形式）
用户账户的组ID（GID）（数字形式）
用户账户的文本描述（称为备注字段）
用户HOME目录的位置
用户的默认shell

root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
systemd-network:x:192:192:systemd Network Management:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
polkitd:x:999:998:User for polkitd:/:/sbin/nologin
libstoragemgmt:x:998:997:daemon account for libstoragemgmt:/var/run/lsm:/sbin/nologin
abrt:x:173:173::/etc/abrt:/sbin/nologin
rpc:x:32:32:Rpcbind Daemon:/var/lib/rpcbind:/sbin/nologin
apache:x:48:48:Apache:/usr/share/httpd:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
chrony:x:997:995::/var/lib/chrony:/sbin/nologin
tcpdump:x:72:72::/:/sbin/nologin
dockerroot:x:996:993:Docker User:/var/lib/docker:/sbin/nologin
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
zabbix:x:995:992:Zabbix Monitoring System:/var/lib/zabbix:/sbin/nologin
tss:x:59:59:Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/sbin/nologin

2 密码

/etc/passwd文件中的密码字段都被设置成了x,绝大多数Linux系统都将用户密码保存在另一个单独的文件中（叫作shadow文件，位置在/etc/shadow）。

/etc/passwd是一个标准的文本文件,如果出现损坏，系统就无法读取它的内容了，这样会导致用户无法正常登录（即便是root用户）。

在/etc/shadow文件的每条记录中都有9个字段：

与/etc/passwd文件中的登录名字段对应的登录名
加密后的密码
自上次修改密码后过去的天数密码（自1970年1月1日开始计算）
多少天后才能更改密码
多少天后必须更改密码
密码过期前提前多少天提醒用户更改密码
密码过期后多少天禁用用户账户
用户账户被禁用的日期（用自1970年1月1日到当天的天数表示）
预留字段给将来使用


root:$6$eZUQy5TAdXxCXyi6$z/4Pp2eoUVYCGZbTLOAqJQViyzycfG3.huNvV1YGyemHLapfMNdhUZEG6Q2o9H3JD26zJKrmq8kFlfcxWYkf1.::0:99999:7:::
bin:*:17834:0:99999:7:::
daemon:*:17834:0:99999:7:::
adm:*:17834:0:99999:7:::
lp:*:17834:0:99999:7:::
sync:*:17834:0:99999:7:::
shutdown:*:17834:0:99999:7:::
halt:*:17834:0:99999:7:::
mail:*:17834:0:99999:7:::
operator:*:17834:0:99999:7:::
games:*:17834:0:99999:7:::
ftp:*:17834:0:99999:7:::
nobody:*:17834:0:99999:7:::
systemd-network:!!:18598::::::
dbus:!!:18598::::::
polkitd:!!:18598::::::
libstoragemgmt:!!:18598::::::
abrt:!!:18598::::::
rpc:!!:18598:0:99999:7:::
apache:!!:18598::::::
sshd:!!:18598::::::
postfix:!!:18598::::::
ntp:!!:18598::::::
chrony:!!:18598::::::
tcpdump:!!:18598::::::
dockerroot:!!:18778::::::
rpcuser:!!:18824::::::
nfsnobody:!!:18824::::::
zabbix:!!:18837::::::
tss:!!:18850::::::
geoclue:!!:18850::::::
rtkit:!!:18850::::::
pulse:!!:18850::::::
colord:!!:18850::::::
gdm:!!:18850::::::
gluster:!!:18850::::::
qemu:!!:18850::::::
setroubleshoot:!!:18850::::::
usbmuxd:!!:18850::::::
unbound:!!:18850::::::
saslauth:!!:18850::::::
saned:!!:18850::::::
sssd:!!:18850::::::
radvd:!!:18850::::::
gnome-initial-setup:!!:18850::::::
avahi:!!:18850::::::

3 用户管理

3.1 添加新用户

使用命令useradd，一次性创建新用户账户及设置用户HOME目录结构。

新建用户例子：

useradd -m test

登陆新用户:

远程登录:

ssh test@10.20.3.67

在已经登陆root账户前提下：

su - test

默认情况下，useradd命令不会创建HOME目录，但是-m命令行选项会使其创建HOME目录。

useradd常用参数：

-c comment 给新用户添加备注
-d home_dir 为主目录指定一个名字（如果不想用登录名作为主目录名的话）
-e expire_date 用YYYY-MM-DD格式指定一个账户过期的日期
-f inactive_days 指定这个账户密码过期后多少天这个账户被禁用；0表示密码一过期就立即禁用，1表示
禁用这个功能
-g initial_group 指定用户登录组的GID或组名
-G group ... 指定用户除登录组之外所属的一个或多个附加组
-k 必须和-m一起使用，将/etc/skel目录的内容复制到用户的HOME目录
-m 创建用户的HOME目录
-M 不创建用户的HOME目录（当默认设置里要求创建时才使用这个选项）
-n 创建一个与用户登录名同名的新组
-r 创建系统账户
-p passwd 为用户账户指定默认密码
-s shell 指定默认的登录shell
-u uid 为账户指定唯一的UID

查看所用Linux系统中的默认值：

/usr/sbin/useradd -D

在创建新用户时，如果你不在命令行中指定具体的值，useradd命令就会使用-D选项所显示
的那些默认值。这个例子列出的默认值如下：

新用户会被添加到GID为100的公共组；
新用户的HOME目录将会位于/home/loginname；
新用户账户密码在过期后不会被禁用；
新用户账户未被设置过期日期；
新用户账户将bash shell作为默认shell；
系统会将/etc/skel目录下的内容复制到用户的HOME目录下【一般存放bash shell环境的标准启动文件】；
系统为该用户账户在mail目录下创建一个用于接收邮件的文件。

例如，将tsch shell作为所有新建用户的默认登录shell

useradd -D -s /bin/tsch

3.2 删除用户

userdel命令会只删除/etc/passwd文件中的用户信，加上-r参数，userdel会删除用户的HOME目录以及邮件目录

例如:

/usr/sbin/userdel -r test

3.3 修改用户

usermod 修改用户账户的字段，还可以指定主要组以及附加组的所属关系
passwd 修改已有用户的密码
chpasswd 从文件中读取登录名密码对，并更新密码
chage 修改密码的过期日期
chfn 修改用户账户的备注信息
chsh 修改用户账户的默认登录shell

3.3.1 usermod

-l修改用户账户的登录名。
-L锁定账户，使用户无法登录。
-p修改账户的密码。
-U解除锁定，使用户能够登录。

例如：

usermod -L test

3.3.2 passwd和chpasswd

修改密码的方法。系统上的任何用户都能改自己的密码，但只
有root用户才有权限改别人的密码。

passwd test

如果需要为系统中的大量用户修改密码，chpasswd命令可以事半功倍。chpasswd命令能从
标准输入自动读取登录名和密码对（由冒号分割）列表，给密码加密，然后为用户账户设置。

例如：

chpasswd < users.txt

users.txt:

test:test12test12
test2:test12test12

3.3.3 chsh、chfn和chage

修改特定的账户信息.

chsh命令:用来快速修改默认的用户登录shell。使用时必须用shell的全路径名作为参数.

chsh -s /bin/csh test

finger:查看Linux系统上的用户信息。

安装finger:

yum -y install finger

例如：

[root@jiangxue ~]# finger test
Login: test                     Name:
Directory: /home/test                   Shell: /bin/bash
Last login 一 11月  1 16:17 (CST) on pts/2 from 192.168.101.57
No mail.
No Plan.

chfn命令提供了在/etc/passwd文件的备注字段中存储信息的标准方法。chfn命令会将用于Unix的finger命令的信息存进备注字段，或是将备注字段留空。

[root@jiangxue ~]# chfn test
Changing finger information for test.
名称 [jk]: jiangxue
办公 [信息kaifa]: 研发
办公电话 []: 911
住宅电话 []: 119Finger information changed.
[root@jiangxue ~]# grep test /etc/passwd
test:x:1001:1002:jiangxue,研发,911,119:/home/test:/bin/bash

chage命令用来帮助管理用户账户的有效期.

-d 设置上次修改密码到现在的天数
-E 设置密码过期的日期
-I 设置密码过期到锁定账户的天数
-m 设置修改密码之间最少要多少天
-W 设置密码过期前多久开始出现提醒信息

chage命令的日期值可以用下面两种方式中的任意一种：

YYYY-MM-DD格式的日期
代表从1970年1月1日起到该日期天数的数值

4 使用linux用户组

由于共享信息的原因，出现了组。

特点：

组权限允许多个用户对系统中的对象（比如文件、目录或设备等）共享一组共用的权限。
每个组都有唯一的GID——跟UID类似，在系统上这是个唯一的数值。除了GID，每个组还
有唯一的组名

组信息保存在/etc/group中。

信息如下：

[root@jiangxue ~]# cat /etc/group
root:x:0:
bin:x:1:
daemon:x:2:
sys:x:3:
adm:x:4:
tty:x:5:
disk:x:6:
lp:x:7:
mem:x:8:
kmem:x:9:
wheel:x:10:hadpod-yl-1
cdrom:x:11:
mail:x:12:postfix
man:x:15:
dialout:x:18:
floppy:x:19:
games:x:20:
tape:x:33:
video:x:39:
ftp:x:50:
lock:x:54:
audio:x:63:

GID在分配时也采用了特定的格式。系统账户用的组通常会分配低于500的GID
值，而用户组的GID则会从500开始分配。/etc/group文件有4个字段：

组名
组密码
GID
属于该组的用户列表

组密码允许非组内成员通过它临时成为该组成员。

⚠️注意：

千万不能通过直接修改/etc/group文件来添加用户到一个组，需要使用要用usermod命令。
在列表中，有些组并没有列出用户。这并不是说这些组没有成员。当一个用户在/etc/passwd文件中指定某个组作为默认组时，用户账户不会作为该组成员再出现在/etc/group文件中。

4.1 创建新组

[root@hdp-jiangxue ~]# /usr/sbin/groupadd shared
[root@hdp-jiangxue ~]# tail /etc/group
libvirt:x:982:
sssd:x:981:
radvd:x:75:
gnome-initial-setup:x:980:
avahi:x:70:
hadpod-yl-1:x:1000:
mysql:x:1001:
redis:x:979:
test:x:1002:
shared:x:1003:

在创建新组时，默认没有用户被分配到该组。groupadd命令没有提供将用户添加到组中的选项，但可以用usermod命令来弥补这一点。

例如：

/usr/sbin/usermod -G shared test

注意⚠️：

如果更改了已登录系统账户所属的用户组，该用户必须登出系统后再登录，组关系的更改才能生效。
为用户账户分配组时要格外小心。如果加了-g选项，指定的组名会替换掉该账户的默认组。-G选项则将该组添加到用户的属组的列表里，不会影响默认组。

4.2 修改分组

groupmod命令可以修改已有组的GID（加-g选项）或组名（加-n选项）。

例如：

[root@hdp-jiangxue ~]# /usr/sbin/groupmod -n sharing shared
[root@hdp-jiangxue ~]# tail /etc/group
libvirt:x:982:
sssd:x:981:
radvd:x:75:
gnome-initial-setup:x:980:
avahi:x:70:
hadpod-yl-1:x:1000:
mysql:x:1001:
redis:x:979:
test:x:1002:
sharing:x:1003:test

⚠️注意：修改组名时，GID和组成员不会变，只有组名改变。由于所有的安全权限都是基于GID的，可以随意改变组名而不会影响文件的安全性。

5 文件权限

5.1 理解文件权限

[root@hdp-jiangxue ~]# ls -l
总用量 40
drwxr-xr-x   4 root root  123 10月 28 10:23 airflow
drwxr-xr-x  28 root root 4096 10月 20 16:29 anaconda3
-rw-------.  1 root root 1565 12月  2 2020 anaconda-ks.cfg
drwxr-xr-x   3 root root   24 5月  27 18:24 cmj
-rw-r--r--   1 root root  411 7月  19 16:21 cookie.txt
-rw-r--r--   1 root root  640 7月   5 17:07 derby.log
drwxr-xr-x   2 root root  100 8月  13 11:32 fyk
-rw-r--r--   1 root root 7008 6月   2 14:18 index.html
drwxr-xr-x   5 root root  133 7月   5 17:07 metastore_db
-rw-------   1 root root 9637 10月 26 17:58 nohup.out
-rw-r--r--   1 root root 3152 8月  19 18:07 people.json
drwxr-xr-t   2 root root    6 8月  11 15:32 thinclient_drives

内容解读：

第一个字符代表了对象
的类型：

-代表文件
d代表目录
l代表链接
c代表字符型设备
b代表块设备
n代表网络设备

有3组三字符的编码。每一组定义了3种访问权限：

r代表对象是可读的
w代表对象是可写的
x代表对象是可执行的

若没有某种权限，在该权限位会出现单破折线。这3组权限分别对应对象的3个安全级别：

对象的属主
对象的属组
系统其他用户

例如
第一行中的drwxr-xr-x 4 root root 123 10月 28 10:23 airflow，rwx表示文件的属主，r-x表示文件的属组，r-x表示系统上其他人。

5.2 默认文件权限

umask命令用来设置所创建文件和目录的默认权限。

[root@jiangxue home]# touch newfile
[root@jiangxue home]# ls -al newfile
-rw-r--r-- 1 root root 0 11月  3 17:48 newfile
[root@jiangxue home]# umask
0022

第一位代表:一项特别的安全特性，叫作粘着位（sticky bit）
后面的3位:表示文件或目录对应的umask八进制值。

八进制值：
在这个二进制表示中，每个位置代表一个二进制位。因此，如果读权限是唯一置位的权限，权限值就是r–，转换成二进制值就是100，代表的八进制值是4。

Linux文件权限码
权 限 二进制值 八进制值 描 述
--- 000 0 没有任何权限
--x 001 1 只有执行权限
-w- 010 2 只有写入权限
-wx 011 3 有写入和执行权限
r-- 100 4 只有读取权限
r-x 101 5 有读取和执行权限
rw- 110 6 有读取和写入权限
rwx 111 7 有全部权限

umask值的含义：

umask值只是个掩码.它会屏蔽掉不想授予该安全级别的权限.要把umask值从对象的全权限值中减掉。对文件来说，全权限的值是666（所有用户都有读和写的权限）；而对目录来说，则是777（所有用户都有读、写、执行权限）。所以在上例中，文件一开始的权限是666，减去umask值022之后，剩下的文件权限就成了644。

umask值通常会设置在/etc/profile启动文件中，不过有一些是设置在/etc/login.defs文件中的（如Ubuntu）。

例如，在/etc/profile中，

if [ $UID -gt 199 ] && [ "`/usr/bin/id -gn`" = "`/usr/bin/id -un`" ]; thenumask 002
elseumask 022
fi

修改umask值：

[root@hjiangxue home]# umask 026
[root@jiangxue home]# touch newfile2
[root@jiangxue home]# ls -la newfile2
-rw-r----- 1 root root 0 11月  3 18:00 newfile2

5.3 改变安全性设置

5.3.1 改变权限

使用chmod，这里设置使用的八进制模式，直接用期望赋予文件的标准3位八进制权限码。

例如，下面就是赋予文件主属【读写执行】、组【读写】、其他人【无】。

[root@jiangxue home]# chmod 760 newfile

5.3.2 改变所属关系

chown命令用来改变文件的属主，

chgrp命令用来改变文件的默认属组。

chown命令的格式如下：

chown options owner[.group] file

可用登录名或UID来指定文件的新属主,例如，

chown test newfile

chown命令也支持同时改变文件的属主和属组,例如：

chown test.test newfile

只改变一个目录的默认属组,例如：

chown .test newfile

统采用和用户登录名匹配的组名，可以只用一个条目就改变二者。

chown test. newfile

注意⚠️：

只有root用户能够改变文件的属主。任何属主都可以改变文件的属组，但前提是属主必须
是原属组和目标属组的成员。

chgrp命令可以更改文件或目录的默认属组【用户账户必须是这个文件的属主，除了能够更换属组之外，还得是新组的成员。】。

chgrp test newfile

5.4 共享文件

共享文件的方法：

将文件分配给其他用户的新默认组；
修改其他用户所在安全组的访问权限；
如果想在大环境中创建文档并将文档与他人共享，以上两种方法就比较繁琐，可以使用如下的方法。

说明：
1，使用chgrp将用户的默认数组改为包含所有需要共享文件的用户的组;
2，使用chmod g+s将权限设置为跟属组一样，并且运行时重新设置SGID位（保证目录中新建文件都以shared作为默认属组）；
3，umask 002设置文件对属组成员可写；
4，文件夹中的新文件会沿用目录的属组，而不是用户的默认属组。

[root@hdp-1 test]# rm -rf testDir/
[root@hdp-1 test]# ls
[root@hdp-1 test]# mkdir -vp testDir
mkdir: 已创建目录 "testDir"
[root@hdp-1 test]# ls -ll
总用量 0
drwxr-xr-x 2 root root 6 12月  1 11:54 testDir
[root@hdp-1 test]#  tail -3 /etc/group
redis:x:979:
test:x:1002:
sharing:x:1003:test
[root@hdp-1 test]# chgrp sharing testDir
[root@hdp-1 test]# chmod g+s testDir
[root@hdp-1 test]# umask
0022
[root@hdp-1 test]# umask 002
[root@hdp-1 test]# cd testDir/
[root@hdp-1 testDir]# touch testFile
[root@hdp-1 testDir]# ls -l
总用量 0
-rw-rw-r-- 1 root sharing 0 12月  1 11:57 testFile

补充：

1，用户ID（SUID）：当文件被用户使用时，程序会以文件属主的权限运行。

SGID可通过chmod命令设置。它会加到标准3位八进制值之前（组成4位八进制值），或者在符号模式下用符号s。

启用SGID位后，可以强制在一个共享目录下创建的新文件都属于该目录的属组，这个组也就成为了每个用户的属组。

2，组ID（SGID）：对文件来说，程序会以文件属组的权限运行；对目录来说，目录中创建的新文件会以目录的默认属组作为默认属组.

3，粘着位：进程结束后文件还驻留（粘着）在内存中【八进制的umask值的第一位，例如0022中的0】。

6 总结

本文讨论了管理Linux系统安全性需要知道的一些命令行命令。Linux通过用户ID和组ID来限制对文件、目录以及设备的访问。Linux将用户账户的信息存储在/etc/passwd文件中，将组信息存储在/etc/group文件中。每个用户都会被分配唯一的用户ID，以及在系统中识别用户的文本登录名。组也会被分配唯一的组ID以及组名。组可以包含一个或多个用户以支持对系统资源的共享访问。

有若干命令可以用来管理用户账户和组。useradd命令用来创建新的用户账户，groupadd命令用来创建新的组账户。修改已有用户账户，我们用usermod命令。类似的groupmod命令用来修改组账户信息。
Linux采用复杂的位系统来判定文件和目录的访问权限。每个文件都有三个安全等级：文件的属主、能够访问文件的默认属组以及系统上的其他用户。每个安全等级通过三个访问权限位来定义：读取、写入以及执行，对应于符号rwx。如果某种权限被拒绝，权限对应的符号会用单破折线代替（比如r–代表只读权限）。

这种符号权限通常以八进制值来描述。3位二进制组成一个八进制值，3个八进制值代表了3个安全等级。umask命令用来设置系统中所创建的文件和目录的默认安全设置。系统管理员通常会在/etc/profile文件中设置一个默认的umask值，但你可以随时通过umask命令来修改自己的umask值。chmod命令用来修改文件和目录的安全设置。只有文件的属主才能改变文件或目录的权限。

不过root用户可以改变系统上任意文件或目录的安全设置。chown和chgrp命令可用来改变文件默认的属主和属组。

最后讨论了如何使用设置组ID位来创建共享目录。SGID位会强制某个目录下创建的新文件或目录都沿用该父目录的属组，而不是创建这些文件的用户的属组。这可以为系统的用户之间共享文件提供一个简便的途径。