Linux系統(tǒng)管理基礎(chǔ)項目教程（CentOS7.2）（微課版）課件 06 權(quán)限管理

第6章

權(quán)限管理Linux系統(tǒng)管理基礎(chǔ)項目教程（CentOS7.2）（微課版）知識要點6.1項目描述6.2知識準備6.2.1Linux系統(tǒng)權(quán)限概述6.2.2Linux系統(tǒng)權(quán)限表示方法6.3項目實施6.3.1基本權(quán)限控制6.3.2特殊權(quán)限控制6.3.3設(shè)置隱藏屬性6.3.4設(shè)置ACL規(guī)則6.4項目實訓目錄6.1項目描述小明在做系統(tǒng)管理維護的時候，發(fā)現(xiàn)不同部門之間的用戶不但可以相互訪問對方的機密文件，并且還能夠增加、刪除和修改這些機密文件，這給公司帶來了安全隱患。因此小明決定根據(jù)工作性質(zhì)對每個部門和每個用戶在服務(wù)器上的可用空間進行限制，并對一些機密文件進行訪問權(quán)限控制。本項目主要介紹Linux系統(tǒng)的權(quán)限管理知識，包括權(quán)限的表示方法、基本權(quán)限設(shè)置、特殊權(quán)限設(shè)置、隱藏屬性設(shè)置和訪問控制列表設(shè)置。6.2知識準備6.2.1Linux系統(tǒng)權(quán)限概述Linux系統(tǒng)是多用戶系統(tǒng)，能使不同的用戶同時訪問不同的文件，因此一定要有文件權(quán)限控制機制。Linux系統(tǒng)的權(quán)限控制機制和Windows系統(tǒng)的權(quán)限控制機制有著很大的差別。Linux系統(tǒng)的文件或目錄被一個用戶擁有時，這個用戶即文件的擁有者（又稱“文件主”）；同時文件還被指定的用戶組所擁有，這個用戶組被稱為文件“所屬組”。文件的權(quán)限由權(quán)限標志來決定，權(quán)限標志決定了文件的擁有者、文件的所屬組、其他用戶對文件訪問的權(quán)限。Linux系統(tǒng)文件的訪問權(quán)限體現(xiàn)在哪里呢？當我們使用命令ls-l的時候，我們可以看到文件的詳細信息，共有7列信息6.2知識準備從上面的說明我們可以看出，文件的權(quán)限體現(xiàn)在第1列、第3列和第4列。[root@localhost～]#ls-l總用量4① ② ③ ④ ⑤ ⑥ ⑦-rw-------. 1 root root 1285 6月522:34 anaconda-ks.cfgdrwxr-xr-x. 2 root root 6 6月514:48 公共drwxr-xr-x. 2 root root 6 6月514:48 模板drwxr-xr-x. 2 root root 6 6月514:48 視頻drwxr-xr-x. 2 root root 6 6月514:48 圖片drwxr-xr-x. 2 root root 6 6月514:48 文檔drwxr-xr-x. 2 root root 6 6月514:48 下載6.2知識準備第1列的10個字符表示文件的類型和權(quán)限，其中第一個字符表示文件的類型。常見文件類型如表所示。序號字符文件類型1-普通文件2d目錄文件3l鏈接文件4b塊設(shè)備文件5c字符設(shè)備文件6p管道文件6.2知識準備我們剛才說到第1列有10字符，第一個字符表示文件類型，剩下的9個字符表示文件的權(quán)限。這9個權(quán)限位，每3位被分為一組，如圖所示。它們分別是屬主權(quán)限位（占3個位置），可以用字符u表示；屬組權(quán)限位（占3個位置），可以用字符g表示；其他用戶權(quán)限位（占3個位置），可以用字符o表示。如權(quán)限為rwxr-xr-x。注意：每組權(quán)限都是由r、w或x組成的，分別表示可讀（r）、可寫（w）、可執(zhí)行（x）等權(quán)限，且權(quán)限的順序是“可讀—可寫—可執(zhí)行”，這個順序是不能變的。如果相應的權(quán)限位置是-，表示沒有該權(quán)限。6.2知識準備6.2.2Linux系統(tǒng)權(quán)限表示方法Linux系統(tǒng)權(quán)限表示方法有兩種：一種是字符表示（符號表示）；另一種是數(shù)字表示。文件權(quán)限的字符表示和數(shù)字表示如表所示。序號權(quán)限分配屬主權(quán)限位屬組權(quán)限位其他用戶權(quán)限位1權(quán)限項讀寫執(zhí)行讀寫執(zhí)行讀寫執(zhí)行2字符表示rwxrwxrwx3數(shù)字表示421421421文件權(quán)限的數(shù)字表示基于字符表示（rwx）的權(quán)限計算而來，其目的是簡化權(quán)限的表示。6.3項目實施6.3.1基本權(quán)限控制在Linux系統(tǒng)中，與權(quán)限控制相關(guān)的基本命令有3個，即chmod命令、chown命令和chgrp命令。1．權(quán)限變更功能：改變文件或目錄權(quán)限。格式：chmod【參數(shù)】【{ugoa}{±=}{rwx}】文件或目錄常用參數(shù)-R，作用是遞歸修改，改變目錄權(quán)限的同時，目錄下面所有文件的權(quán)限都被修改?！啊?”中的+表示增加權(quán)限，-表示減少權(quán)限，=表示直接指定權(quán)限。這種表達方式非常直觀，改起權(quán)限來也十分方便，一般應用在字符表示中?！緦嵗?】把/home/test文件的權(quán)限修改為：文件的擁有者有讀、寫、執(zhí)行權(quán)限，同組用戶具有讀、寫權(quán)限，其他用戶具有讀權(quán)限。6.3項目實施（1）字符表示法。[root@ahptc123～]#cd/home/#切換到/home目錄[root@ahptc123home]#ls-ltest#查看test文件的當前權(quán)限-rw-r--r--.1rootroot4511月1209:09test[root@ahptc123home]#chmodu=rwx,g=rw,o=rtest#修改test文件權(quán)限[root@ahptc123home]#ls-ltest#查看test文件權(quán)限是否修改-rwxrw-r--.1rootroot4511月1209:09test（2）數(shù)字表示法。文件的擁有者有讀、寫、執(zhí)行權(quán)限，那么文件擁有者的權(quán)限用數(shù)字表示是讀（4）+寫（2）+執(zhí)行（1），即數(shù)字7。[root@ahptc123home]#ls-ltest-rw-r--r--.1rootroot4511月1209:09test[root@ahptc123home]#chmod764test[root@ahptc123home]#ls-ltest-rwxrw-r--.1rootroot4511月1209:09test6.3項目實施2．用戶變更功能：將指定文件的擁有者改為指定的用戶或組。格式：chown[參數(shù)][所有者][:[組]]文件或目錄[root@ahptc123home]#ls-ltest-rwxrw-r--.1rootroot4511月1209:09test#test文件的擁有者此時為root[root@ahptc123home]#chownt1test#t1用戶需要提前存在于系統(tǒng)內(nèi)[root@ahptc123home]#ls-ltest-rwxrw-r--.1t1root4511月1209:09test#test文件的擁有者此時為t1【實例2】把/home/test文件的擁有者修改成t1用戶。[root@ahptc123home]#chown:adminusertest[root@ahptc123home]#ls-ltest-rwxrw-r--.1t1adminuser4511月1209:09test注意：群組前面有一個冒號，群組必須提前存在于系統(tǒng)內(nèi)。【實例3】把/home/test文件的所屬群組改成adminuser群組。6.3項目實施3．用戶組變更功能：變更文件所屬群組。格式：chgrp[參數(shù)][組]文件或目錄[root@ahptc123home]#ls-ltest-rwxrw-r--.1t2t24511月1209:09test[root@ahptc123home]#chgrpadminusertest[root@ahptc123home]#ls-ltest-rwxrw-r--.1t2adminuser4511月1209:09test【實例5】把/home/test文件的所屬群組改成adminuser群組。[root@ahptc123home]#chownt2:t2test[root@ahptc123home]#ls-ltest-rwxrw-r--.1t2t24511月1209:09test【實例4】把/home/test文件的擁有者修改成t2用戶，所屬群組改成t2群組。6.3項目實施6.3.2特殊權(quán)限控制在Linux系統(tǒng)中，除了前面介紹的讀、寫和執(zhí)行3種權(quán)限外，還有一些文件具有特殊的權(quán)限。[root@ahptc123home]#ls-ld/tmp;ls-l/usr/bin/passwddrwxrwxrwt.29rootroot409611月1210:57/tmp-rwsr-xr-x.1rootroot278326月102014/usr/bin/passwd從上述結(jié)果中，我們可以看到文件還具有t、s等權(quán)限。這些權(quán)限就是文件的特殊權(quán)限。在復雜多變的生產(chǎn)環(huán)境中，單純設(shè)置文件的rwx權(quán)限無法滿足對安全和靈活性的需求，因此便有了SUID、SGID與SBIT等特殊權(quán)限位，它們的權(quán)限值分別是4、2、1。6.3項目實施1．SUID位特殊權(quán)限給文件賦予SUID權(quán)限同樣有字符和數(shù)字兩種表示方式。數(shù)字表示：chmod4xxxtest.file（后面xxx中任何一個有可執(zhí)行權(quán)限即可）。字符表示：chmodu+xtest.file。SUID是一種對二進制程序進行設(shè)置的特殊權(quán)限，可以讓二進制程序的執(zhí)行者臨時擁有屬主的權(quán)限（僅對擁有執(zhí)行權(quán)限的二進制程序有效）。SUID的權(quán)限值為4，執(zhí)行者對該程序具有x權(quán)限，本權(quán)限僅在執(zhí)行該程序時有效，執(zhí)行者將具有該程序擁有者的權(quán)限。6.3項目實施【實例6】給/home/test文件賦予SUID權(quán)限。修改SUID權(quán)限的方法有數(shù)字表示和字符表示兩種。通過命令賦予SUID權(quán)限位后，大家注意一下文件擁有者的權(quán)限位的變化，從原來的rwx變成了rws。[root@ahptc123home]#ls-ltest-rwxrw-r--.1t2adminuser4511月1209:09test[root@ahptc123home]#chmod4764test#數(shù)字表示[root@ahptc123home]#ls-ltest-rwsrw-r--.1t2adminuser4511月1209:09test[root@ahptc123home]#chmodu+stest#字符表示6.3項目實施2．SGID位特殊權(quán)限給文件賦予SGID權(quán)限也有數(shù)字表示和字符表示兩種方式。功能1：讓執(zhí)行者臨時擁有屬組的權(quán)限（對擁有執(zhí)行權(quán)限的二進制程序進行設(shè)置）。功能2：在某個目錄下創(chuàng)建的文件自動繼承該目錄的用戶組（只可以對目錄進行設(shè)置）。SGID主要實現(xiàn)如下兩種功能。[root@ahptc123home]#ls-ltest-rwsrw-r--.1t2adminuser4511月1209:09test[root@ahptc123home]#chmod2764test#數(shù)字表示[root@ahptc123home]#ls-ltest-rwxrwSr--.1t2adminuser4511月1209:09test[root@ahptc123home]#chmodg+stest#字符表示6.3項目實施3．SBIT位特殊權(quán)限與前面所講的SUID和SGID權(quán)限顯示方法不同，當目錄被設(shè)置SBIT特殊權(quán)限位后，文件的其他人權(quán)限部分的x執(zhí)行權(quán)限就會被替換成t或者T，原本有x執(zhí)行權(quán)限則會被寫成t，原本沒有x執(zhí)行權(quán)限則會被寫成T。SBIT的權(quán)限值為1，當文件設(shè)置了SBIT權(quán)限位時，該文件只有root用戶和文件的擁有者才能刪除。[root@ahptc123home]#chmod1764test#數(shù)字表示[root@ahptc123home]#ls-ltest-rwxrw-r-T.1t2adminuser4511月1209:09test[root@ahptc123home]#chmodo+ttest#字符表示6.3項目實施6.3.3設(shè)置隱藏屬性1．設(shè)置隱藏權(quán)限在Linux系統(tǒng)中，設(shè)置隱藏權(quán)限可以通過chattr命令實現(xiàn)。功能：chattr命令用于設(shè)置文件的隱藏權(quán)限。格式：chattr[參數(shù)]文件chattr命令常見參數(shù)及作用如表所示。序號參數(shù)作用1a僅允許補充（追加）內(nèi)容，無法覆蓋/刪除內(nèi)容2A不再修改這個文件或目錄的最后訪問時間3s徹底從硬盤中刪除，不可恢復（用0填充原文件所在硬盤區(qū)域）4S文件內(nèi)容在變更后立即同步到硬盤6.3項目實施續(xù)表序號參數(shù)作用5d使用dump命令備份時忽略本文件（目錄）6D檢查壓縮文件中的錯誤7i無法對文件進行修改。若對目錄設(shè)置了該參數(shù)，則僅能修改其中的子文件內(nèi)容，而不能新建或刪除文件8b不再修改文件或目錄的存取時間9c默認將文件或目錄進行壓縮10u刪除該文件后依然保留其在硬盤中的數(shù)據(jù)，方便日后恢復11t讓文件系統(tǒng)支持尾部合并12x可以直接訪問壓縮文件中的內(nèi)容6.3項目實施【實例7】對/home/newFile文件設(shè)置不允許刪除與覆蓋（+a參數(shù)）權(quán)限，檢查是否可以刪除該文件。未加隱藏權(quán)限前，能夠正常刪除newFile文件。[root@ahptc123home]#echo"Hello,CentosLinux">newFile[root@ahptc123home]#rmnewFilerm：是否刪除普通文件"newFile"？y加了隱藏權(quán)限（+a）后，不能夠正常刪除newFile文件。[root@ahptc123home]#echo"Hello,CentosLinux">newFile[root@ahptc123home]#chattr+anewFile[root@ahptc123home]#rmnewFilerm：是否刪除普通文件"newFile"？yrm:無法刪除"newFile":不允許的操作6.3項目實施6.3.4設(shè)置ACL規(guī)則有時候我們?nèi)绻Ｍ麑δ硞€指定的用戶進行單獨的權(quán)限控制，那應該怎么辦呢？這時就需要用到文件訪問控制列表（AccessControlList，ACL）功能了。通俗來講，基于普通文件或目錄設(shè)置ACL規(guī)則，其實就是針對指定的用戶或用戶組設(shè)置文件或目錄的操作權(quán)限。注意：如果針對某個目錄設(shè)置了ACL規(guī)則，則該目錄下的文件會繼承其ACL規(guī)則；若針對某個文件設(shè)置了ACL規(guī)則，則該文件不再繼承其所在目錄的ACL規(guī)則。1．設(shè)置ACL規(guī)則功能：管理文件的ACL規(guī)則。格式：setfacl[參數(shù)]文件名稱6.3項目實施setfacl命令常見參數(shù)及作用如表所示。序號參數(shù)作用1-m給文件設(shè)置后續(xù)ACL參數(shù)的文件訪問控制列表針對特定用戶的方式：setfacl-mu:[用戶賬戶列表]:[rwx]文件名針對特定用戶組的方式：setfacl-mg:[用戶賬戶列表]:[rwx]文件名針對其他用戶組的方式：setfacl-mo:[用戶賬戶列表]:[rwx]文件名2-x對文件刪除后續(xù)的ACL參數(shù)setfacl-xu:[用戶賬戶列表]文件名3-b刪除所有的ACL參數(shù)6.3項目實施【實例8】設(shè)置用戶t1對/home/acl_test1文件有讀和寫的權(quán)限。[root@localhost～]#touchacl_test1#創(chuàng)建一個測試文件[root@localhost～]#setfacl-mu:t1:rwacl_test1#單獨賦予用戶t1讀寫權(quán)限[root@localhost～]#ls-lacl_test1-rw-rw-r--+1rootroot011月2117:12acl_test12．顯示ACL規(guī)則功能：查看設(shè)置的ACL規(guī)則。格式：getfacl文件名稱[root@ahptc123home]#setfacl-mu:t1:rwacl_test1[root@ahptc123hom