《Linux命令行与shell脚本编程大全》 第七章理解Linux文件权限

Linux沿用了Unix文件权限的方法,允许用户和组根据每个文件和目录的安全性设置来访问文件。

用户权限通过创建用户时分配的用户ID(UID)来跟踪的。每个用户有唯一的ID,但是登录时用的不是UID,而是登录名。

7.1.1 /etc/passwd 文件

这个文件将用户的登录名匹配到对应的UID中,还包含了一些与用户相关的信息。

root用户账户是Linux系统的管理员,UID是0.

有些账户是系统账户:系统上运行的各种服务进程访问资源用的特殊账户。

所有运行在后台的服务都需要用一个系统用户账户登录到linux系统上。

UID 500 以下是系统预留给系统账户的。

/etc/passwd 文件包含的信息有:登录用户名,密码,UID,组ID(GID),文本描述,HOME目录的位置,默认的shell。

7.1.2 /etc/shadow 文件

对Linux系统密码管理提供了更多的控制。只有root才能访问

为每个用户账户都保存了一条记录。

这样Linux系统可以更好的控制用户密码。

7.1.3 添加新用户

 useradd,可以一次性创建新用户账户及设置用户HOME目录结构。

可以查看useradd命令用到的一些默认值, -D。

/etc/skel   目录很有意思,创建用户时会将这些默认文件复制到你创建的每个用户的HOME目录中。

例子:

$user add -m test   // 默认情况下不会创建HOME目录,除非加了 -m。

                                      // 创建了HOME目录,并将/etc/skel 复制进去了

useradd还可以接一些参数。

还可以更改默认值的参数。

7.1.4 删除用户

默认会删除/etc/passwd文件中的用户信息。不会删除属于该账户的任何文件。

加上-r  会删除用户的HOME目录和邮件目录,

userdel -r test

7.1.5 修改用户

修改用户账户信息的

usermod: 修改用户账户字段。可以加其他选项

passwd和chpasswd,改变用户密码

chpwsswd能从标准输入自动读取登录密码和密码对列表。

chsh:修改默认的用户登录shell

chfn:

chage:帮助管理用户账户的有效期

7.2 使用Linux组

组权限允许许多个用户对系统中的对象(文件,目录,设备......)共享一组共用的权限。

每个组都有唯一的组ID(GID)。还有唯一的组名。

7.2.1 /etc/group 文件

可以查看该文件:包含组名 组密码 GID 属于该组的用户列表

不能直接修改/etc/group 这个文件来将一个用户添加进组。而应该使用usermod命令。

7.2.2 创建新组

groupadd命令

7.2.3 修改组

groupmod命令

7.3 理解文件权限

ls -l

- 代表文件

d 代表目录

l 链接

c 字符设备

b 块设备

n 网络设备

-rwxrwxr-x   分别是文件属主、同组用户、其他人的权限

7.3.2 默认文件权限

创建一个文件,会有个默认的权限。通过umask查看

umask  第一个表示粘着位。

后面的3位表示文件或目录对应的umask对应的八进制值。

这个只是一个掩码。还要转换一下才能得到真正的权限

对于文件来说全权限是666(全都可读可写) rw-rw-rw-

对于目录来说全权限是777(全都可读可写可执行)rwxrwxrwx

创建新文件的权限=全权限 - umask

比如:umask 是222,那么创建的文件的权限就是 666 - 222 = 444(r--r--r--)

对于目录来说就是 555  (r-xr-xr-x)

7.4 改变安全性设置

chmod 命令

chmod 777 newfile

chmod o+r newfile // 给其他用户增加可执行权限

chmod u+r newfile // 给属主增加可执行权限

chmod g+w newfile // 给组用户增加写权限

chmod a+r newfile // 给所有增加读权限

还可以移除权限

chmod a-r newfile // 给所有移除读权限

7.4.2 改变所属关系

chown改变文件的属主,(可用登录名或UID来指定文件的新属主)

chgrp改变文件的默认属组(属于哪个组group)

7.5 Linux上共享文件的方法是创建组

目前新建一个文件想让其他人能访问,有两个方法:

(1)改变其他用户所在安全组的访问权限

(2)给文件分配一个包含其他用户的新默认属组。

大规模操作就会很繁琐。下面就来解决这问题。

Linux还为每个文件和目录存储了3个额外的信息位

设置用户ID(SUID):文件被用户使用时,程序会以文件属主的权限运行

设置组ID(SGID):对文件来说被使用时,以文件属组的权限运行。对目录来说,创建的新文件会已目录的默认属组作为默认属组。

粘着位:进程结束后文件还驻留在内存中。

SGID非常重要,启用SGID之后可以强制在一个共享目录下创建的新文件都属于该目录的属组,这个组也就成为了每个用户的属组。

要创建共享目录,使目录里的新文件都能沿用目录的属组,只需将该目录的SGID位置位。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏张戈的专栏

js获取url中?后的参数,修复移动版无法切换到电脑版的BUG

昨天,发布了《完美实现移动主题在 360 网站卫士缓存全开情况下的切换》一文,通过 JS 实现了主题在移动端访问时的自动切换,最后提到了可以在电脑版和移动版的 ...

43780
来自专栏FreeBuf

WPScan使用完整攻略:如何对WordPress站点进行安全测试

WPScan是Kali Linux默认自带的一款漏洞扫描工具,它采用PHP编写,能够扫描WordPress网站中的多种安全漏洞,其中包括主题漏洞、插件漏洞和Wo...

28600
来自专栏Linux运维学习之路

ansible批量管理软件部署及剧本

服务器版本信息: Centos6.9 [root@db02 ~]# uname -a Linux db02 2.6.32-696.el6.x86_64 #1 S...

98970
来自专栏张伟博客

如何使用 Git 和 GitHub 来管理自己的代码

    点击右上角加号箭头,在弹出的菜单中选择 "New repository" 选项进行仓库配置。

15020
来自专栏古时的风筝

django开发个人简易Blog—nginx+uwsgin+django1.6+mysql 部署到CentOS6.5

前面说完了此项目的创建及数据模型设计的过程。如果未看过,可以到这里查看,并且项目源码已经放大到github上,可以去这里下载。 代码也已经部署到sina sea...

30590
来自专栏Java后端生活

Linux(十五)进程管理

27180
来自专栏Jerry的SAP技术分享

一种不通过UI给C4C自定义BO创建测试数据的方式

假设我在Cloud Studio里创建了如下一个非常简单的自定义BO:

23990
来自专栏SpringBoot 核心技术

第十四章:QueryDSL与SpringDataJPA共同服务于SpringBoot

44940
来自专栏SpringBoot 核心技术

第十六章:使用Redis作为SpringBoot项目数据缓存

26620
来自专栏nummy

sphinx入门指南【2】 toctree指令详解

reST本身并不支持同时与多个文档进行交互,或者说将一个文档保存到多个文件中。Sphinx提供了自定义指令toctree来支持实现这个功能。

13930

扫码关注云+社区

领取腾讯云代金券