CentOS預設權限umask、檔案系統權限、特殊權限
centos 系統安全防禦 2017年12月6日
312 0 0
第1章 權限相關錯誤
1.1 普通使用者 ls /root/
/root 屬于root 普通使用者沒有任何權限,是以無法檢視
[[email protected] ~]$ ls /root/
ls: cannot open directory /root/: Permission denied
[[email protected] ~]$ ls -ld /root/
dr-xr-x---. 5 root root 4096 Sep 5 12:05 /root/
1.2 普通使用者touch /root/oldboy.txt
建立檔案,要看檔案所在目錄的權限,/root 屬于root 普通使用者沒有任何權限,是以無法再裡面建立檔案,建立檔案需要有所在目錄的wx權限。
[[email protected] ~]$ touch /root/oldboy.txt
touch: cannot touch `/root/oldboy.txt': Permission denied
[[email protected] ~]$ ls -ld /root/
dr-xr-x---. 5 root root 4096 Sep 5 12:05 /root/
1.3 普通使用者\rm -f /etc/passwd
删除檔案需要有檔案所在目錄的wx權限,普通使用者隻有r-x權限,是以無法删除。
[[email protected] ~]$ \rm -f /etc/passwd
rm: cannot remove `/etc/passwd': Permission denied
[[email protected] ~]$ ls -ld /etc
drwxr-xr-x. 78 root root 4096 Sep 5 11:27 /etc
[[email protected] ~]$ ll /etc/passwd
-rw-r--r-- 1 root root 1177 Sep 5 11:27 /etc/passwd
1.4 普通使用者cat /etc/shadow
檢視檔案的内容的時候,需要看檔案的權限,在這裡普通使用者對這個檔案沒有任何權限,是以無法檢視檔案的内容。
檢視檔案的内容要用于檔案的r權限。
[[email protected] ~]$ cat /etc/shadow
cat: /etc/shadow: Permission denied
[[email protected] ~]$ ll /etc/shadow
---------- 1 root root 881 Sep 5 11:27 /etc/shadow
1.5 出現錯誤的解決辦法
1、先确定要操作的是檔案還是目錄
2、确當你和操作對象的關系
3、檔案先看檔案的權限
4、目錄先看目錄的權限
5、檢視檔案内容、修改檔案内容、運作檔案(腳本),要看檔案的權限
6、檢視目錄裡的内容、删除檔案、建立檔案、重命名(檔案改名),要看目錄權限
第2章 檔案的通路過程
2.1 過程
2.1.1
| inode 檔案的權限 block的位置 |
| block 檔案的實際内容 |
| 檔案 |
相對路徑通路檔案
2.1.2 據對路徑通路
| /目錄 |
| 目錄的block,找對應的檔案 |
| /etc目錄的inode |
| inode 檔案的權限 block的位置 |
| block 檔案的實際内容 |
| 檔案 |
2.2 關系
1.檔案的名字是存放在所在目錄的block裡面
2.檔案名與inode的對應關系放在目錄的block中
第3章 網站權限-讓網站根安全
3.1 linux系統預設權限
3.1.1 檔案預設權限
檔案最大權限-rw-rw-rw- oldboy.txt 666
一般會給檔案644權限 rw-r--r--
3.1.2 目錄預設權限
目錄預設最大權限-rwxrwxrwx 777
一般會給目錄 755 權限rwxr-xr-x root root oldboydir
3.2 如何規劃網站權限,讓網站更加安全
3.2.1 讓網站以www身份運作
[[email protected] /]# useradd www
3.2.2 讓主要的檔案歸root使用者所有
[[email protected] /]# mkdir -p /app/blog
[[email protected] /]# mkdir -p /app/blog/upload
[[email protected] /]# ll -d /app/blog/ /app/blog/upload/
drwxr-xr-x 3 root root 4096 Sep 6 10:09 /app/blog/
drwxr-xr-x 2 root root 4096 Sep 6 10:09 /app/blog/upload/
[[email protected] /]# su - www
[[email protected] ~]$ cd /app
app/ application/
[[email protected] ~]$ cd /app/blog/upload/
[[email protected] upload]$
3.2.3 對于使用者上傳的檔案處理
讓使用者上傳的檔案放在屬于www使用者的檔案夾中;
限制檔案的字尾;
上傳之後不能檢視……
[[email protected] /]# chown www.www /app/blog/upload/
[[email protected] /]# ll -d /app/blog/ /app/blog/upload/
drwxr-xr-x 3 root root 4096 Sep 6 10:09 /app/blog/
drwxr-xr-x 2 www www 4096 Sep 6 10:09 /app/blog/upload/
[[email protected] /]# cd /app/blog/upload/
[[email protected] upload]# touch aaa.png
[[email protected] upload]#
第4章 umask - 預設權限控制
控制着linux裡面預設的權限
4.1 系統中檔案和目錄預設權限
file---666 -rw-rw-rw
dir ---777 drwxrwxrwx
4.2 umask 反掩碼計算
預設的最大權限減去 umask
4.2.1 當umask為偶數
執行個體4-1 umask為0022
檔案:
file- 666-022=644
目錄:
dir- 777-022=755
4.2.2 當umask為奇數
執行個體4-2 umask為0032
4.3 當umask為奇數時,計算檔案的預設權限的時候,要在奇數位加1
file- 666-032=634
+010=644
目錄的不變
4.4 示例umask=035
[[email protected] ~]# umask 035
[[email protected] ~]# touch file035
[[email protected] ~]# mkdir dir035
[[email protected] ~]# ll file035 && ll -d dir035
-rw-r---w- 1 root root 0 Sep 6 10:42 file035
drwxr---w- 2 root root 4096 Sep 6 10:42 dir035
file=642 dir=742
4.5 永久修改umask的方法
[[email protected] ~]# vim /etc/profile
if [ $UID -gt 199 ] && [ "`/usr/bin/id -gn`" = "`/usr/bin/id -un`" ]; then
umask 002
else
umask 022
fi
解釋:
如果 [ 使用者UID>=199 ] 并且 [ 使用者的名字 == 使用者組名字 ];然後
umask 002
那麼
umask 022
果如
第5章 檔案系統的權限
5.1 chattr 設定檔案系統的權限(change attr)
chattr +a 隻能追加 (append)
chattr +i 無敵 不能進行任何操作(immutable)
5.2 測試 +a
隻能向檔案中追加内容,不能删除
[[email protected] ~]# chattr +a oldboy.txt
[[email protected] ~]# lsattr oldboy.txt
-----a-------e- oldboy.txt
[[email protected] ~]# echo 123 >> oldboy.txt
[[email protected] ~]# > oldboy.txt
-bash: oldboy.txt: Operation not permitted
5.2.1 取掉權限 -a
[[email protected] ~]# chattr -a oldboy.txt
[[email protected] ~]# lsattr oldboy.txt
-------------e- oldboy.txt
5.3 測試 +i
不能對檔案進行任何操作,root使用者也不能操作。
[[email protected] ~]# chattr +i oldboy.txt
[[email protected] ~]# lsattr oldboy.txt
----i--------e- oldboy.txt
5.4 lsattr
list attr 顯示檔案系統的權限
[[email protected] ~]# lsattr -d /etc/
-------------e- /etc/
第6章 linux的特殊權限
-rw-r--r-- 1 root root 252 Sep 6 11:04 oldboy.txt
這個是9位基礎權限。
linux共12位權限,還有3個特殊權限。
6.1 三種特殊的權限
[[email protected] ~]# ls -ld /tmp/ /usr/bin/passwd /usr/bin/locate /bin/ls
-rwxr-xr-x. 1 root root 117048 Mar 23 02:52 /bin/ls
drwxrwxrwt. 11 root root 4096 Sep 6 11:29 /tmp/
-rwx--s--x. 1 root slocate 38464 Mar 12 2015 /usr/bin/locate
-rwsr-xr-x. 1 root root 30768 Nov 24 2015 /usr/bin/passwd
6.2 rwsr-xr-x
放在主人的位置上 suid ,運作包含suid權限的 指令的時候,相當于這個指令的所有者。
比如:/usr/bin/passwd修改使用者密碼
6.2.1 給rm目錄suid權限
[[email protected] ~]# chmod u+s /bin/rm
[[email protected] ~]# ll /bin/rm
-rwsr-xr-x. 1 root root 57440 Mar 23 02:52 /bin/rm
[[email protected] ~]$ \rm -f /root/oldboy.txt
[[email protected] ~]# chmod u-s /bin/rm
[[email protected] ~]# ll /bin/rm
-rwxr-xr-x. 1 root root 57440 Mar 23 02:52 /bin/rm
6.2.2 suid 之 大S與小s
檔案的權限,有x權限時+s為小s,沒有x時+s為大S
[[email protected] ~]# ll test.txt
-rw-r--r--. 2 root root 22 Sep 4 12:28 test.txt
[[email protected] ~]# chmod u+s test.txt
[[email protected] ~]# ll test.txt
-rwSr--r--. 2 root root 22 Sep 4 12:28 test.txt
[[email protected] ~]# chmod u+x test.txt
[[email protected] ~]# ll test.txt
-rwsr--r--. 2 root root 22 Sep 4 12:28 test.txt
6.3 drwxrwxrwt 粘滞位
[[email protected] ~]# ll -d /tmp/
drwxrwxrwt. 11 root root 4096 Sep 6 11:29 /tmp/
設定了粘滞位的目錄在目錄下面建立的檔案隻能自己管理自己的
6.4 rwx--s--x sgid
使用者運作locate的時候是slocate組的。很少使用!
rwx--s--x. 1 root slocate 38464 Mar 12 2015 /usr/bin/locate
第7章 系統中病毒怎麼辦
7.1 解絕辦法
1、使用top 指令看誰用的cpu最多
2、找出占用cpu 或記憶體大的程序的pid号碼
3、根據程序的pid 殺掉程序
7.2 結束程序的方法
[[email protected] ~]# kill 程序号碼
7.3 top指令
PID pid process id 程序的号碼 系統中是唯一的
CMD 程序的名字(指令)
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
14011 oldboy 20 0 102m 672 568 R 19.2 0.1 0:09.45 dd
本文由 CentOS中文站 - 專注Linux技術 作者:centos 發表,其版權均為 CentOS中文站 - 專注Linux技術 所有,文章内容系作者個人觀點,不代表 CentOS中文站 - 專注Linux技術 對觀點贊同或支援。如需轉載,請注明文章來源。
版權聲明:本文為CSDN部落客「weixin_34364071」的原創文章,遵循CC 4.0 BY-SA版權協定,轉載請附上原文出處連結及本聲明。
原文連結:https://blog.csdn.net/weixin_34364071/article/details/92384574