Linux系統中的權限管理

• 1 權限檢視及讀取
• • 1.1 權限檢視
  • 1.2 權限的讀取
• 2 檔案使用者及使用者組管理
• 3 普通權限的類型及作用
• • 3.1 使用者對檔案的身份
  • 3.2 權限位
  • 3.3 使用者身份比對
  • 3.4 權限類型
• 4 設定普通權限的方法
• • 4.1 字元方式設定權限
  • 4.2 複制權限
  • 4.3 數字方式設定權限
• 5 系統預設權限設定
• • 5.1 保留權力
  • 5.2 臨時更改
  • 5.3 永久更改
• 6 特殊權限
• • 6.1 stickyid 粘制位
  • 6.2 suid 冒險位
  • 6.3 sgid 強制位
• 7 acl權限清單
• • 7.1 acl清單開啟辨別
  • 7.2 acl清單權限讀取
  • 7.3 acl清單的控制
  • 7.4 acl 權限優先級
  • 7.5 acl的mask 控制
  • 7.6 acl 清單的預設權限
• 8 attr權限

1 權限檢視及讀取

1.1 權限檢視

指令	含義
ls -l file	檢視檔案權限
ls -ld dir	檢視目錄權限
ls -lR dir	檢視目錄以及目錄中檔案的權限

1）下圖為分别檢視檔案和目錄的權限：

注意：ls -l file和 ll file都表示檢視檔案權限。

ls -ld dir 和 ll -ld dir 都表示檢視目錄權限。（ll相當于該指令的别名）

2）下圖表示在一個目錄内建立檔案：

下圖是分别使用ls指令的-l參數和-lR參數檢視目錄中的内容，可見使用-l參數隻能把所有檔案的屬性和目錄的屬性顯示出來，無法把目錄裡面的檔案屬性也顯示出來，而使用-lR參數，可以實作遞歸顯示，将檔案、目錄和目錄中的檔案屬性都顯示出來：

3）在系統中，可以輸入alias來檢視指令的别名，如下圖：

1.2 權限的讀取

1）檔案權限資訊

2）目錄權限資訊

3）對于每一位的解釋

[1]檔案類型

‘-’ ：普通檔案（沒有系統功能的檔案/指令）

‘d’ ：目錄

‘l’ ：軟連接配接（相當于快捷方式）

‘b’ ：塊裝置（一般情況系統用于管理存儲檔案的類型）

‘c’ ：字元裝置

‘s’ ：socket套接字（相當于程式的入口，若該入口存在，則可以進入該程式；若把該入口删除，則無法再進入該程式，我們平時看到的各種可以直接使用的指令是已經封裝好的程式，沒有套接字，即沒有該入口）

‘p’ 管道 |

[2] 使用者權限

rw-|r–|r–

第一位表示所有者的權力 ，第二位表示所屬組的權力 ，第三位表示其他人的權力

[3] 系統的selinux開啟

表示檔案是加載了安全上下文的，而安全上下文的啟動程式是由selinux開啟的

selinux叫做核心級的加強型火牆，在開啟時會給系統中的每個程式加載一個安全上下文，使用‘ls -Z file’指令 可以檢視安全上下文。加載過安全上下文的檔案，就會出現這個第三位的點，否則沒有該點

[4]對于檔案:檔案内容被系統記錄的次數(硬連結個數)

對于目錄:目錄中子目錄的個數

[5] 檔案擁有者

[6] 檔案擁有組

[7] 對于檔案:檔案内容大小（檔案内容的位元組數）

對于目錄:目錄中子檔案的中繼資料大小

注意：檔案的屬性（中繼資料）的大小，檔案的屬性就是ls -l file 檢視顯示出來的内容，有幾個屬性就有幾個位元組

目錄中子檔案的中繼資料大小=不含檔案的目錄的第七位權限的值+建立檔案後該子檔案中繼資料位元組數

子檔案中繼資料位元組數=檔案除最後一位中繼資料的個數（8）+最後一位檔案名位元組數

一種中繼資料用1個byte來記錄内容

如下圖所示，首先檢視/mnt/westos目錄的權限，第七位是6，在該目錄下建立名為1的檔案，該檔案中繼資料大小為9，建立成功後再檢視該目錄的權限，第七位大小為15，是由6+9得來；同理在該目錄下建立名為11的檔案，該檔案中繼資料大小為10，建立成功後再檢視該目錄的權限，第七位大小為16，是由6+10得來：

[8] 檔案内容被修改的時間

（字元相當于檔案内的内容）檔案的内容被改變，檔案的最後一次修改時間就會改變；

（檔案的屬性或叫中繼資料相當于目錄裡面的内容）目錄當中檔案的屬性被改變，那麼目錄的最後一次修改時間才會改變。

[9] 檔案名稱

2 檔案使用者及使用者組管理

指令	含義
chown username file	更改檔案擁有者
chogrp groupname file	更改檔案擁有組
chown username：groupname file	同時更改檔案的擁有者和擁有組
chown -R user dir	更改目錄本身及目錄中内容的擁有者
chgrp -R group dir	更改目錄本身及目錄中内容的擁有組

1）建立監控檢視/mnt目錄下的的檔案、目錄和目錄下的檔案：

檢視初始監控内容：

檢視/etc/group目錄下自己建立的組：

2）改變westos1檔案的所有人為westos：

檢視監控變化：

3）改變westosdir/目錄的所有人為westos：

注意：這樣隻會改變目錄本身的所有人，不會改變目錄中檔案的所有人。

檢視監控變化：

4）改變westosdir/目錄和目錄下檔案的所有人為westos：

檢視監控變化：

5）改變westos1檔案的所有組為lee：

檢視監控變化：

6）同時修改westosdir/目錄的所有人和所有組，所有人為test，所有組為lee ：

檢視監控變化：

7）同時修改westosdir/目錄和目錄下檔案的所有人和所有組，所有人為test，所有組為lee ：

檢視監控變化：

8）同時修改westos3檔案的所有人和所有組：

檢視監控變化：

9）給westos1檔案中填寫内容：

檢視監控檔案大小變化：

注意：同時修改所有人和所有組時，可用逗号隔開，也可用冒号隔開。

3 普通權限的類型及作用

3.1 使用者對檔案的身份

字元	含義
u	user ，檔案的擁有者,ls -l 看到的第五列資訊
g	group，檔案擁有組, ls -l 看到的第六列資訊
o	other，既不是擁有者也不是擁有組成員的其他使用者的通稱

3.2 權限位

eg：-|rw-|r–|r-- . 1 westos lee 0 jan 27 10：37 westos1

表示westos對該檔案有rw-權限，lee組對該檔案有r–權限。既不是westos擁有者，也不是lee擁有組，而是其他人，比如root使用者或其他使用者，對該檔案有r–權限。

3.3 使用者身份比對

使用者的優先級>組的優先級>其他人的優先級

3.4 權限類型

類型	含義
-	權限未開啟
r	可讀；對于檔案:可以讀取檔案内容；對于目錄:可以ls列出目錄中的檔案
w	可寫；對于檔案:可以更改檔案内容；對于目錄:可以在目錄中建立或者删除檔案
x	可執行；對于檔案:可以用檔案名稱調用檔案内記錄的程式；對于目錄:可以進入目錄中

4 設定普通權限的方法

r、w、x權限是linux安全機制中最底層的安全機制。

4.1 字元方式設定權限

使用方法：chmod <a|u|g|o><+|-|=><r|w|x> file ##a代表all可同時設定所有權限

eg：

chmod a-r /mnt/westos2 ##a-r表示第二列的三位同時減去r權限

chmod ugo=— /mnt/westos3 ## ugo和a是一個意思，ugo=—表示第二列的三位同時去掉所有權限

1）超級使用者把westos1檔案對于其他人的可讀關閉：

檢視監控變化：

關閉後使用普通使用者檢視該檔案被拒絕：

2）超級使用者把westosdir目錄對于其他人的可讀關閉：

檢視監控變化：

使用普通使用者檢視目錄内容被拒絕：

3）超級使用者把westosdir目錄對于其他人的可讀開放：

使用普通使用者檢視目錄内容：

檢視監控變化：

4）超級使用者把westos1檔案對于其他人的可讀開放：

檢視監控變化：

普通使用者在westos1檔案中寫入内容被拒絕，因為該檔案的寫入權限未對其他人開放：

超級使用者把westos1檔案對于其他人的可寫開放：

檢視監控變化：

普通使用者對該檔案可寫：

5）普通使用者在/mnt/westosdir目錄下建立檔案被拒絕：

超級使用者開放該目錄的可寫權限：

檢視監控變化：

普用使用者在該目錄下建立檔案：

檢視監控，建立成功：

6）在westos1檔案中寫入指令date：

檢視檔案内容：

普通使用者使用檔案名稱調用檔案内記錄的程式被拒絕：

超級使用者開放其他人對該檔案的可執行權限：

檢視監控變化：

普通使用者使用檔案名稱調用檔案内記錄的程式成功：

7）普通使用者進入該目錄成功：

超級使用者關閉普通使用者對目錄的可執行權限：

檢視監控變化：

普通使用者進入該目錄被拒絕：

8）使用超級使用者對westos2檔案關閉所有可讀權限：

檢視監控：

9）使用超級使用者對westos3檔案關閉所有權限：

檢視監控：

注意：當一個檔案不可讀時，一定不可寫；當一個檔案可讀時，沒有可寫權限時，依舊是不可寫入的。

4.2 複制權限

指令	含義
chmod --reference=/tmp /mnt/westosdir	複制/tmp目錄的權限到/mnt/westosdir上
chmod -R --reference=/tmp /mnt/westosdir	複制/tmp目錄的權限到/mnt/westosdir及目錄中的子檔案上 -R 代表第歸操作

将/mnt/westos1目錄的權限複制到/mnt/westos2上：

未複制權限前的監控：

複制權限後的監控變化：

4.3 數字方式設定權限

1）數字方式設定權限，是設定普通權限最常用的方式，即波爾值表示方式：三位二進制。

eg：

上面示例的指令表示為：chmod 664 filename

2）三位二進制可以表示的最大範圍為8：

rwx=111=7

rw-=110=6

r-x=101=5

r–=100=4=r

-wx=011=3

-w-=010=2=w

–x=001=1=x

—=000=0

下圖為使用數字方式設定權限：

5 系統預設權限設定

系統本身存在的意義是共享資源,從安全角度講系統共享的資源越少,開放的權力越小系統安全性越高;既要保證系統安全,又要系統創造價值,于是把應該開放的權力預設開放,把不安全的權力預設保留。

5.1 保留權力

linux中所用的檔案系統是：xfs檔案系統。檔案系統本身會預留一個權限：111，但不同檔案系統預留的權限是不一樣的，我們所用的檔案系統可以使用blkid指令檢視。檔案上所去掉的權力，不是系統設定的預留，而是檔案系統設定的預留。

blkid指令檢視檔案系統：

系統預留權限即使用者不需要且會影響系統安全性能的。

檔案預設權限：

-rw-|r–|r–

001|011|011=133（和上面的波爾值表示方法相反，這裡1表示系統預留，即不開放的）

目錄預設權限：

drwx|r-x|r-x

000|010|010=022

5.2 臨時更改

指令	含義
umask	檢視系統保留權力
umask 權限值	臨時設定系統預留權力

檔案預設權限 = 777-umask-111（umask是系統預留的權限，111是檔案系統預留的權限）

目錄預設權限 = 777-umask

umask值越大系統安全性越高

1）建立檔案和目錄并檢視權限：

使用umask檢視系統預留目錄權限：

2）臨時設定系統預留權力（umask 077：

注意：作出臨時更改後，當退出該shell，再重新打開一個shell，建立檔案和目錄時，umask臨時設定的值會還原。

5.3 永久更改

指令	含義
vim /etc/bashrc	shell系統配置檔案
vim /etc/profile	系統環境配置檔案

打開系統環境配置檔案 ：

第60行的umask代表普通使用者的預設權限值，第62行代表超級使用者的預設權限值：

檢視檔案預設權限為133：

修改系統環境配置檔案中root使用者的預設檔案權限為077：

打開shell系統配置檔案：

修改shell系統配置檔案中root使用者的預設檔案權限為077：

注意：在将上面兩個檔案都修改之後，設定是不生效的，要使該設定生效，需要使用source重新讀取檔案内容，注意source後面不能同時加多個檔案，值隻能加一個檔案指令。即source作用是使我們更改的内容立即被系統識别：

6 特殊權限

6.1 stickyid 粘制位

針對目錄: 如果一個目錄stickyid開啟,那麼這個目錄中的檔案，隻能被檔案所有者删除（一般都是針對目錄，不針對檔案）

若針對檔案：表示提前把檔案整體加載到分區裡面，作緩存（現在已經不用了）

使用方法：chmod o+t dir 或chmod 1777 dir ##1777表示原來的權限是777權限全開的，1777代表第一位是特殊權限位的設定，其值為1

1） 實驗前準備，建立三個組并設定組号：

檢視所建立的組：

添加使用者：

建立目錄：

設定/pub目錄的權限位為777：

切換不同的使用者在該目錄下建立或删除檔案：

2）設定粘制位，檢視改目錄的權限，最後一位變成t，表示其他人可讀可寫但是不能再執行，即不能删除别人的檔案：

使用不同的使用者建立檔案，每個使用者隻能删除自己建立的檔案，不能删除其他人建立的檔案：

6.2 suid 冒險位

隻針對二進制的可執行檔案(c程式)；當運作二進制可執行檔案時都是用檔案擁有者身份運作，和執行使用者無關。

一個使用者在執行一個程式時，它産生的程序，是誰發起的這個動作，這個程序就是誰的，它和這個檔案屬于誰是沒有關系的。但是如果一個檔案它的權限的u位多了一個s表示當任何人執行該動作時，都是以檔案的所有人身份發起，和是誰執行的沒有關系。

使用方法：chmod u+s dir 或 chmod 4755 dir，表示原來的權限是755，4755表示該特殊權限的設定，值為4。

1）當檢視一個指令屬于哪一個目錄時，可以使用 which 指令：

2）檢視該檔案的所有人和權限：

添加冒險位特殊權限，可以看到它的權限的u位多了一個s表示當任何人執行該動作時，都是以檔案的所有人身份發起，和是誰執行的沒有關系：

使用westos身份執行該檔案：

檢視其程序，雖然是westos執行的，但是以檔案的所有人root的身份發起：

注意：該功能的用處就是對使用者身份的提升或者下降。一般情況在作權力優化的時候會對 rm這個指令進行優化，對超級使用者來說，該指令會删掉檔案，且無法恢複。是以優化時，就可以使超級使用者在執行該指令的時候用普通使用者的身份執行。

3）建立一個系統使用者，-M不要家目錄且不需要登陸；把/bin/rm所有者改成 ruser，；可以看出該目錄現在屬于ruser使用者，但是超級使用者執行該指令的時候，還不是用ruser使用者；使用冒險位對該檔案的權限作處理，使超級使用者以ruser的身份執行該目錄：

然後以超級使用者去删除根，此時實際上是以普通使用者的身份去執行，那麼删除動作會被拒絕：

此時要執行删除檔案操作時，相當于以普通法使用者的身份去删除root裡面的任意檔案，是不行的。是以，在執行删除操作時，把 /bin/rm檔案複制一份，在删除時可以使用絕對路徑的方式來指定用到的是超級使用者。

注意：此時執行 /root/rm 是以超級使用者身份執行的；執行 rm 是以普通使用者的身份執行的

4）切換到普通使用者，執行/bin/cat檔案：

在指令行裡檢視某個程序資訊，使用ps指令（程序掃描），後面的ax表示:所有在背景運作的

用法：ps ax -o user，group，comm ##檢視系統中所有程序的使用者，組以及程序名稱

ps ax -o user，group，comm | grep cat ##表示把cat的程序過濾出來：

以westos身份運作/bin/cat檔案後，檢視其程序，擁有者和擁有組都是westos：

對該檔案設定冒險位：

再以westos身份執行該檔案：

檢視程序，擁有者變成了root，也就是說用檔案擁有者身份運作,和執行使用者無關：

6.3 sgid 強制位

1）針對目錄: 目錄中建立的檔案自動歸屬到目錄的所屬組中，和是誰建立的檔案沒有關系。也就是說本來是誰建立的檔案，該檔案的組就是誰的。但現在進入一個目錄建立檔案後，我希望這個建立的檔案所屬組和該目錄的所有組一緻而不是和檔案的擁有者的組一緻。

使用方法：chmod g+s dir 或 chmod 2770 dir ，表示原來的權限是770，2770表示該特殊權限的設定，值為2。

檢視所有目錄的權限以及所屬組：

建立該特殊權限，使用不同使用者建立檔案，檢視檔案所屬組：

注意：之前已經建立過的檔案是不會改的，之後建立的檔案所有組會發生改變。

2）sgid還可以針對檔案，隻針對二進制的可執行檔案(c程式)，當運作二進制可執行檔案時都是用檔案擁有組身份運作,和執行使用者無關。

接6.2冒險位的4），對該檔案進行強制位設定：

檢視程序，擁有組變為了root，也就是說執行檔案時是用檔案擁有組身份運作,和執行使用者無關：

檢視該檔案，使用者位和使用者組位均設定了s權限：

取消對該檔案特殊位的設定：

檔案程序恢複初始預設設定：

注意：如果想把這三種特殊權限同時設定 ，可以使用： chmod 7755 dir ，第一位的7（7=1+2+4），可以想設定哪個特殊權限加哪個即可。

7 acl權限清單

全稱：Aiccess Control Lists 通路控制清單

功能：在清單中可以設定特殊使用者對于特殊檔案有特殊權限，即某個特定目錄下隻有某個使用者和超級使用者可以寫入檔案，其他使用者不可以。權限清單的功能和優先級是高于其他權限的。

7.1 acl清單開啟辨別

開啟指令：setfacl -m u:lee:rw westosfile

lee：要授權的特殊使用者

rw：指定權限/也是mask的值

westosfile：某個檔案/某個目錄下的檔案

1）如下所示，沒有"+"代表acl清單未開啟：

2）開啟清單功能：

使用getfacl westosfile檢視清單權限，可以看到上面使用ls指令檢視權限不準确：

注意：開啟後就不能用ls看權限了，此時該指令已經不準确了，因為清單權限的優先級更高，應該使用 getfacl westosfile檢視清單權限。此時改變所有人、所有組時，也不能再用chmod，而是使用setfacl -m 指令去改。

7.2 acl清單權限讀取

acl清單權限讀取：getfacl westosfile

顯示内容分析

内容	含義
file: westosfile	檔案名稱
owner: root	檔案擁有者
group: root	檔案擁有組
user::rw-	檔案擁有者權限
user:lee:rw-	特殊指定使用者權限
group::r–	檔案擁有組權限
group:westos:—	特殊指定的使用者組的權限
mask::rw-	能夠賦予特殊使用者和特殊使用者組的最大權限閥值
other::r–	其他人的權限

注意:當檔案權限清單開啟,不要用ls -l 的方式來讀取檔案的權限

7.3 acl清單的控制

setfacl -m u:lee:rw file

setfacl -m g:westos:rw file

setfacl -m u::rwx file #中間不寫任何東西表示原本的所有者

setfacl -m g::0 file #中間不寫任何東西表示原本的所有組，後面寫0表示所有組的權力為0

setfacl -m o::0 file #去掉其他人的權力

setfacl -x u:lee file #x表示删除清單中的lee使用者

setfacl -x g:leee file #删除清單中的leee組

setfacl -b westosfile file #關閉清單

1）該目錄特殊使用者為westos，對該目錄的所有組和其他人權限設定為0：

切換到westos使用者可以進入該目錄建立、删除檔案，其他使用者不行：

2）建立監控：

監控初始内容，沒有特殊使用者等設定：

可以通過chmod指令來修改該目錄的權限：

檢視監控，修改成功：

3）設定acl權限清單，在該目錄下，設定特殊使用者為westos，指定權力為rxw：

檢視監控，特殊使用者設定成功：

切換至該特殊使用者，建立檔案：

4）設定acl權限清單，在該目錄下，設定特殊組為caiwu，指定權力為rxw：

檢視監控，特殊組設定成功：

5）設定acl權限清單，在該目錄下，設定特殊使用者為lee，指定權力為rxw：

檢視監控，含有兩個特殊使用者：

6）在該目錄下，删除特殊使用者lee：

檢視監控，删除成功：

6）在該目錄下，删除特殊組caiwu：

檢視監控：

7）關閉清單

檢視監控，‘+’号消失，成功關閉清單：

注意：-m表示設定開啟，u指要授予特殊權限的使用者，g指要授予特殊權限的組， o指其他組。

7.4 acl 權限優先級

擁有者 > 特殊指定使用者 > 權限多的組 >權限少的組 > 其他

7.5 acl的mask 控制

mask是能夠賦予指定使用者權限的最大閥值。例如mask的值是rw，而賦予的特殊指定使用者權限是rwx，那麼x權限是無效的。umask是保留值，見前面内容。

當acl清單打開的時後，用ls檢視的權限位的中間三位表示的是mask的值

問題：當設定完畢檔案的acl清單之後用chmod縮小了檔案擁有組的權力，mask會發生變化，如下圖所示：

将修改後的mask值進行恢複:setfacl -m m:所給的權限 檔案，如下所示：

7.6 acl 清單的預設權限

指令	含義
setfacl -m u:lee:rwx /mnt/westosdir	隻對于/mnt/westosdir目錄本身生效
setfacl -Rm u:lee:rwx /mnt/westosdir	對于/mnt/westosdir目錄和目錄中已經存在的内容生效

注意：以上的指令隻針對于存在的檔案生效,建立檔案是不會被設定的

指令	含義
setfacl -m d:u:lee:rwx /mnt/westosdir/	隻針對與/mnt/westosdir目錄中建立檔案生效

注意：該指令隻針對與/mnt/westosdir目錄中建立檔案生效

1）建立監控：

建立目錄、檔案，設定清單權限：

檢視監控：

2）設定特殊使用者及開啟清單，并傳遞到目錄和目錄中已經存在的檔案：

檢視監控：

建立檔案：

檢視監控，建立檔案并沒有開啟清單權限：

3）開啟預設清單權限：

檢視監控，多了三行預設行：

建立檔案：

建立檔案也開開啟了清單權限：

4）單獨設定預設清單權限：

檢視監控：

使用特殊使用者建立檔案被拒：

再作普通的acl設定：

檢視監控：

使用特殊使用者建立檔案，檔案建立成功：

檢視監控

注意：一個目錄上如果單純使用該指令設定default權限後，它不意味着這個目錄本身對指定用可寫，即指定使用者不可以在該目錄下建立檔案，因為它隻針對目錄中建立的檔案生效，此時還應該作普通的acl設定，才能在該目錄下建立檔案

8 attr權限

attr權限限制所有使用者（包括超級使用者在内）

指令	含義
lsattr dir/file	檢視attr權限 ，如果是dir，需要加-d）
chattr +i/+a/-i/-a dir/file	設定attr權限

注意：i 表示不能作任何的更改

a 表示能添加不能删除

eg：

+i 表示隻能看，不能修改，不能設定權限，不能删除

-i 取消i的設定，a的使用同理

1）建立監控：

設定attr+i權限：

檢視監控，設定成功：

建立檔案被拒絕：

2）設定attr-i權限：

檢視監控：

建立檔案：

檢視監控，檔案建立成功：

3）作attr權限+i設定，删除或設定權限失敗：

4）作attr權限+a設定：

檢視監控：

可建立但不能删除檔案：

檢視監控：