Linux用户和权限管理命令
摘要:本文主要介绍了Linux系统中权限的分类,以及对权限的管理。
用户的三种身份
所有者
由于Linux是个多人多工的系统,因此可能常常会有多人同时使用这部主机来进行工作的情况发生,为了考虑每个人的隐私权以及每个人喜好的工作环境,因此,这个所有者的角色就显的相当的重要了。
在某些情况下,文件所有者可以将文件设置成只有所有者可以访问和修改文件的权限,那么其他人就不能访问和修改这个文件了。
所属组
所属组是具有相同特征用户的逻辑集合。
简单的理解,有时我们需要让多个用户具有相同的权限,比如查看、修改某一个文件的权限。一种方法是分别对多个用户进行文件访问授权,如果有很多用户的话,这种方式会进行大量无意义的重复操作。另一种方式就是建立一个用户组,让这个组具有查看、修改此文件的权限,然后将所有需要访问此文件的用户放入这个组中,那么所有用户就具有了和组一样的权限。
其他人
其他既不是所有者,也不在所属组中的用户,就被划分到了其他人。
文件属性
使用ls命令查看文件属性
使用 ls -al 命令查看所有文件的文件属性:
[[email protected] home]# ls -al
总用量 36
drwxr-xr-x. 3 root root 93 7月 11 03:56 .
dr-xr-xr-x. 17 root root 4096 7月 3 16:12 ..
-rw-r--r--. 2 root root 10240 7月 11 01:28 hello
-rw-r--r--. 2 root root 10240 7月 11 01:28 hello-hard
lrwxrwxrwx. 1 root root 5 7月 11 03:56 hello-soft -> hello
-rw-r--r--. 1 root root 506 7月 11 02:27 hello.zip
-rw-r--r--. 1 root root 308 7月 11 02:39 test.zip
drwxr-xr-x. 4 root root 33 7月 11 03:53 zip
[[email protected] home]#
可以看到每一行的内容格式都是相同的,拿第一行举例说明:
1)首先,第一列 drwxr-xr-x 表示的是文件的类型和权限。
2)第二列 3 表示的是文件的连接数。硬链接会增加这个数值,软连接不会。
3)第三列 root 表示的是文件的拥有者。
4)第四列 root 表示的是文件的用户组。
5)第五列 93 表示的是文件的大小,单位是Byte。
6)第六列 7月 表示的是文件最后被修改的月份。
7)第七列 11 表示的是文件最后被修改的日期。
8)第八列 03:56 表示的是文件最后被修改的时间。
9)第九列 . 表示的是文件的名称。如果文件名称是以“.”开头的,说明该文件是隐藏文件。
文件的类型和权限
需要重点说明的是,在文件属性的第一列 drwxr-xr-x 是用来表示文件的类型和权限的,这一列共有10个字符,其含义如下:
1)文件类型
第一个字符“d”表示该文件的类型是目录文件,常见的文件类型如下:
-:常规文件(file)。
d:目录文件(directory)。
b:块设备文件(block device),如硬盘。支持以block为单位进行随机访问。
c:字符设备文件(character device),如键盘。支持以character为单位进行线性访问。
l:符号链接文件(symbolic link),又称软链接文件。
p:命名管道文件(pipe)。
s:套接字文件(socket),用于实现两个进程进行通信。
2)文件权限
在接下来的字符中,以三个为一组,并且都是“rwx”三个参数的组合。其中,“r”表示可读(read),“w”表示可写(write),“x”表示可执行(execute)。注意,“rwx”三个参数的位置不会变,如果没有相应的权限,则使用“-”代替。
1 第一组rwx为所有者的权限,表示可读可写可执行。
2 第二组r-x为所属组的权限,表示可读不可写可执行。
3 第三组r-x为其他人的权限,表示可读不可写可执行。
文件类型
对于文件和目录的访问权力是根据读访问,写访问,和执行访问来定义的。现在介绍Linux文件系统两种很实用的权限i和a。
使用 ls –l 命令可以显示文件的属性以及文件所属的用户和组。
列表的前十个字符是文件的属性。
这十个字符的第一个字符表明文件类型。
常用的文件类型(还有其它的,不常见类型):
| 属性 | 文件类型 |
|---|---|
| - | 一个普通文件 |
| d | 一个目录 |
| l | 一个符号链接。注意对于符号链接文件,剩余的文件属性总是"rwxrwxrwx",而且都是 虚拟值。真正的文件属性是指符号链接所指向的文件的属性。 |
| c | 一个字符设备文件。这种文件类型是指按照字节流,来处理数据的设备。 比如说终端机,或者调制解调器 |
| b | 一个块设备文件。这种文件类型是指按照数据块,来处理数据的设备,例如一个硬盘,或者 CD-ROM 盘。 |
剩下的九个字符,叫做文件模式,代表着文件所有者,文件组所有者,和其他人的读,写,执行权限。
常用的Linux文件权限
- 444 r--r--r--
- 600 rw-------
- 644 rw-r--r--
- 666 rw-rw-rw-
- 700 rwx------
- 744 rwxr--r--
- 755 rwxr-xr-x
- 777 rwxrwxrwx
读取的权限等于4,用r表示;
写入的权限等于2,用w表示;
执行的权限等于1,用x表示;
通过4、2、1的组合,得到以下几种权限:
0(没有权限);4(读取权限);5(4+1 | 读取+执行);6(4+2 | 读取+写入);7(4+2+1 | 读取+写入+执行)
安全权限的临界点
1.目录755,文件644是相对安全的权限;
2.用户为root以及用户组为root
chmod 更改权限
通过八进制表示法,我们使用八进制数字来设置所期望的权限模式。因为每个八进制数字代表了 3个二进制数字,这种对应关系,正好映射到用来存储文件模式所使用的方案上。下表展示了 我们所要表达的意思:
| 八进制 | 二进制 | 文件模式 |
|---|---|---|
| 0 | 000 | --- |
| 1 | 001 | --x |
| 2 | 010 | -w- |
| 3 | 011 | -wx |
| 4 | 100 | r-- |
| 5 | 101 | r-x |
| 6 | 110 | rw- |
| 7 | 111 | rwx |
通过传递参数 “600”,我们能够设置文件所有者的权限为读写权限,而删除用户组和其他人的所有 权限。虽然八进制到二进制的映射看起来不方便,但通常只会用到一些常见的映射关系: 7 (rwx),6 (rw-),5 (r-x),4 (r--),和 0 (---)。
chmod 命令支持一种符号表示法,来指定文件模式。符号表示法分为三部分:更改会影响谁, 要执行哪个操作,要设置哪种权限。通过字符 “u”,“g”,“o”,和 “a” 的组合来指定 要影响的对象,
chmod 命令符号表示法
| 命令 | 解释 |
| u+x | 为文件所有者添加可执行权限。 |
| u-x | 删除文件所有者的可执行权限。 |
| +x | 为文件所有者,用户组,和其他所有人添加可执行权限。 等价于 a+x。 |
| o-rw | 除了文件所有者和用户组,删除其他人的读权限和写权限。 |
| go=rw | 给群组的主人和任意文件拥有者的人读写权限。如果群组的主人或全局之前已经有了执行的权限,他们将被移除。 |
| u+x,go=rw | 给文件拥有者执行权限并给组和其他人读和执行的权限。多种设定可以用逗号分开。 |
符号表示法的优点是, 允许你设置文件模式的单个组成部分的属性,而没有影响其他的部分。
chown - 更改文件所有者和用户组
| 参数 | 结果 |
|---|---|
| cqh | 把文件所有者从当前属主更改为用户 cqh。 |
| cqh:users | 把文件所有者改为用户 cqh,文件用户组改为用户组 users。 |
| :cqh | 把文件用户组改为组cqh,文件所有者不变。 |
| cqh: | 文件所有者改为用户 cqh,文件用户组改为,用户 cqh 登录系统时,所属的用户组。 |
chattr和lsattr -文件或者目录的隐藏属性
chattr可以创建root都不能修改的文件,但是它并不适合所有的目录,不能保护/、/dev、/tmp、/var目录
lsattr可以显示chattr命令设置的文件属性
与chmod这个命令相比,chmod只是改变文件的读写、执行权限,更底层的属性控制是由chattr来改变的。
chattr命令的用法:chattr [ -RVf ] [ -v version ] [ mode ] files…
最关键的是在[mode]部分,[mode]部分是由+-=和[ASacDdIijsTtu]这些字符组合的,这部分是用来控制文件的
属性。
+ :在原有参数设定基础上,追加参数。
- :在原有参数设定基础上,移除参数。
= :更新为指定参数设定。
A:文件或目录的 atime (access time)不可被修改(modified), 可以有效预防例如手提电脑磁盘I/O错误的发生。
S:硬盘I/O同步选项,功能类似sync。
a:即append,设定该参数后,只能向文件中添加数据,而不能删除,多用于服务器日志文件安全,只有root才能设定这个属性。
c:即compresse,设定文件是否经压缩后再存储。读取时需要经过自动解压操作。
d:即no dump,设定文件不能成为dump程序的备份目标。
i:设定文件不能被删除、改名、设定链接关系,同时不能写入或新增内容。i参数对于文件 系统的安全设置有很大帮助。
j:即journal,设定此参数使得当通过mount参数:data=ordered 或者 data=writeback 挂 载的文件系统,文件在写入时会先被记录(在journal中)。如果filesystem被设定参数为 data=journal,则该参数自动失效。
s:保密性地删除文件或目录,即硬盘空间被全部收回。
u:与s相反,当设定为u时,数据内容其实还存在磁盘中,可以用于undeletion。
各参数选项中常用到的是a和i。a选项强制只可添加不可删除,多用于日志系统的安全设定。而i是更为严格的安全设定,只有superuser (root) 或具有CAP_LINUX_IMMUTABLE处理能力(标识)的进程能够施加该选项。
创建不可删除的文件
i:不可修改权限 例:chattr u+i filename 则filename文件就不可修改,无论任何人,如果需要修改需要先删除i权限,用chattr -i filename就可以了。查看文件是否设置了i权限用lsattr filename。
[email protected]:/home/linuxidc/www.linuxidc.com# lsattr linuxmi.txt
-----a--------e--- linuxmi.txt
[email protected]:/home/linuxidc/www.linuxidc.com# chattr +i linuxmi.txt
chattr: 没有那个文件或目录 尝试对linuxmi.txt进行stat调用时
[email protected]:/home/linuxidc/www.linuxidc.com# chattr +i linuxmi.txt
[email protected]:/home/linuxidc/www.linuxidc.com# rm -f linuxmi.txt
rm: 无法删除'linuxmi.txt': 不允许的操作
[email protected]:/home/linuxidc/www.linuxidc.com# lsattr linuxmi.txt
----i---------e--- linuxmi.txt
[email protected]:/home/linuxidc/www.linuxidc.com# chattr -i linuxmi.txt
[email protected]:/home/linuxidc/www.linuxidc.com# rm -f linuxmi.txt
创建只可能追加数据而不能删除的文件(不可使用vim,不可echo >,只能使用echo >>追加)
a:只追加权限, 对于日志系统很好用,这个权限让目标文件只能追加,不能删除,而且不能通过编辑器追加。可以使用chattr +a设置追加权限。
[email protected]:/home/linuxidc/www.linuxidc.com# chattr +a linuxmi.txt
[email protected]:/home/linuxidc/www.linuxidc.com# rm linuxmi.txt
rm: 无法删除'linuxmi.txt': 不允许的操作
[email protected]:/home/linuxidc/www.linuxidc.com# echo 'linuxidc.com' > linuxmi.txt
-su: linuxmi.txt: 不允许的操作
[email protected]:/home/linuxidc/www.linuxidc.com# echo 'linuxidc.com' >> linuxmi.txt
更多Linux命令相关信息见Linux命令大全 专题页面 https://www.linuxidc.com/topicnews.aspx?tid=16
Linux公社的RSS地址:https://www.linuxidc.com/rssFeed.aspx
本文永久更新链接地址:https://www.linuxidc.com/Linux/2019-07/159321.htm