為什么需要權(quán)限管理��?
1.計算機資源有限,我們需要合理的分配計算機資源。
2.Linux是一個多用戶系統(tǒng),對于每一個用戶來說���,個人隱私的保護是十分重要的
目錄的 rwx 權(quán)限
當前用戶:vagrant:vagrant
創(chuàng)建 testdir 目錄,進入 testdir 目錄內(nèi)。創(chuàng)建文件 test����。
$ mkdir testdir
$ cd testdir
$ touch test
修改 testdir 權(quán)限為 000�,嘗試執(zhí)行 ls testdir
$ chmod 000 testdir
$ ls testdir/
ls: cannot open directory testdir/: Permission denied
修改 testdir 權(quán)限為 400,嘗試執(zhí)行 ls testdir
$ chmod 400 testdir
ls -l testdir/
ls: cannot access testdir/test: Permission denied
total 0
-????????? ? ? ? ? ? test
結(jié)果:能夠讀取目錄下文件列表�,但是看不到具體文件信息(權(quán)限、大小�����、用戶組�、時間等),盡管當前用戶是 /testdir/test 的擁有者且具有 rwx 權(quán)限�����。
擁有目錄的 r 權(quán)限可以讀取目錄下的文件列表���。
繼續(xù)�����,嘗試進入 testdir 目錄����。
$ cd testdir/
-bash: cd: testdir/: Permission denied
看來 r 權(quán)限并不能讓我們具有進入目錄。
我們增加一個 x 權(quán)限試試��。
~$ chmod 500 testdir/
~$ cd testdir/
~/testdir$ ls -l
total 0
-rw-rw-r-- 1 vagrant vagrant 0 Nov 19 08:16 test
成功進入�����。
擁有目錄的 x 權(quán)限能夠讓我們進入到目錄下�����。在此工作目錄下����,我們可以查看文件列表及文件的屬性信息。
嘗試刪除 test 文件或者新建文件 test1��。
~/testdir$ rm test
rm: cannot remove ‘test': Permission denied
~/testdir$ touch test1
touch: cannot touch ‘test1': Permission denied
擁有目錄的 r x 權(quán)限并不能允許我們改變目錄的內(nèi)容�。目錄里的文件列表可以看做是目錄的內(nèi)容。
擁有目錄的 w 權(quán)限可以對目錄的內(nèi)容進行增刪�。
~/testdir$ chmod 700 .
~/testdir$ rm test
~/testdir$ touch test1
~/testdir$ ls -l
total 0
-rw-rw-r-- 1 vagrant vagrant 0 Nov 19 08:30 test1
umask
在上面的例子里,我們創(chuàng)建的新文件的權(quán)限是 664(-rw-rw-r--)����,為什么默認權(quán)限會是 664,我如果想改變新文件的默認權(quán)限怎么辦?
控制臺輸入 umask:
umask 是權(quán)限的補碼�����。文件的默認權(quán)限是 666 - umask�。
如果我們創(chuàng)建的文件不想讓其他用戶有 r 權(quán)限,則修改補碼為 0006 即可�。
~/testdir$ umask 0006
~/testdir$ touch test2
~/testdir$ ls -l | grep test2
-rw-rw---- 1 vagrant vagrant 0 Nov 19 08:38 test2
為什么文件的默認權(quán)限不是 777 - umask 呢�?因為新建的文件默認不具有可執(zhí)行權(quán)限,所以只考慮 rw 權(quán)限的話����,這波操作自然是 666 了。
目錄默認具有 x 權(quán)限��,當 umask 是 0002 時��,創(chuàng)建的目錄的默認權(quán)限應該是 777 - 0002 = 775:
~/testdir$ mkdir dir1
~/testdir$ ls -l | grep dir1
drwxrwxr-x 2 vagrant vagrant 4096 Nov 19 08:39 dir1
特殊權(quán)限
SUID
一般來說文件權(quán)限是 rwx���。我們查看一下 passwd(修改密碼命令)的權(quán)限:
~/testdir$ ls -l /usr/bin/passwd
-rwsr-xr-x 1 root root 47032 May 16 2017 /usr/bin/passwd
細心點你會發(fā)現(xiàn)它的用戶權(quán)限的 x 位竟然是 s�����。這個權(quán)限叫 SUID����,僅對二進制程序有效�����。
當用戶具有該文件的執(zhí)行權(quán)限時��,執(zhí)行該文件會短暫的獲取該文件所有者權(quán)限的支持�。
比如:所有用戶的密碼存在 /etc/shadow 這個文件里��,且該文件的權(quán)限默認是 -r-------- root root�����,僅root 用戶具有強制寫入權(quán)限��,那為什么普通用戶還能修改自己的密碼呢����?就是因為 passwd 命令具有 SUID 權(quán)限,用戶執(zhí)行該命令時會獲得文件所有者 root 的權(quán)限支持,從而修改自己的密碼�����。
SGID
當 group 的 x 位置變成 s 時�����,說明該文件具有 SGID 權(quán)限。
SGID 權(quán)限對二進制程序有效�。類似 SUID,用戶在具有文件的 x 權(quán)限時�����,執(zhí)行該文件���,會獲取該文件所屬用戶組的權(quán)限支持�。
除了二進制程序外�,SGID也可以設(shè)置在目錄上�����。
若用戶對該目錄具有 SGID 權(quán)限:
用戶在此目錄下的有效用戶組將會變成該目錄的用戶組�����。
如果用戶具有該目錄的 w 權(quán)限�����,則用戶在此目錄下創(chuàng)建的文件的用戶組與此目錄的用戶組相同���。
該權(quán)限對于項目開發(fā)很重要�����。
SBIT
該權(quán)限目前只對目錄有效:
當用戶對此目錄具有 w,x 權(quán)限,用戶在該目錄下創(chuàng)建文件夾或目錄后����,僅自己和 root 才有權(quán)限刪除該文件��。
Others 的 x 權(quán)限位若為 t��,則說明文件夾具有 SBIT 權(quán)限��。
比如 /tmp 目錄:
$ ls -l / | grep tmp
drwxrwxrwt 4 root root 4096 Nov 19 09:09 tmp
$ sudo -s
# touch test
root@vagrant-ubuntu-trusty-64:/tmp# exit
exit
vagrant@vagrant-ubuntu-trusty-64:/tmp$ rm test
rm: remove write-protected regular empty file ‘test'? y
rm: cannot remove ‘test': Operation not permitted
如何設(shè)置以上三種權(quán)限
如果在普通的權(quán)限設(shè)置的“三個數(shù)字”前再加一個數(shù)字�,那前面這個數(shù)字就代表這幾個權(quán)限了:
- 4 為 SUID
- 2 為 SGID
- 1 為 SBIT
比如:
# chmod 777 /tmp
# ls -l / | grep tmp
drwxrwxrwx 4 root root 4096 Nov 19 09:17 tmp
# chmod 1777 /tmp
# ls -l / | grep tmp
drwxrwxrwt 4 root root 4096 Nov 19 09:17 tmp
End。
總結(jié)
以上就是這篇文章的全部內(nèi)容了�����,希望本文的內(nèi)容對大家的學習或者工作具有一定的參考學習價值��,如果有疑問大家可以留言交流,謝謝大家對腳本之家的支持��。
