Linux安全模型
资源分派
- Authentication:认证,验证用户身份
- Authorization:授权,不同用户设置不同的权限
- Accouting|Audition:审计
当用户登录时,系统会自动分配令牌token,包括用户标识和组成员等信息
修改用户属组等信息后,需要重新登录才会读取新的属性
用户
Linux中的每个用户时通过User ID(UID)来唯一标识的
管理员:root,0
-
普通用户:1-65535,自动分配
-
系统用户:1-999(centos7以后),1-499(centos6以前)
对守护进程获取资源进行权限分配
-
登录用户:1000+(centos7以后),500+(centos6以前)
给用户进行交互式登录使用
-
用户组
Linux中可以将一个或多个用户加入用户组中,用户组时通过Group ID(GID)来唯一标识的。
- 管理员组:root,0
- 普通组:
- 系统组 1-999(CentOS7以后), 系统组:1-499(CentOS 6以前, 对守护进程获取资源进行权限分配
- 普通组: 1000+(CentOS7以后), 给用户使用 , 500+(CentOS 6以前),
用户和组的关系
- 用户的主要组(primary group):用户必须属于一个且有一个主组,默认创建用户时会自动创建和用户名同名的组,作为用户的主要组,由于此组中只有一个用户,又称为私有组
- 用户的附加组(supplementary group):一个用户可以属于零个或多个辅助组
范例
[19:50:16 root@centos8 ~]#id postfix
uid=89(postfix) gid=89(postfix) groups=89(postfix),12(mail)
安全和上下文
Linux安全上下文Context:运行中的程序,即进程 (process), 以进程发起者的身份运行,进程能够访问资源的权限取决于进程的运行者身份
比如:root身份运行/bin/cat /etc/shadow和ding的身份运行/bin/cat /etc/shadow,得到的结果是不同的,shadow能否被访问是由运行者的身份绝对的,非程序本身
范例
[20:36:19 root@centos8 ~]#cat /etc/shadow
root:$6$quwcx10P23K6RB0f$ogijzeNyAc3iGiRm.EA7tSSsi7GWnhzQquvyd8aAc7/76E0cHUJTLIWZPOhaelQjJiyJnaCkqqAt8PqGcBqIy/::0:99999:7:::
bin:*:18027:0:99999:7:::
daemon:*:18027:0:99999:7:::
adm:*:18027:0:99999:7:::
lp:*:18027:0:99999:7:::
sync:*:18027:0:99999:7:::
shutdown:*:18027:0:99999:7:::
....
[20:40:42 root@centos8 ~]#su - ding
[20:40:51 ding@centos8 ~]$cat /etc/shadow
cat: /etc/shadow: Permission denied
用户和组的配置文件
用户和组的主要配置文件
- /etc/passwd:用户及其属性信息(名称、UID、主组ID等)
- /etc/shadow:用户密码及其相关属性
- /etc/group:组及其属性信息
- /etc/gshadow:组密码及其相关属性
passwd文件格式
| 列 | 属性信息 |
|---|---|
| 第一列:root | 登录名 |
| 第二列:x | 密码 |
| 第三列:0 | 用户UID |
| 第四列:0 | 用户GID |
| 第五列:root | 用户全面或注释GECOS |
| 第六列:/root | 用户家目录 |
| 第七列:/bin/bash | 用户默认使用shell |
shadow文件格式
| 列 | 属性信息 |
|---|---|
| 第一列:root | 登录用户名 |
| 第二列:加密数字 | 用户密码:一般sha512加密 |
| 第三列:18473 | 从1970年1月1日起到密码最近一次被更改的使时间 |
| 第四列:0 | 密码再过几天可以被更改(0表示随时可被更改) |
| 第五列:99999 | 密码过几天必须被更改(99999表示永不过期) |
| 第六列:7 | 密码过期前几天系统提醒用户(默认为7天) |
| 第七列:空 | 密码过期几天后账号会被锁定 |
| 第八列:空 | 从1970年1月1日算起,多少天后账号失效 |
更改密码加密算法
authconfig --passalgo=sha256 --update
密码的安全策略
- 足够长
- 使用数字、大写字母、小写字母、及特殊字符中最少3种
- 使用随机密码
- 定期更换,不要使用最近曾经使用过的密码
group文件格式
| 列 | 属性信息 |
|---|---|
| 第一列:root | 群组名称 |
| 第二列:x | 群组密码,通常不需设定,密码记录在/etc/shadow中 |
| 第三列:0 | 群组ID:GID |
| 第四列:空 | 以当前组为附加组的用户列表(用逗号分隔) |
gshdow文件格式
| 列 | 属性信息 |
|---|---|
| 第一列:root | 群组名称 |
| 第二列:空 | 群组密码 |
| 第三列:空 | 组管理员列表:组管理员可以更改组密码和成员 |
| 第四列:空 | 以当前组为附加组的的用户列表(用逗号分隔) |
文件操作
- vipw和vigr:编辑passwd文件和编辑group文件
- pwck和grpck:检查password文件格式和检查group文件格式是否有错
用户和组管理命令
用户创建
useradd命令可以创建新的Linux用户
格式:
useradd [options] LOGIN
常用选项:
-u UID
-o 配合-u选项,不检查UID的唯一性
-g GID:指明用户所属的基本组,可为组名,也可以为GID
-c “COMMENT” 用户的注释信息
-d HOME_DIR 以指定的路径(不存在)为家目录
-s SHELL 指明用户的默认shell程序,可用列表再/etc/shell文件中
-G GROUP1[,GROUP2,...] 为用户指明附加组,组必需事先存在
-N 不创建私有组做主组,使用users组做主组
-r 创建系统用户 CentOS 6之前: ID<500,CentOS 7以后: ID<1000
-m 创建家目录,用于系统用户
-M 不创建家目录,用于非系统用户
-p 指定加密的密码
范例:
usradd -r -u 48 -g apache -s /sbin/nologin -d /var/www -c “Apache” apache
useradd命令默认值设定由/etc/default/useradd定义
[21:10:21 root@centos8 ~]#cat /etc/default/useradd
# useradd defaults file
GROUP=100
HOME=/home
INACTIVE=-1 #对应/etc/shadow文件第七列,即用户密码过期的宽限期
EXPIRE= #对应/etc/shadow文件第八列,即用户账号的有效期
SHELL=/bin/bash
SKEL=/etc/skel #创建新用户默认家目录下的文件
CREATE_MAIL_SPOOL=yes #创建邮箱目录
显示或更改默认设置
#查看默认设置
[08:26:17 root@centos8 ~]#useradd -D
#修改默认shell
[08:26:17 root@centos8 ~]#useradd -D -s /bin/sh
#修改默认家目录
[08:26:17 root@centos8 ~]#useradd -D -b /var
#修改默认组
[08:25:34 root@centos8 ~]#useradd -D -g 1000
新建用户的相关文件
/etc/default/useradd #useradd命令的默认值
/etc/skel/* #新用户家目录下的默认文件
/etc/login.defs #创建新用户默认的密码策略
批量创建用户
#newusers后面直接跟一个文件,文件格式和/etc/passwd的格式相同
newusers passwd格式的文件
批量修改用户口令
echo username:passwd|chpasswd
范例:centos6创建并指定基于sha512的用户密码
[root@centos6 ~]#grub-crypt --help
Usage: grub-crypt [OPTION]...
Encrypt a password.
-h, --help Print this message and exit
-v, --version Print the version information and exit
--md5 Use MD5 to encrypt the password
--sha-256 Use SHA-256 to encrypt the password --sha-512 Use SHA-512 to encrypt the password (default)
Report bugs to <bug-grub@gnu.org>.
EOF
[root@centos6 ~]#grub-crypt --sha-512
Password:
Retype password: $6$v9A2/xUNwAWwEmHN$q7Wz.uscsV/8J5Gss3KslX8hKXOoaP3hDpOBWeBfMQHVIRZiwHUUkii84cvQWIMnvtnXYsdVHuLO4KhOiSOMh/
[root@centos6 ~]#useradd -p '$6$v9A2/xUNwAWwEmHN$q7Wz.uscsV/8J5Gss3KslX8hKXOoaP3hDpOBWeBfMQHVIRZiwHUUkii84cvQWIMnvtnXYsdVHuLO4KhOiSOMh/' test
[root@centos6 ~]#getent shadow test
test:$6$v9A2/xUNwAWwEmHN$q7Wz.uscsV/8J5Gss3KslX8hKXOoaP3hDpOBWeBfMQHVIRZiwHUUkii84cvQWIMnvtnXYsdVHuLO4KhOiSOMh/:18459:0:99999:7:::
范例:利用python程序再CentOS7生成sha512加密密码
[root@centos7 ~]#python -c 'import crypt,getpass;pw="magedu";print(crypt.crypt(pw))'
$6$pt0SFMf6YqKea3mh$.7Hkslg17uI.Wu7BcMJStVVtkzrwktXrOC8DxcMFC4JO1igrqR7VAi87H5PHOuLTUEjl7eJqKUhMT1e9ixojn1
范例:CentOS8 生成sha512加密密码
[08:48:11 root@centos8 ~]#openssl passwd -6 magedu
$6$FeaRA8/K.YKf0E/i$27yzFz1lyeOpgJu3R.iV66KazI.xFhGGDSH.dosAFkRAnmKU775rpJ6/9ssQMj.tGuhiDzfgwUl3hOKC2RgaF0
用户属性修改
usermod 命令可以修改用户属性
格式:
usermod [OPTION] login
常见选项:
-u UID:新UID
-g GID:新主组
-G GROUP1[,GROUP2,..[,GROUPN]]:新附加组,原来的附加组会被覆盖;若保留原有组,则要用-a选项
-s SHELL:新的默认SHELL
-c `COMMENT`:新的注释信息
-d HOME:改变家目录,新的家目录不会自动创建;若要创建新家目录并移动原家数据,同时使用-m选项
-l login_name:新的名字
-L lock指定用户,在/etc/shadow 的密码栏增加 !
-U unlock指定用户,将/etc/shadow 密码栏的 ! 拿掉
-e YYYY-MM-DD:指明用户账号过期日期
-f INACTIVE:设定非活动期限,即宽限期
删除用户
userdel可删除Linux用户
格式:
userdel [OPTION]... Login
常见选项:
-f --force:强制
-r --remove:删除用户家目录和邮箱
查看用户相关的ID信息
id 命令可以查看用户的UID,GID等信息
id [OPTION]... [USER]
常见选项:
-u 显示UID
-g 显示GID
-G 显示用户所属的组的ID
-n 显示名称,需配合ugG使用
切换用户或以其它用户身份执行命令
su:即switch user,命令可以切换用户身份,并指定用户的身份执行命令
格式:
su [options...] [-] [user [args...]]
常见选项:
-l --login su -l UserName 相当于su - UserName
-c --command <command> pass a single command to the shell with -c
切换用户的方式:
- su UserName:非登陆式切换,既不会出现读取目标用户的配置文件,不改变当前工作目录,即不完全切换
- su - UserName:登录式切换,会读取目标用户的配置文件,切换至自己的家目录,即完全切换
说明:root su至其它用户无需密码,非root用户切换时需要密码
注意:su 切换新用户后,使用 exit 退回至旧的用户,而不要再用户 su 切换至旧用户,否则会生成很多的bash子进程,环境可能会混乱。
换个身份执行命令:
su - [-] UserName -c `COMMAND`
范例:
#更改用户登录shell
[root@centos8 ~]#getent passwd
magemage:x:1001:1001::/home/mage:/bin/bash
[root@centos8 ~]#usermod -s /bin/false mage
[root@centos8 ~]#getent passwd
magemage:x:1001:1001::/home/mage:/bin/false
[root@centos8 ~]#su - mage
Last login: Fri Mar 27 09:18:57 CST 2020 on pts/0
[root@centos8 ~]#whoami
root
[root@centos8 ~]#su -s /sbin/nologin wang
This account is currently not available.
[root@centos8 ~]#whoami
root
[root@centos8 ~]#su -s /bin/false wangt
[root@centos8 ~]#whoami
root
#切换用户身份并执行命令
[wang@centos8 ~]$su - root -c "getent shadow"
[root@centos8 ~]#su - wang -c 'touch wang.txt'
[root@centos8 ~]#ll ~wang/
total 0
-rw-rw-r-- 1 wang wang 0 Mar 27 09:31 wang1.txt
-rw-rw-r-- 1 wang wang 0 Mar 27 09:32 wang2.txt
#指定用户运行的shell
[root@centos8 ~]#su bin
This account is currently not available.
[root@centos8 ~]#su -s /bin/bash bin
bash-4.4$ whoami
bin
[root@centos8 ~]#getent passwd tss
tss:x:59:59:Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/sbin/nologin
[root@centos8 ~]#su - -s /bin/bash tss
Last login: Fri Mar 27 09:46:43 CST 2020 on pts/0
[tss@centos8 root]$pwd
/home/tss
[tss@centos8 root]$whoami
tss
设置密码
passwd 可以修改用户密码
passwd [OPTIONS] UserName
常见选项:
-d 删除指定用户密码
-l 锁定指定用户
-u 解锁指定用户
-e 强制用户下次登录修改密码
-f 强制操作
-n mindays:指定最短使用期限
-x maxdays:最大使用期限
-w warndays:提前多少天开始警告
-i inactivedays:非活动期限
--stdin 从标准输入接受用户密码,Ubuntu无此选项
范例:非交互式修改用户密码
#此方式更通过用,适用于各种Linux版本,如Ubuntu
[root@centos8 ~]#echo -e '123456\n123456' | passwd mage
Changing password for user mage.
New password: BAD PASSWORD: The password is shorter than 8 characters
Retype new password: passwd: all authentication tokens updated successfully.
#适用于红帽系类的Linux版本
[root@centos8 ~]#echo '123456' | passwd --stdin mage
Changing password for user mage.
passwd: all authentication tokens updated successfully.
范例:Ubuntu 非交互式修改用户密码
[root@ubuntu1804 ~]#echo wang:centos |chpasswd
[root@ubuntu1804 ~]#passwd wang <<EOF
> centos
> centos
> EOF
Enter new UNIX password: Retype new UNIX password: passwd: password updated successfully
[root@ubuntu1804 ~]#echo -e 'magedu\nmagedu' | passwd wang
Enter new UNIX password: Retype new UNIX password: passwd: password updated successfully
范例;设置用户下次必须更改密码
#使用 -e 选项设置用户下次登录必须更改密码,密码格式必须符合规范
[root@centos8 ~]#useradd wang
[root@centos8 ~]#echo 123456 | passwd --stdin wang
Changing password for user wang.passwd: all authentication tokens updated successfully.[root@centos8 ~]#getent shadow wangwang:$6$4f78ko7hJ4fcMvIH$lpbOkFfziDBLT.8XBCi8c/N7wysDAejN5H9Fgxkt99HRDLTEosO43CKYi2XSSVHxAK568Olj3C5bwfNExlves/:18348:0:99999:7:::
[root@centos8 ~]#passwd -e wang
Expiring password for user wang.passwd: Success
[root@centos8 ~]#getent shadow wangwang:$6$4f78ko7hJ4fcMvIH$lpbOkFfziDBLT.8XBCi8c/N7wysDAejN5H9Fgxkt99HRDLTEosO43CKYi2XSSVHxAK568Olj3C5bwfNExlves/:0:0:99999:7:::
[root@centos8 ~]#su - mage
Last login: Fri Mar 27 09:55:27 CST 2020 on pts/0
[mage@centos8 ~]$su - wang
Password:
You are required to change your password immediately (administrator enforced)Current password:
New password:
BAD PASSWORD:
The password is shorter than 8 characters
New password:
BAD PASSWORD:
The password fails the dictionary check - it is too simplistic/systematic
su: Have exhausted maximum number of retries for service
[mage@centos8 ~]$su - wang
Password:
You are required to change your password immediately (administrator enforced)Current password:
New password:
Retype new password:
Last login: Fri Mar 27 10:01:20 CST 2020 on pts/0
Last failed login: Fri Mar 27 10:02:37 CST 2020 on pts/0
There was 1 failed login attempt since the last successful login.
[wang@centos8 ~]$exit
logout
[mage@centos8 ~]$exit
logout
[root@centos8 ~]#getent shadow wangwang:$6$TX0iLjF52ByHh1zH$g.WI4LNfauuwgnxpRhd7ePqFKHZ85YU3r6Lh2S0PWRXWGjGlDVtomLWqpdiWrT.vwqD/Wzok.kzQhUHc8UCs91:18348:0:99999:7:::
修改用户密码策略
chage 可以i需改用户密码策略
格式:
chage [OPTION]... LOGIN
常见选项:
-d LAST_DAY #更改密码的时间
-m --mindays MIN_DAYS
-M --maxdays MAX_DAYS
-W --warndays WARN_DAYS
-I --inactive INACTIVE #密码过期后的宽限期
-E --expiredate EXPORE_DATE #用户的有效期
-l 显示密码策略
范例:
[10:54:53 root@centos8 ~]#chage -m 3 -M 42 -W 14 -I 7 -E 2020-10-10 wang
[10:55:13 root@centos8 ~]#chage -l wang
Last password change : Aug 01, 2020
Password expires : Sep 12, 2020
Password inactive : Sep 19, 2020
Account expires : Oct 10, 2020
Minimum number of days between password change : 3
Maximum number of days between password change : 42
Number of days of warning before password expires : 14
[10:55:39 root@centos8 ~]#getent shadow wang
wang:$6$RXqjSVDQNjLEY/Zh$G68meoqiSkE1YtDeAq1zbXXnFVS9k6AoUhyb2V0nVnttEW5Q78oV4PzeK7SHCAYMMS2CC8dA7L7BYR5gcCfZe.:18475:3:42:14:7:18545:
#下一次登录强制重设密码
[10:55:56 root@centos8 ~]#chage -d 0 wang
[10:57:19 root@centos8 ~]#getent shadow wang
wang:$6$RXqjSVDQNjLEY/Zh$G68meoqiSkE1YtDeAq1zbXXnFVS9k6AoUhyb2V0nVnttEW5Q78oV4PzeK7SHCAYMMS2CC8dA7L7BYR5gcCfZe.:0:3:42:14:7:18545:
[10:57:25 root@centos8 ~]#chage -l wang
Last password change : password must be changed
Password expires : password must be changed
Password inactive : password must be changed
Account expires : Oct 10, 2020
Minimum number of days between password change : 3
Maximum number of days between password change : 42
Number of days of warning before password expires : 14
用户相关的其它命令
- chfn:指定个人信息
- chsh:指定shell,相当于usermod -s
- finger:可看用户个人信息
[root@centos7 ~]#chfn wang
Changing finger information for wang.
Name [wang]: wangxiaochun
Office []:itOffice
Phone []: 10000
Home Phone []: 11111
Finger information changed.
[root@centos7 ~]#finger wang
Login: wang Name: wangxiaochun
Directory: /home/wang Shell: /bin/bash
Office: it, x1-0000 Home Phone: x1-1111
Never logged in.
No mail.
No Plan.
[root@centos7 ~]#getent passwd wangwang:x:1000:1000:wangxiaochun,it,10000,11111:/home/wang:/bin/bash
[root@centos7 ~]#chsh -s /bin/csh wang
Changing shell for wang.Shell changed.
[root@centos7 ~]#getent passwd wangwang:x:1000:1000:wangsicong,wanda,10000,11111:/home/wang:/bin/csh
[root@centos7 ~]#usermod -s /bin/bash wang
[root@centos7 ~]#getent passwd wangwang:x:1000:1000:wangsicong,wanda,10000,11111:/home/wang:/bin/bash
范例:修改用户使用不可登录的shell类型
[root@centos8 ~]#getent passwd wang wang:x:1000:1000:wangxiaochun,IT,110,119,:/home/wang:/bin/bash
[root@centos8 ~]#chsh -s /sbin/nologin wang
Changing shell for wang.chsh: Warning: "/sbin/nologin" is not listed in /etc/shells.
Shell changed.
[root@centos8 ~]#su - wang
This account is currently not available.
[root@centos8 ~]#chsh -s /bin/false wang
Changing shell for wang.chsh: Warning: "/bin/false" is not listed in /etc/shells.
Shell changed.
[root@centos8 ~]#su - wang
[root@centos8 ~]#id
uid=0(root) gid=0(root) groups=0(root)
[root@centos8 ~]#chsh -s /bin/bash wang
Changing shell for wang.Shell changed.
[root@centos8 ~]#su - wang
创建组
groupadd 实现创建组
格式
groupadd [OPTION]... group_name
创建选项:
-g: GID 指明GID号;[GID_MIN, GID_MAX]
-r: 创建系统组,CentOS 6之前: ID<500,CentOS 7以后: ID<1000
范例:
groupadd -g 48 -r apache
修改组
groupmod 组属性修改
格式:
groupmod [OPTION]... group
常见选项:
- -n:group_name 新名字
- -g:GID 新的GID
删除组
groupdel 可以删除组
格式:
groupdel [options] GROUP
常见选项:
- -f:--force 强制删除,即使是用户的主组也强制删除组
更改组密码
gpasswd 命令,可以更改组密码,也可以修改附加组的成员关系
格式
gpasswd [OPTION] GROUP
常见选项:
-a user 将user添加至指定组中
-d user 从指定附加组中移除用户user
-A user1,user2,... 设置有管理权限的用户列表
范例:
#增加组成员
[root@centos8 ~]#groupadd admins
[root@centos8 ~]#id wang
uid=1000(wang) gid=1000(wang) groups=1000(wang)
[root@centos8 ~]#gpasswd -a wang admins
Adding user wang to group admins
[root@centos8 ~]#id wang
uid=1000(wang) gid=1000(wang) groups=1000(wang),1002(admins)
[root@centos8 ~]#groups wang
wang : wang admins
[root@centos8 ~]#getent group admins
admins:x:1002:wang
#删除组成员[root@centos8 ~]#gpasswd -d wang admins
Removing user wang from group admins
[root@centos8 ~]#groups wang
wang : wang
[root@centos8 ~]#id wanguid=1000(wang) gid=1000(wang) groups=1000(wang)
[root@centos8 ~]#getent group admins
admins:x:1002:
临时切换主组
nwegrp 命令可以临时切换主组,如果用户本不属于此组,则需要组密码
格式:
newgrp [-] [group]
如果使用 - 选项,可以初始化用户环境
[root@centos8 ~]#gpasswd root
Changing the password for group root
New Password:
Re-enter new password:
[root@centos8 ~]#getent gshadow rootroot:$6$UKK78gqOvw/Ug$exBe4gHUYzSj/Gip0YkXII8RkPca7QGVto6Ws5SFd6lhxxklCsfKqiv1qyEQZOfGK2WbR7/I.A2.7j1SUGuB91::
[wang@centos8 ~]$newgrp root
Password:
[wang@centos8 ~]$id
uid=1000(wang) gid=0(root) groups=0(root),1000(wang)
[wang@centos8 ~]$getent passwd wang
wang:x:1000:1000:wangxiaochun,IT,110,119,:/home/wang:/bin/bash
[wang@centos8 ~]$touch wang1.txt
[wang@centos8 ~]$ll
total 0-rw-r--r-- 1 wang root 0 Dec 18 09:38 wang1.txt
[wang@centos8 ~]$exit
exit
[wang@centos8 ~]$id
uid=1000(wang) gid=1000(wang) groups=1000(wang)
[wang@centos8 ~]$touch wang2.txt
[wang@centos8 ~]$ll
total 0
-rw-r--r-- 1 wang root 0 Dec 18 09:38 wang1.txt
-rw-rw-r-- 1 wang wang 0 Dec 18 09:38 wang2.txt
更改和查看组成员
groupmenms 可以管理附加组的成员关系
格式:
groupmems [options] [action]
常见选项:
-g, --group groupname #更改为指定组 (只有root)
-a, --add username #指定用户加入组
-d, --delete username #从组中删除用户
-p, --purge #从组中清除所有成员
-l, --list #显示组成员列表
groups 可以查看用户组关系
格式;
#查看用户所属组列表
groups [OPTION].[USERNAME]...
范例:
[root@centos8 ~]#groupmems -l -g admins
[root@centos8 ~]#groupmems -a mage -g admins
[root@centos8 ~]#id mageu
id=1001(mage) gid=1001(mage) groups=1001(mage),1002(admins)
[root@centos8 ~]#groupmems -l -g adminsmage
[root@centos8 ~]#groupmems -a wang -g admins
[root@centos8 ~]#groupmems -l -g admins
mage wang
[root@centos8 ~]#groupmems -d wang -g admins
[root@centos8 ~]#groups wang
wang : wang admins
[root@centos8 ~]#groupmems -l -g admins
mage
[root@centos8 ~]#groupmems -p -g admins
[root@centos8 ~]#groupmems -l -g admins
文件权限管理
[15:12:15 root@centos8 ~]#ll anaconda-ks.cfg
-rw-------. 1 root root 1555 Jul 29 08:58 anaconda-ks.cfg
#文件属性说明
-rw-------. 权限
1 链接计数
root 所有者
root 所属组
1555 文件大小
Jul 29 08:58 创建和修改时间
anaconda-ks.cfg 文件名
文件所有者和所属组属性操作
设置文件的所有者chown
chown 命令可以修改文件的属主,也可以修改文件的属性
格式:
chown [OPTION]... [OWNER][:[GROUP]] FILE...
chown [OPTION]... --reference=RFILE FILE...
用法说明:
OWNER 只修改所有者
OWNER:GROUP 同时修改所有者和属组
:GROUP 只修改属组,冒号也可以用 . 替换
--reference=RFILE 参考指定的属性来修改
-R 递归,此选项慎用,非常危险
范例:
[root@centos8 data]#cp /etc/fstab f1.txt
[root@centos8 data]#pwd
/data
[root@centos8 data]#ll
total 4
-rw-r--r-- 1 root root 709 Dec 18 10:13 f1.txt
[root@centos8 data]#chown wang f1.txt
[root@centos8 data]#ll
total 4-rw-r--r-- 1 wang root 709 Dec 18 10:13 f1.txt
[root@centos8 data]#chown :admins f1.txt
[root@centos8 data]#ll f1.txt
-rw-r--r-- 1 wang admins 709 Dec 18 10:13 f1.txt
[root@centos8 data]#chown root.bin f1.txt
[root@centos8 data]#ll
total 4
-rw-r--r-- 1 root bin 709 Dec 18 10:13 f1.txt
[root@centos8 data]#chown wang:admins f1.txt
[root@centos8 data]#ll
total 4
-rw-r--r-- 1 wang admins 709 Dec 18 10:13 f1.txt
[root@centos8 data]#cp /etc/issue f2.txt
[root@centos8 data]#ll
total 8
-rw-r--r-- 1 wang admins 709 Dec 18 10:13 f1.txt
-rw-r--r-- 1 root root 23 Dec 18 10:15 f2.txt
[root@centos8 data]#chown --reference=f1.txt f2.txt
[root@centos8 data]#ll
total 8
-rw-r--r-- 1 wang admins 709 Dec 18 10:13 f1.txt
-rw-r--r-- 1 wang admins 23 Dec 18 10:15 f2.txt
范例:
#危险操作
[root@centos8 ~]#chown -R wang.admins /data/
设置文件的属组信息chgrp
chgrp 命令只可以修改文件的属性
格式
chgrp [OPTION]... GROUP FILE...
chgrp [OPTION]... --reference=RFILE FILE...
选项
- -R:递归
范例:
[root@centos8 data]#ll f1.txt
-rw-r--r-- 1 wang root 709 Dec 18 10:13 f1.txt
[root@centos8 data]#chgrp admins f1.txt
[root@centos8 data]#ll f1.txt
-rw-r--r-- 1 wang admins 709 Dec 18 10:13 f1.txt
文件权限
文件权限说明
文件的权限主要针对三类对象进行定义
owner 属主,u
group 属组,g
other 其它,o
注意:用户的最终权限,是从左向右进行顺序匹配,即,所有者,所属组,其他人,一旦匹配权限立即生效,不再向右查看其它权限
每个文件针对每类访问者都定义了三种常用权限
r readable:读
w writable:写
x excutable:执行
对文件的权限:
r 可以用文件查看类工具,比如:cat,可以获取其内容
w 可以修改其内容
x 可以把文件提交内核为启动为一个进程,即可以执行(运行)此文件(此文件的内容必须是可执行)
对目录的权限:
r 可以使用ls查看此目录文件列表
w 可在此目录红创建文件,也可以删除此目录中的文件,而和此被删除的文件权限无关
x 可以cd进此目录,可以使用ls -l查看此目录中文件元数据(须配合r权限),属于目录的可访问的最小权限
X 只给目录x权限,还有有执行权限的文件x权限,不给无执行权限的文件x权限
数学法的权限
| 权限项 | 读 | 写 | 执行 | 读 | 写 | 执行 | 读 | 写 | 执行 |
|---|---|---|---|---|---|---|---|---|---|
| 字符表示 | r | w | x | r | w | x | r | w | x |
| 数字表示 | 4 | 2 | 1 | 4 | 2 | 1 | 4 | 2 | 1 |
八进制数字
--- 000 0
--x 001 1
-w- 010 2
-wx 011 3
r-- 100 4
r-x 101 5
rw- 110 6
rwx 111 7
例如:
rw-r----- 640
rwxr-xr-x 755
修改文件权限chmod
格式
chmod [OPTION]... MODE[,MODE]... FILE...
chmod [OPTION]... OCTAL-MODE FILE...
#参考RFILE文件的权限,将FILE的修改为同RFILE
chmod [OPTION]... --reference=RFILE FILE...
说明:
MODE:who opt permission
who:u,g,o,a
opt:+,-,=
permission:r,w,x
修改指定一类用户的所有权限
u= g= o= ug= a= u=,g=
修改指定一类用户某个或某个权限
u+ u- g+ g- o+ o- a+ a- + -
-R: 递归修改权限
范例:设置 X 权限
[root@centos8 data]#ll dir
total 8
-rw-r--r-- 1 root root 709 Dec 18 11:09 f1.txt
-rwxr--r-- 1 root root 709 Dec 18 11:09 f2.txtd
rw-r--r-- 2 root root 6 Dec 18 11:15 subdir
[root@centos8 data]#ll -d dir
drwxr-xr-- 3 root root 48 Dec 18 11:15 dir
[root@centos8 data]#chmod -R a+X dir
[root@centos8 data]#ll -d dir
drwxr-xr-x 3 root root 48 Dec 18 11:15 dir
[root@centos8 data]#ll dir
total 8
-rw-r--r-- 1 root root 709 Dec 18 11:09 f1.txt
-rwxr-xr-x 1 root root 709 Dec 18 11:09 f2.txt
drwxr-xr-x 2 root root 6 Dec 18 11:15 subdir
范例:
chmod u+wx,g-r,o=rx file
chmod -R g+rwx /test
dirchmod 600 file
新建文件和目录的默认权限
umask值可以用来保留在创建文件权限
实现方式:
- 新建文件的默认权限:666-umask,如果所得结果某位此乃在执行(奇数)权限,则将其权限+1,偶数不变
- 新建目录的默认权限:777-umask
非特权用户的umask默认是 002
root的umask默认是 022
查看umask
[16:07:06 root@centos8 dir]#umask
0022
#模式方式显示
[16:19:46 root@centos8 dir]#umask -S
u=rwx,g=rx,o=rx
#输出可被调用
[16:19:53 root@centos8 dir]#umask -p
umask 0022
修改umask
umask #
[16:19:56 root@centos8 dir]#umask 002
[16:22:54 root@centos8 dir]#umask u=rw,g=r,o=
持久保存umask
- 全局设置:/etc/bashrc
- 用户设置:~/.bashrc
Linux文件系统上的特殊权限
前面介绍了三种常见的权限:r,w,x 还有三种特殊权限:SUID, SGID, Sticky
特殊权限SUID
前提:进程有属主和属组;文件有属主和属组
- 任何一个可执行程序文件能不能启动为进程,取决于发起者对程序文件是否有执行权限
- 启动为进程之后,其进程的属主为发起者,进程的属组为发起者所属的组
- 进程访问文件的权限,取决于进程的发起者
- 进程的发起者,同文件的属主:则应用文件属主权限
- 进程的发起者,属于文件属组:则应用文件属组权限
- 用用文件“其它”权限
二进制的可执行文件上SUID权限功能:
- 任何一个可执行程序文件能不能启动为进程:取决发起者对程序文件是否拥有执行权限
- 启动为进程后,其进程的属主为原程序文件的属主
- SUID只对二进制可执行程序有效
- SUID设置在目录上无意义
SUID权限设定:
chmod u+s FILE...
chmod 6xxx FILE
chmod u-s FILE...
范例:
[root@centos8 ~]#ls -l /usr/bin/passwd
-rwsr-xr-x. 1 root root 34928 May 11 2019 /usr/bin/passwd
特殊权限SGID
二进制的可执行文件上SGID权限功能:
- 任何一个可执行程序文件能不能启动为进程:取决于发起者对程序文件是否有用执行权限
- 启动为进程之后,其进程的属组为原程序文件的属组
SGID权限设定:
chmod g+s FILE...
chmod 2xxx FILE
chmod g-s FILE...
目录上的SGID权限功能:
默认情况下,用户创建文件时,其属组为此用户所属的主组,一旦目录被设定了SGID,则对此目录有写权限的用户在a此目录中创建的文件所属的组为此目录的属组,通常用于创建一个协作目录
SGID权限设定:
chmod g+s DIR...
chmod 2xxx DIR
chmod g-s DIR...
特殊权限Sticky位
具有写权限的目录通常用户可以删除改目录中的任何文件,无论该文件的权限或拥有权在目录设置Sticky位,只有文件的所有者或root可以删除该文件
Sticky权限设定:
chmod o+t DIR...
chmod 1xxx DIR
chmod o-t DIR...
范例:
[16:53:50 root@centos8 dir]#ll -d /tmp
drwxrwxrwt. 13 root root 4096 Aug 1 16:15 /tmp
特殊权限数字法
SUID SGID STICKY
000 0
001 1
010 2
011 3
100 4
101 5
110 6
111 7
#范例
[17:10:40 root@centos8 dir]#chmod 4777 f1.txt
[17:12:33 root@centos8 dir]#ll f1.txt
-rwsrwxrwx. 1 root root 0 Aug 1 16:05 f1.txt
权限位映射
SUID:user,占据属主的执行权限位
小写s:属主拥有x权限
大写S:属主没有x权限
SGID:group,占据属组的执行权限位
小写s:group拥有x权限
大写S:group没有x权限
Sticky:other,占据other的执行权限位
小写t:other拥有x权限
大写T:other没有x权限
设定文件特殊属性
设置文件的特殊属性,可以防止root用户操作误操作删除或修改文件
#不能删除,改名,更改
chattr +i
#只能追加内容,不能删除,改名
chattr +a
#显示特定属性
lsattr
范例:
17:31:03 root@centos8 ~]#chattr +i dir
[17:31:17 root@centos8 ~]#lsattr dir
------------------ dir/f1.txt
------------------ dir/f2.txt
------------------ dir/d1
[17:31:23 root@centos8 ~]#lsattr *
------------------ anaconda-ks.cfg
------------------ cgooddir
------------------ cgooddir.disk
------------------ cgooddisk
[17:31:39 root@centos8 ~]#ll
total 24
-rw-------. 1 root root 1555 Jul 29 08:58 anaconda-ks.cfg
-rw-r--r--. 1 root root 0 Jul 31 08:40 cgooddir
-rw-r--r--. 1 root root 0 Jul 31 08:39 cgooddir.disk
-rw-r--r--. 1 root root 0 Jul 31 08:40 cgooddisk
-rw-r--r--. 1 root root 0 Jul 31 08:40 cgoodfile
drwxr-xr-x. 3 root root 44 Aug 1 16:06 dir
[17:33:21 root@centos8 ~]#rm -rf dir
rm: cannot remove 'dir/f1.txt': Operation not permitted
rm: cannot remove 'dir/f2.txt': Operation not permitted
rm: cannot remove 'dir/d1': Operation not permitted
[17:33:25 root@centos8 ~]#lsattr
------------------ ./anaconda-ks.cfg
------------------ ./win.txt
------------------ ./linux.txt
----i------------- ./dir
[17:35:57 root@centos8 ~]#chattr -i dir
[17:33:25 root@centos8 ~]#lsattr
------------------ ./anaconda-ks.cfg
------------------ ./win.txt
------------------ ./linux.txt
------------------ ./dir
访问控制列表
ACL权限功能
ACL: Access Control List ,实现灵活的权限管理
除了文件的所有者,所属组和其他人,可以对更多的用户设置权限
Centos7默认创建的xfs和ext4文件系统具有ACL功能
Centos7之前的版本,默认手工创建的ext4文件系统无ACL功能,需手动增加
tune2fs –o acl /dev/sdb1
mount –o acl /dev/sdb1 /mnt/test
ACL生效顺序:
所有者,自定义用户,所属组|自定义组,其他人
ACL相关命令
setfacl 可以设置ACL权限
getfacl 可查看设置的ACL权限
范例
[17:42:38 root@centos8 dir]#ll
total 0
-rw-r--r--. 1 root root 0 Aug 1 16:05 f1.txt
[17:42:39 root@centos8 dir]#setfacl -m u:ding:- f1.txt
[17:44:37 root@centos8 dir]#ll f1.txt
-rw-r--r--+ 1 root root 0 Aug 1 16:05 f1.txt
[17:44:44 root@centos8 dir]#getfacl f1.txt
# file: f1.txt
# owner: root
# group: root
user::rw-
user:ding:---
group::r--
mask::r--
other::r--
[17:45:02 root@centos8 dir]#su ding
[17:45:42 ding@centos8 dir]$cat f1.txt
cat: f1.txt: Permission denied
[17:45:50 ding@centos8 dir]$echo xx >> f1.txt
bash: f1.txt: Permission denied
范例
[root@centos8 data]#getfacl f1.txt
# file: f1.txt
# owner: root
# group: root
user::rw-
group::r--
other::r--
[root@centos8 data]#setfacl -m u:wang:0 f1.txt
[root@centos8 data]#setfacl -m g:admins:w f1.txt
[root@centos8 data]#ll
f1.txt-rw-rw-r--+ 1 root root 718 Dec 18 14:44 f1.txt
[root@centos8 data]#getfacl f1.txt
# file: f1.txt
# owner: root
# group: root
user::rw-
user:wang:---
group::r--
group:admins:-w-
mask::rw-
other::r--
[root@centos8 data]#id wang
uid=1000(wang) gid=1000(wang) groups=1000(wang)
[root@centos8 data]#id mage
uid=1001(mage) gid=1001(mage) groups=1001(mage)
[root@centos8 data]#su mage
[mage@centos8 data]$cat f1.txt
#
# /etc/fstab# Created by anaconda on Wed Dec 11 11:11:16 2019
#
# Accessible filesystems, by reference, are maintained under '/dev/disk/'.# See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info.
#
# After editing this file, run 'systemctl daemon-reload' to update systemd# units generated from this file.
#UUID=1b950ef9-7142-46bd-975c-c4ac1e0d47e8 / xfs
defaults 0 0
UUID=667a4c81-8b4b-4a39-a111-b11cb6d09309 /boot ext4
defaults 1 2
UUID=38d14714-c018-41d5-922c-49e415decbca /data xfs
defaults 0 0
UUID=a0efb2bb-8227-4317-a79d-0a70d515046c swap swap
defaults 0 0
magedata
[mage@centos8 data]$echo magedata2 >> f1.txt
bash: f1.txt: Permission denied
[mage@centos8 data]$exit
exit
[root@centos8 data]#gpasswd -a mage admins
Adding user mage to group admins
[root@centos8 data]#id mage
uid=1001(mage) gid=1001(mage) groups=1001(mage),1002(admins)
[root@centos8 data]#su mage
[mage@centos8 data]$echo magedata3 >> f1.txt
[mage@centos8 data]$cat f1.txt
cat: f1.txt: Permission denied
[mage@centos8 data]$exit
exit
[root@centos8 data]#su wang
[wang@centos8 data]$cat f1.txt
cat: f1.txt: Permission denied
[wang@centos8 data]$echo wangdata >> f1.txt
bash: f1.txt: Permission denied
[wang@centos8 data]$exit
exit
[root@centos8 data]#groupmems -a wang -g admins
[root@centos8 data]#id wang
uid=1000(wang) gid=1000(wang) groups=1000(wang),1002(admins)
[root@centos8 data]#su wang
[wang@centos8 data]$getfacl f1.txt
# file: f1.txt
# owner: root
# group: root
user::rw-
user:wang:---
group::r--
group:admins:-w-
mask::rw-other::r--
[wang@centos8 data]$cat f1.txt
cat: f1.txt: Permission denied
[wang@centos8 data]$echo wangdata2 >> f1.txt
bash: f1.txt: Permission denie
范例:
mount -o acl /directory
getfacl file |directory
setfacl -m u:wang:rwx file|directory
setfacl -m g:admins:rw file| directory
setfacl -x u:wang file |directory
#清除所有ACL权限
setfacl -b file1
#复制file1的acl权限给file2
getfacl file1 | setfacl --set-file=- file2
mask 权限
- mask只影响除所有者和other的之外的人和组的最大权限
- mask需要与用户的权限进行逻辑与运算后,才能变成有限的权限(Effective Permission)
- 用户或组的设置必须在于mask权限设定范围内才会生效
范例:
setfacl -m mask::rx file
#临时修改的umask值,命令执行后umask会回到系统设定的值,因为小括号开启了一个子shell
[root@centos8 data]#(umaks 077;touch f1.txt)
范例
[root@centos8 data]#ll f1.txt
-rw-rw-r--+ 1 root root 728 Dec 18 14:51 f1.txt
[root@centos8 data]#chmod g=r f1.txt
[root@centos8 data]#ll f1.txt
-rw-r--r--+ 1 root root 728 Dec 18 14:51 f1.txt
[root@centos8 data]#getfacl f1.txt
# file: f1.txt
# owner: root
# group: root
user::rw-
user:wang:---
group::r--
group:admins:-w- #effective:---
mask::r--
other::r--
[root@centos8 data]#setfacl -m mask::rw f1.txt
[root@centos8 data]#getfacl f1.txt
# file: f1.txt
# owner: root
# group: root
user::rw-
user:wang:---
group::r--
group:admins:-w-
mask::rw-
other::r--
[root@centos8 data]#setfacl -m u:wang:rwx f1.txt
[root@centos8 data]#getfacl f1.txt
# file: f1.txt
# owner: root
# group: root
user::rw-
user:wang:rwx
group::r--
group:admins:-w-
mask::rwx
other::r--
[rot@centos8 data]#setfacl -m mask::rw f1.txt
[root@centos8 data]#getfacl f1.txt
# file: f1.txt
# owner: root
# group: root
user::rw-
user:wang:rwx #effective:rw-
group::r--
group:admins:-w-
mask::rw-
other::r--
--set选项会把原有的ACL项都删除,用新的代替,需要注意的是一定要包含UGO的设置,不能像-m一样只是添加ACL就可以
setfacl --set u::rw,u:wang:rw,g::r,o::- file1
备份和还原ACL
主要的文件操作命令cp和mv都支持ACL,只是cp命令需要加上-p参数,但是tar等常见的备份工具是不会保留目录和文件的ACL信息
范例:
#备份ACL
getfacl -R /tmp/dir > acl.txt
#消除ACL权限
setfacl -R -b /tmp/dir
#还原ACL权限
setfacl -R --set-file=acl.txt /tmp/dir
#还原ACL权限
setfacl --restore acl.txt
#查看ACL权限
getfacl -R /tmp/dir
范例;
[root@centos8 data]#getfacl *
# file: f1.txt
# owner: root
# group: root
user::rw-
user:wang:rwx #effective:rw-
group::r--
group:admins:-w-
mask::rw-
other::r--
# file: f2.txt
# owner: root
# group: root
user::rw-
group::r--
other::r--
# file: f3.txt
# owner: root
# group: root
user::rw-
user:wang:rwx #effective:rw-
group::r--
group:admins:-w-
mask::rw-
other::r--
[root@centos8 data]#cd
[root@centos8 ~]#tar cvf data.tar
/data/tar: Removing leading `/' from membernames
/data/
/data/f1.txt
/data/f2.txt
/data/f3.txt
[root@centos8 ~]#tar xvf data.tar -C /opt
data/
data/f1.txt
data/f2.txt
data/f3.txt
[root@centos8 ~]#ls /opt
data
[root@centos8 ~]#cd /opt/data
[root@centos8 data]#ll
total 12
-rw-rw-r-- 1 root root 728 Dec 18 14:51 f1.txt
-rw-r--r-- 1 root root 728 Dec 18 15:01 f2.txt
-rw-rw-r-- 1 root root 728 Dec 18 14:51 f3.txt
[root@centos8 data]#getfacl -R /data > /root/acl.txt
getfacl: Removing leading '/' from absolute path names
[root@centos8 data]#cat /root/acl.txt
# file: data
# owner: root
# group: admins
user::rwx
group::rwx
other::rwx
# file: data/f1.txt
# owner: root
# group: root
user::rw-
user:wang:rwx
#effective:rw-
group::r--
group:admins:-w-
mask::rw-
other::r--
# file: data/f2.txt
# owner: root
# group: root
user::rw-
group::r--
other::r--
# file: data/f3.txt
# owner: root
# group: root
user::rw-
user:wang:rwx #effective:rw-
group::r--
group:admins:-w-
mask::rw-other::r--
[root@centos8 data]#ll /opt/data
total 12
-rw-rw-r-- 1 root root 728 Dec 18 14:51 f1.txt
-rw-r--r-- 1 root root 728 Dec 18 15:01 f2.txt
-rw-rw-r-- 1 root root 728 Dec 18 14:51 f3.txt
[root@centos8 data]#cd
[root@centos8 ~]#setfacl -R --set-file=/root/acl.txt /opt
[root@centos8 ~]#ll /opt/data/
total 12
-rw-rw-r--+ 1 root root 728 Dec 18 14:51 f1.txt
-rw-rw-r--+ 1 root root 728 Dec 18 15:01 f2.txt
-rw-rw-r--+ 1 root root 728 Dec 18 14:51 f3.txt
[root@centos8 ~]#setfacl -b -R /opt/data
[root@centos8 ~]#ll /opt/data
total 12
-rw-r--r-- 1 root root 728 Dec 18 14:51 f1.txt
-rw-r--r-- 1 root root 728 Dec 18 15:01 f2.txt
-rw-r--r-- 1 root root 728 Dec 18 14:51 f3.txt
