權限:
DAC:自主訪問控制
是以rwx權限的組合方式來限制用戶訪問文件及對文件實施操作的管理控制機制;當以DAC的方式對權限進行管理的時候主要是以用戶爲主的
rwx 三個權限 : 讀 寫 執行
DAC: 文件 目錄
r讀 獲得文件的內容 查看目錄中的文件名
w寫 對文件的內容進行操作 對文件名進行操作
x執行 將文件看做命令執行 可以進入,引用目錄,查看屬性信息
用ll命令查看的時候第一段有9位權限位:3個一組,彼相互獨立
第一段:所有者的權限
第二段:所有組的權限
第三段:其他人的權限
DAC機制:就是哪個用戶,用什麼操作作用在哪個文件上
命令:
chmod---》修改權限 change mod
語法: chmod 權限位值 文件名
權限位值的表示方法:符號標識、數字標識
符號標識:
u:所有者
g:所有組
o:其他人
a:u+g+o
賦值標識:
+:在原有權限的基礎上添加新的權限
-:在原有權限的基礎上刪除權限
=:不管原先的權限如何,直接設置新的權限
權限標識:r w x
例題:
chmod u+x FILE
chmod g-r FILE
chmod o=wr FILE
數字標識:
r--》4
w--》2
x--》1
-:代表沒有
使用符號標識的時候,在設置權限的時候可以針對某個權限位單獨的設置
使用數字標識的時候,在設置權限的時候必須完整的寫出三個權限位的權限值
例題:
chmod 755 FILE
umask---》權限遮罩碼;影響默認文件權限參數
root:022 或0022:第一個0是特殊權限的遮罩碼
普通用戶:002 或0002
創建新的目錄,目錄的默認權限:777-umask
創建新的文件,文件的默認權限:666-umask
命令:
chown--》修改文件的所有者和所有組
-R :遞歸的修改目錄的所有權以及目錄中子文件和子文件的所有權
chown USERNAME FILE 只修改文件的所有者
chown :GROUPNAME FILE 只修改文件的所有組
chown USERNAME: FILE 同時修改所有者和所屬組,所屬組就是用戶的主要組
chown USERNAME:GROUPNAME FILE 同時修改所有者和所屬組爲指定的用戶和組
facl: Filesystem Access Control List 訪問控制列表 ---權限的擴展屬性
對於權限的擴展屬性設定
作用:提供一種便利,能夠讓一個用戶將文件訪問的權利分配給固定的用戶或固定的組來執行,而且不會產生額外的操作權利
getfacl --》查看文件的擴展屬性列表
getacl FILENAME
setfacl --》設置文件的擴展屬性列表
-m:修改
setfacl -m u:UID:perm FILENAME #UID GID 可以使名字
setfacl -m g:GID:perm FILENAME
-x:撤銷修改
當用命令 ll 命令查看文件的權限的時候,在-rw-r--r--. 最後的點表明沒有啓用擴展屬性;當啓用的時候.-->+
特殊權限
背景:當用setfacl給某個用戶一個目錄的rwx權限的時候,這個用戶可以將目錄下所有的文件進行刪除,
這是不安全的,所以可以使用特殊權限來控制,這個用戶只可以控制自己的文件。
SUID :超級用戶權限 s或S 只能出現在所有者的x位置 4
SGID :超級組權限 s或S 只能出現在所屬組的x位置 2
Sticky:粘滯位 t或T 只能出現在其他人的w位置 1
如果在設置特殊權限位之前,文件具有執行權限,特殊權限就是小寫字母
如果在設置特殊權限位之前,文件沒有執行權限,特殊權限就是大寫字母
文件 目錄
SUID : 在執行一個具有SUID命令的時候, 對於目錄來說,SUID對於目錄,沒有意義
執行者會以該命令的所有者身份
來執行
SGID:在執行一個具有SGID命令的時候, 具有這樣權限的目錄,在其中建立的所有文件,
執行者會以該命令所屬組的身份 所屬組自動的繼承目錄的所屬組
來執行(幾乎不用)
Sticky: 沒有意義 如果用戶對於一個有Sticky權限的目錄有寫權限,
那麼用戶只能修改和刪除哪些所有者爲自己的文件
0022 0002 其中的第一個0就是特殊權限位,默認沒有設置
4755 --- SUID
2755 --- SGID
1755 --- Sticky
MAC:強制訪問控制
是以文檔爲主體,就是這個文檔可以被用戶執行某種的操作和用戶沒有直接的關係;對安全上下文的管理,以
文檔爲主體,是這個文檔可以被那個用戶執行什麼權限
linux中權限的介紹,分類和實施
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.