用户身份与文件权限

用户身份与能力

Linux系统的管理员之所以是root,并不是因为它的名字叫root,而是因为该用户的身份号码即UID(User IDentification)的数值为0。

在Linux系统中,UID就相当于我们的身份证号码一样具有唯一性,因此可通过用户的UID值来判断用户身份。在RHEL 7系统中,用户身份有下面这些:

管理员UID为0:系统的管理员用户。

系统用户UID为1~999: Linux系统为了避免因某个服务程序出现漏洞而被黑客提权至整台服务器,默认服务程序会有独立的系统用户负责运行,进而有效控制被破坏范围。(RHEL5/6 UID:1-499)

普通用户UID从1000开始:是由管理员创建的用于日常工作的用户。(RHEL5/6 UID:500-65535)

需要注意的是,UID是不能冲突的,而且管理员创建的普通用户的UID默认是从1000开始的(即使前面有闲置的号码)

在Linux系统中创建每个用户时,将自动创建一个与其同名的基本用户组,而且这个基本用户组只有该用户一个人。如果该用户以后被归纳入其他用户组,则这个其他用户组称之为扩展用户组。一个用户只有一个基本用户组,但是可以有多个扩展用户组。

1.  useradd命令

useradd命令用于创建新的用户,格式为“useradd [选项] 用户名”。

使用该命令创建用户账户时,默认的用户家目录会被存放在/home目录中,默认的Shell解释器为/bin/bash,而且默认会创建一个与该用户同名的基本用户组。

shell解释器(/bin/bash和/sbin/nologin)

创建一个普通用户并指定家目录的路径、用户的UID以及Shell解释器。一旦用户的解释器被设置为nologin,则代表该用户不能登录到系统中(-d:指定用户的家目录(默认为/home/username);-u:指定该用户的默认UID;-s:指定该用户的默认Shell解释器)

  1. [root@linuxprobe ~]# useradd -d /home/linux -u 8888 -s /sbin/nologin linuxprobe
  2. [root@linuxprobe ~]# id linuxprobe
  3. uid=8888(linuxprobe) gid=8888(linuxprobe) groups=8888(linuxprobe)

2.  groupadd命令

groupadd命令用于创建用户组,格式为“groupadd [选项] 群组名”。

为了能够更加高效地指派系统中各个用户的权限,在工作中常常会把几个用户加入到同一个组里面,这样便可以针对一类用户统一安排权限。

  1. [root@linuxprobe ~]# groupadd ronny

3.  usermod命令

usermod命令用于修改用户的属性,格式为“usermod [选项] 用户名”。

用户的信息保存在/etc/passwd文件中,可以直接用文本编辑器来修改其中的用户参数项目,也可以用usermod命令修改已经创建的用户信息,诸如用户的UID、基本/扩展用户组、默认终端等。

将用户linuxprobe加入到root用户组中:

  1. [root@linuxprobe ~]# usermod -G root linuxprobe
  2. [root@linuxprobe ~]# id linuxprobe
  3. uid=1000(linuxprobe) gid=1000(linuxprobe) groups=1000(linuxprobe),0(root)

用-u参数修改linuxprobe用户的UID号码值

  1. [root@linuxprobe ~]# usermod -u 8888 linuxprobe
  2. [root@linuxprobe ~]# id linuxprobe
  3. uid=8888(linuxprobe) gid=1000(linuxprobe) groups=1000(linuxprobe),0(root)

4.  passwd命令

passwd命令用于修改用户密码、过期时间、认证信息等,格式为“passwd [选项] [用户名]”。

普通用户只能使用passwd命令修改自身的系统密码,而root管理员则有权限修改其他所有人的密码。

5.  userdel命令

userdel命令用于删除用户,格式为“userdel [选项] 用户名”。

如果我们确认某位用户后续不再会登录到系统中,则可以通过userdel命令删除该用户的所有信息。在执行删除操作时,该用户的家目录默认会保留下来,此时可以使用-r参数将其删除。

userdel命令的参数以及作用

参数 作用
-f 强制删除用户
-r 同时删除用户及用户家目录

使用userdel命令将linuxprobe用户删除,其操作如下:

  1. [root@linuxprobe ~]# id linuxprobe
  2. uid=8888(linuxprobe) gid=1000(linuxprobe) groups=1000(linuxprobe),0(root)
  3. [root@linuxprobe ~]# userdel -r linuxprobe
  4. [root@linuxprobe ~]# id linuxprobe
  5. id: linuxprobe: no such user

文件权限与归属

尽管在Linux系统中一切都是文件,但是每个文件的类型不尽相同,因此Linux系统使用了不同的字符来加以区分,常见的字符如下所示:

-:普通文件。

d:目录文件。

l:链接文件。

b:块设备文件。

c:字符设备文件。

p:管道文件。

在Linux系统中,每个文件都有所属的所有者和所有组,并且规定了文件的所有者、所有组以及其他人对文件所拥有的read可读(r)、write可写(w)、execute可执行(x)等权限。

对于一般文件来说:

“可读”表示能够读取文件的实际内容;

“可写”表示能够编辑、新增、修改、删除文件的实际内容;

“可执行”则表示能够运行一个脚本程序。

对于目录文件来说:

“可读”表示能够读取目录内的文件列表;

“可写”表示能够在目录内新增、删除、重命名文件;

而“可执行”则表示能够进入该目录。

文件的读、写、执行权限可以简写为rwx,亦可分别用数字4、2、1来表示,文件所有者,所属组及其他用户权限之间无关联。

文件的特殊权限

在复杂多变的生产环境中,单纯设置文件的rwx权限无法满足我们对安全和灵活性的需求,因此便有了SUID、SGID与SBIT的特殊权限位。这是一种对文件权限进行设置的特殊功能,可以与一般权限同时使用,以弥补一般权限不能实现的功能。

1.  SUID

SUID是一种对二进制程序进行设置的特殊权限,可以让二进制程序的执行者临时拥有属主的权限(仅对拥有执行权限的二进制程序有效)。

如果原先权限位上没有x执行权限,那么被赋予特殊权限后将变成大写的S,否则为小写s。

  1. [root@linuxprobe ~]# ls -l /etc/shadow
  2. ----------. 1 root root 1004 Jan 3 06:23 /etc/shadow
  3. [root@linuxprobe ~]# ls -l /bin/passwd
  4. -rwsr-xr-x. 1 root root 27832 Jan 29 2017 /bin/passwd

2.  SGID

SGID主要实现如下两种功能:

让执行者临时拥有属组的权限(对拥有执行权限的二进制程序进行设置);

在某个目录中创建的文件自动继承该目录的用户组(只可以对目录进行设置)。

SGID与SUID不同点在于执行程序的用户获取的不再是文件所有者的临时权限,而是获取到文件所属组的权限。

chmod和chown(chmod权限  chown属性)

chmod命令能够用来设置文件或目录的权限,格式为“chmod [参数] 权限 文件或目录名称”。

chown命令可以设置文件或目录的所有者和所属组,其格式为“chown [参数] 所有者:所属组 文件或目录名称”。

chmod和chown命令是用于修改文件属性和权限的最常用命令,它们还有一个特别的共性,就是针对目录进行操作时需要加上大写参数-R来表示递归操作,即对目录内所有的文件进行整体操作

3.  SBIT

SBIT特殊权限位可确保用户只能删除自己的文件,而不能删除其他用户的文件。换句话说,当对某个目录设置了SBIT粘滞位权限后,那么该目录中的文件就只能被其所有者执行删除操作了。

当目录被设置SBIT特殊权限位后,文件的其他人权限部分的x执行权限就会被替换成t或者T,原本有x执行权限则会写成t,原本没有x执行权限则会被写成T。

文件的隐藏属性

Linux系统中的文件除了具备一般权限和特殊权限之外,还有一种隐藏权限,即被隐藏起来的权限,默认情况下不能直接被用户发觉。

1.  chattr命令

chattr命令用于设置文件的隐藏权限,格式为“chattr [参数] 文件”。

如果想要把某个隐藏功能添加到文件上,则需要在命令后面追加“+参数”,如果想要把某个隐藏功能移出文件,则需要追加“-参数”。

chattr命令中用于隐藏权限的参数及其作用

参数 作用
i 无法对文件进行修改;若对目录设置了该参数,则仅能修改其中的子文件内容而不能新建或删除文件
a 仅允许补充(追加)内容,无法覆盖/删除内容(Append Only)
S 文件内容在变更后立即同步到硬盘(sync)
s 彻底从硬盘中删除,不可恢复(用0填充原文件所在硬盘区域)
A 不再修改这个文件或目录的最后访问时间(atime)
b 不再修改文件或目录的存取时间
D 检查压缩文件中的错误
d 使用dump命令备份时忽略本文件/目录
c 默认将文件或目录进行压缩
u 当删除该文件后依然保留其在硬盘中的数据,方便日后恢复
t 让文件系统支持尾部合并(tail-merging)
x 可以直接访问压缩文件中的内容

2.  lsattr命令

lsattr命令用于显示文件的隐藏权限,格式为“lsattr [参数] 文件”。

  1. [root@linuxprobe ~]# lsattr linuxprobe
  2. -----a---------- linuxprobe
  3. [root@linuxprobe ~]# chattr -a linuxprobe
  4. [root@linuxprobe ~]# lsattr linuxprobe
  5. ---------------- linuxprobe
  6. [root@linuxprobe ~]# rm linuxprobe
  7. rm: remove regular file linuxprobe’? y

文件访问控制列表

如果希望对某个指定的用户进行单独的权限控制,就需要用到文件的访问控制列表(ACL)了。

通俗来讲,基于普通文件或目录设置ACL其实就是针对指定的用户或用户组设置文件或目录的操作权限。

另外,如果针对某个目录设置了ACL,则目录中的文件会继承其ACL;若针对文件设置了ACL,则文件不再继承其所在目录的ACL。

1.  setfacl命令

setfacl命令用于管理文件的ACL规则,格式为“setfacl [参数] 文件名称”。

文件的ACL提供的是在所有者、所属组、其他人的读/写/执行权限之外的特殊权限控制,使用setfacl命令可以针对单一用户或用户组、单一文件或目录来进行读/写/执行权限的控制。

其中,针对目录文件需要使用-R递归参数;针对普通文件则使用-m参数;如果想要删除某个文件的ACL,则可以使用-b参数

  1. [root@linuxprobe ~]# setfacl -Rm u:linuxprobe:rwx /root
  2. [root@linuxprobe ~]# su - linuxprobe
  3. Last login: Sat Mar 21 15:45:03 CST 2017 on pts/1
  4. [linuxprobe@linuxprobe ~]$ cd /root
  5. [linuxprobe@linuxprobe root]$ ls
  6. anaconda-ks.cfg Downloads Pictures Public
  7. [linuxprobe@linuxprobe root]$ cat anaconda-ks.cfg
  8. [linuxprobe@linuxprobe root]$ exit

怎么查看文件上有哪些ACL呢?常用的ls命令是看不到ACL表信息的,但是却可以看到文件的权限最后一个点(.)变成了加号(+),这就意味着该文件已经设置了ACL了。

  1. [root@linuxprobe ~]# ls -ld /root
  2. dr-xrwx---+ 14 root root 4096 May 4 2017 /root

2.  getfacl命令

getfacl命令用于显示文件上设置的ACL信息,格式为“getfacl 文件名称”。

想要设置ACL,用的是setfacl命令;要想查看ACL,则用的是getfacl命令。

  1. [root@linuxprobe ~]# getfacl /root
  2. getfacl: Removing leading '/' from absolute path names
  3. # file: root
  4. # owner: root
  5. # group: root
  6. user::r-x
  7. user:linuxprobe:rwx
  8. group::r-x
  9. mask::rwx
  10. other::---

su命令与sudo服务

su命令可以解决切换用户身份的需求,使得当前用户在不退出登录的情况下,顺畅地切换到其他用户,比如从root管理员切换至普通用户:

  1. [root@linuxprobe ~]# id
  2. uid=0(root) gid=0(root) groups=0(root)
  3. [root@linuxprobe ~]# su - linuxprobe
  4. Last login: Wed Jan 4 01:17:25 EST 2017 on pts/0
  5. [linuxprobe@linuxprobe ~]$ id
  6. uid=1000(linuxprobe) gid=1000(linuxprobe) groups=1000(linuxprobe) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

上面的su命令与用户名之间有一个减号(-),这意味着完全切换到新的用户,即把环境变量信息也变更为新用户的相应信息,而不是保留原始的信息。强烈建议在切换用户身份时添加这个减号(-)。

sudo服务中的可用参数以及作用

参数 作用
-h 列出帮助信息
-l 列出当前用户可执行的命令
-u 用户名或UID值 以指定的用户身份执行命令
-k 清空密码的有效时间,下次执行sudo时需要再次进行密码验证
-b 在后台执行指定的命令
-p 更改询问密码的提示语

总结来说,sudo命令具有如下功能:

限制用户执行指定的命令:

记录用户执行的每一条命令;

配置文件(/etc/sudoers)提供集中的用户管理、权限与主机等参数;

验证密码的后5分钟内(默认值)无须再让用户再次验证密码。

可以使用sudo命令提供的visudo命令来配置用户权限。这条命令在配置用户权限时将禁止多个用户同时修改sudoers配置文件,还可以对配置文件内的参数进行语法检查,并在发现参数错误时进行报错。

只有root管理员才可以使用visudo命令编辑sudo服务的配置文件。

  1. visudo: >>> /etc/sudoers: syntax error near line 111 <<<
  2. What now?
  3. Options are:
  4. (e)dit sudoers file again
  5. (x)it without saving changes to sudoers file
  6. (Q)uit and save changes to sudoers file (DANGER!)

在sudo命令的配置文件中,按照下面的格式将第99行(大约)填写上指定的信息:

谁可以使用  允许使用的主机=(以谁的身份)  可执行命令的列表

  1. [root@linuxprobe ~]# visudo
  2.  96 ##
  3.  97 ## Allow root to run any commands anywhere
  4.  98 root ALL=(ALL) ALL
  5.  99 linuxprobe ALL=(ALL) ALL

在填写完毕后记得要先保存再退出,然后切换至指定的普通用户身份,此时就可以用sudo -l命令查看到所有可执行的命令了。

  1.  

linux随笔-06的更多相关文章

  1. Linux随笔-鸟哥Linux基础篇学习总结(全)

    Linux随笔-鸟哥Linux基础篇学习总结(全) 修改Linux系统语系:LANG-en_US,如果我们想让系统默认的语系变成英文的话我们可以修改系统配置文件:/etc/sysconfig/i18n ...

  2. Linux 第06天

    Linux 第06天 1.SAMBA服务器————(linux和windows的文件共享) 1.1 安装 yum install samba -yum 1.2 配置文件 /etc/samba/smb. ...

  3. Linux init 0-6 启动级别

    原文地址:http://blog.sina.com.cn/s/blog_5f8e8d9801010wlr.html 原文地址:[转]Linux init 0-6 启动级别作者:流水清风 init 0- ...

  4. BlackArch Linux 2019.06.01 宣布发布

    导读 BlackArch Linux是一个基于Arch Linux的发行版,专为渗透测试人员和安全研究人员设计,并包含大量渗透测试和安全实用程序,已宣布发布2019.06.01版本. BlackArc ...

  5. 我的Linux随笔目录

    现在整理博客的时间少了,大多是在用为知笔记收藏和整理,一次集中发点Linux相关随笔整理和一个目录,是按时间顺序来的.每一篇都是自己用过之后整理的,应用场景已经尽可能的说明了,不明白的可以Q我,上班时 ...

  6. Linux随笔之——./configure、make、make install(转)

    原文连接:http://www.linuxidc.com/Linux/2011-02/32211.htm 这些都是典型的使用GNU的AUTOCONF和AUTOMAKE产生的程序的安装步骤. ./con ...

  7. linux随笔2

    ---恢复内容开始--- 2016,12,20 在linux里面不写这些扩展名,也是可以的,但是写这些扩展名是为了个管理员写的,好区分,但是linux本身不依靠扩展名来区分文件类型 ~~~~~~~~~ ...

  8. Linux 随笔1

    使用fork()系统调用产生的子进程对父进程中数据的修改不会影响到父进程,因为fork()采用的是写时复制机制,就是在fork产生的子进程没有修改父进程的值时,父子进程共享同一块内存,包括栈区.当子进 ...

  9. Linux随笔

    列表:ls -l(显示详细属性)long -a(显示全部文件包括隐藏文件)all -h(字节转换) -d(显示当前目录本身不显示目录下) -i(显示I节点) df -h 人性化查看磁盘占用率 serv ...

随机推荐

  1. day18 python模块 random time sys os模块

    day18 python   一.random模块     取随机整数 import random print(random.randint(1,2))                 #顾头顾尾 p ...

  2. JSP项目中使用ueditor(百度编辑器)

    1. 从http://ueditor.baidu.com下载JSP版本的ueditor,注意GBK和UTF-8两种版本. 2. 在Web Project项目的WebRoot目录下新增thirdpart ...

  3. canvas 点击图片播放视频

    canvas.js window.onload=function() { var canvas = document.getElementById('canvas'); var ctx= canvas ...

  4. [BZOJ5073] [Lydsy1710月赛]小A的咒语 后缀数组+dp+贪心

    题目链接 首先这种题一看就是dp. 设\(dp[i][j]\)表示\(A\)序列中到\(i\)位之前,取了\(j\)段,在\(B\)中的最长的长度. 转移也比较简单 \[ dp[i][j] \to d ...

  5. shell编程之基础知识1

    1.shell脚本的基本格式 #!bin/bash   ->看到这个就是shell脚本 #filename:test.sh ->脚本名称 #auto echo hello world -& ...

  6. 每天一个linux命令:head(15)

    head head命令用于显示文件的开头的内容.在默认情况下,head命令显示文件的头10行内容. 格式 head [参数] [文件] ​ 参数选项 参数 备注 -q 不显示文件名的头信息 -v 总是 ...

  7. 【FTP】FTP(文件传输协议)工作原理(SFTP)

    目前在网络上,如果你想把文件和其他人共享.最方便的办法莫过于将文件放FTP服务器上,然后其他人通过FTP客户端程序来下载所需要的文件. 1.FTP架构 如同其他的很多通讯协议,FTP通讯协议也采用客户 ...

  8. mysql 8.0版本下载安装以及默认密码修改

    1. 下载 去mysql官网下载地址进行下载,选择需要的安装包 可以直接跳过登录进行下载 ps:我是先注册账号下载的,注册时遇到一个坑,就是在chrome75版本无法选择省市,不选择又不让注册. 可以 ...

  9. 【CF1238E】Keyboard Purchase(状压DP,贡献)

    题意:有m种小写字符,给定一个长为n的序列,定义编辑距离为序列中相邻两个字母位置差的绝对值之和,其中字母位置是一个1到m的排列 安排一种方案,求编辑距离最小 n<=1e5,m<=20 思路 ...

  10. ThinkPHP整合datatables实现服务端分页

    最近做东西有一个需求,因为数据量很大,在这里我决定使用datatables的服务端分页,同时还需要传递查询条件到服务端.在网上搜索的大部分文章都感觉有些误差,于是自己封装了一下,主要配置/工具为: 服 ...