前言
当你在看这篇README,我感到非常荣幸。作为支持开源、分享的理念的我,给大家带来一些学习上的乐趣。
由于本人并非专业的教育领域人士,很多时候天马行空,随心所欲的表达方式,可能让部分人感到不适。请根据自己的承受能力,按需食用。所含事例陈述仅仅为帮助大家理解和提高学习兴趣,不针对任何第三者。
所有配套的文本,以及视频分享,非专业的教材,切勿应用到商业场景,可能含有系统漏洞,以避免给您带来损失。所表述的内容仅仅为个人对教材的理解,限与本人水平有限,及时间仓促,有谬误之处,还请见谅。
创作理念与基调:
- 以终为始,带着目的去学习
- 实战性为导向,学以致用
- 最佳实践操作,摸着别人的石头过河
- 娱乐和搞怪风格,不搞学术研究,防止上头
背景简介
linux系统有着严格的权限等级。如果权限分配不当会给服务器增加很多风险。因此我们需要给不同的用户分配合理的权限
一 文件基本权限
利用ls -l的命令 我们可以的查看到文件和目录的详细信息
我们可以发现: 每条信息 一共被分为7个部分
- 文件权限
- 连接数
- 文件所有者
- 文件所属组
- 文件大小
- 文件最后修改时间
- 文件名
其中第一部分是重点 : drwxr-xr-x 一共是十个个字符
- 第1个字符 表示文件的类型
- 2-4字符 表示文件所有者权限 代称 u
- 5-7 表示文件所属组权限 代称 g
- 8-10 表示文件其他组权限 代称 o
linux一共有7种文件类型,分别如下:
-:普通文件(各种文件,txt,py....)
d:目录文件(文件夹)
l: 软链接(类似Windows的快捷方式)
b:块设备文件(例如硬盘、光驱等,可以随机读)
p:管道文件 (在内存在两个进程的连接,相互通信,就像一根管子,他又长又圆)
c:字符设备文件(键盘,读写操作是以一个一个字节形式,不能随机读)
s:套接口文件
rwx对应的解释,重点了解在文件和目录上的含义
权限 | 对于文件 | 对于目录 | 权限值 |
r | 可以读取文件内容 | 可以查询目录下的文件,ls | 4 |
w | 可以编辑文件,vim | 具有修改目录结构,删除等 | 2 |
x | 可以执行,./ | 可以进入目录,cd | 1 |
我们通过chmod更改权限
- 命令格式:chmod (选项) 模式 文件名
- u 表示该文件的拥有者,g 表示与该文件的拥有者属于同一个群体(group)者,o 表示其他以外的人,a 表示这三者皆是。
- + 表示增加权限、- 表示取消权限、= 表示唯一设定权限。
- r 表示可读取,w 表示可写入,x 表示可执行,
例如
我们通过 chmod o+x hello.sh 给hello.sh赋予了其他组执行权限
chmod o=rwx hello.sh给 hello.sh赋予了其他组所有权限
chmod o-w hello.sh 给hello.sh其他组删除了写入权限
2.也可以直接通过代码修改文件权限
r=4 w=2 x=1 , 通过数字之和来设置权限,
chmod 755 dashuang 就是给dashuang的
- 拥有者4+2+1即rwx权限
- 所属组4+1即r-x
- 其他组4+1即r-x
系统创建一个目录的默认权限是755,所属组和其他组没有写权限, 创建文件的默认权限是644,所属组和其他组没有写入执行权限 ,目录最高默认权限777.文件默认最高权限666 其实是通过最高权限减掉umask的权限掩码得到的,
chown 更改文件的所属
命令格式: getfacl [参数] [目录或文件]
常用参数:
user : 新的文件拥有者的使用者 ID
group : 新的文件拥有者的使用者组(group)
-c : 显示更改的部分的信息
-f : 忽略错误信息
-h :修复符号链接
-v : 显示详细的处理信息
-R : 处理指定目录以及其子目录下的所有文件
举个栗子
我们把创建的test.txt 文件从root所有改到了pi, 可以通过chown pi:pi 一步把用户和所属组都改掉
二 FACL(File Access Control List )文件访问控制列表权限
为什么要用访问控制列表增加权限?
linux中文件只有一个所有者,虽然可以通过增加附属组来提高权限,但是也增加了,整个附属组对这个文件的权限,非常不安全。因此我们需要一个能这个文件不考虑所组的情况下修改权限。他是不清楚的小伙伴,可以看一下配套视频,示例说的很清楚。
getfacl get file access control list 我们通过查看文件的访问控制列表来观察文件的权限
命令格式: getfacl [参数] [目录或文件]
常用参数
-a | 显示文件的ACL |
-d | 显示默认的ACL |
-c | 不显示注释标题 |
-e | 显示所有的有效权限 |
-E | 显示没有的有效权限 |
-s | 跳过文件,只具有基本条目 |
-R | 递归到子目录 |
-t | 使用表格输出格式 |
-n | 显示用户的UID和组群的GID |
接下来我们可以用setfacl 设置访问列表权限 增加一个pi用户的r权限 这样pi就可以访问skill
命令格式: setfacl [参数] [目录或文件]
常用参数:
-m:设置后续acl参数 -x:删除后续acl参数 -b:删除全部的acl参数 -k:删除默认的acl参数 -R:递归设置acl,包括子目录 -d:设置默认acl
这样就给文件增加了一个pi用户,赋予他r 权限
通过ls -l命令我们可以看到权限结尾有个+号标志
三 chattr设定档案隐藏属性 更高权限控制只有 root 用户可以使用
这项指令可改变存放在ext2文件系统上的文件或目录属性
命令格式: chattr [参数] [属性] [目录或文件]
常用属性:
- a:让文件或目录仅供附加用途。
- b:不更新文件或目录的最后存取时间。
- c:将文件或目录压缩后存放。
- d:将文件或目录排除在倾倒操作之外。
- i:不得任意更动文件或目录。
- s:保密性删除文件或目录。
- S:即时更新文件或目录。
- u:预防意外删除
常用参数:
-R 递归处理,将指定目录下的所有文件及子目录一并处理。
-v<版本编号> 设置文件或目录版本。
-V 显示指令执行过程。
+<属性> 开启文件或目录的该项属性。
-<属性> 关闭文件或目录的该项属性。
=<属性> 指定文件或目录的该项属性
利用lsattr可以显示chattr文件的属性,由于这个属性是隐藏的,ls -l是无法查看到的
我们通过给文件增加一个i属性 不得任意更动文件或目录 ,发现我们root用户都无法删除这个文件,用ls查看文件一且正常
下次你遇到文件无法删除可以查看一下attr属性