2用户组权限

5-1目标学习了本单元后，你应该能够：•解释Linux的安全模型•解释用户帐号和组群帐号的目的•理解并设置文件权限•理解文件的特殊权限和隐藏属性5-2用户（账号）•每个用户都被分配了一个唯一的用户ID号（UID）•用户名和UID被保存在/etc/passwd这个文件中•当用户登录成功时，他就登录到了他的主目录下面，和一个运行的程序（通常是shell）/etc/passwd和/etc/passwd文件的介绍•上面有七个字段，每个字段的含义•用户名:密码:uid:gid:用户描述：主目录：登陆shell•账号名称：对应uid.例如root就是系统默认系统管理员账号。•密码：早期unix的密码都放在该文件中，由于安全原因，现在将其存于了/etc/shadow中了。现在这个字段是x，表示密码已经移到了shadow中加密了：如果这个字段为空，表示空密码可登陆，如果是!或者*表示此用户不可登陆。•Uid：这就是用户的识别码，通常uid有如下限制：0系统管理员。不建议有多个系统管理员1-499保留个系统使用的id。通常1-99保留给系统本身使用，100-499保留给用户建立系统服务账号时使用，useradd-r用户名500以后的就是给一般用户了•GID:与/etc/group有关，这个系统里的组信息（解读些文件结构）•用户信息说明栏：这个字段用来对账户进行简单说明，如作用等•家目录：用户的家目录，就是用户登陆后默认进入到的目录。例如root登陆后就是/root目录•Shell:用于让你执行命令，如果该字段是/sbin/nologin表示这个账户是无法登录的介绍/etc/shadow•系统中有shadow和shadow-两个文件，其他用户都不可查看各字段的含义•/etc/shadow•账号名称•密码，如果是!或者*表示此用户不可登陆•最近更改密码的日期•密码不可更改的天数•密码必须重新更改的天数•密码更改期限前的警告•密码过期的账号的宽限时间•账号失效的日期•保留5-9组•每个用户都被分配给一个组•每个组群都被分配了一个独特的组群ID号码（gid）group•GID等组信息被保存在/etc/group这个文件中•每个用户都有他们自己的私有组群，但是同时可以被添加到其它组群中来获得额外的存取权限（复习useradd-g-G的用法）•组群中的所有用户都可以共享属于该组群的文件，但是要看同组人有什么权限了•公共组机制：就是所有人都属于同一个组在系统中同样存在/etc/group和/etc/group-•文件的内容/etc/group各字段的含义•用户组名称•用户组密码•gid就是用户组id•支持的账号名称系统中出现的/etc/passwd-/etc/shadow-/etc/group-/etc/gshadow-文件，如果添加新用户新账户和组等都不会被更新5-13Linux文件安全性•每个文件都属于一个UID和一个GID•每个进程都使用一个UID和一个或多个GID运行•三种存取权限类型：–进程使用和文件相同的UID的权限来运行（用户,user）–进程使用和文件相同的GID的权限来运行（组群,group）–所有其它进程（其它,other）5-14权限的优先顺序•如果UID匹配，就应用用户（user）权限•否则，如果GID匹配，就应用组群（group）权限•如果都不匹配，就应用其它（other）权限/etc/gshadow和/etc/gshadow-•查看文件和内容/etc/gshadow各字段的含义•用户组名称•密码，同样以!开头表示不可登陆•用户组管理员账号•该用户组的所属账号与/etc/group内容相同5-17权限类型•在显示权限时，使用了四种符号：–r：读取文件或者列举目录内容的权限–w：写入文件或者在目录中创建、删除文件的权限–x：执行程序或者可cd(切换)目录中–-：无权限（在r、w、或x的位置上）–---完全没有权限executable5-18查看权限•文件的权限可以使用ls–l命令来查看$ls-l/bin/login-rwsr-sr-t1rootroot19080Apr118:26/bin/login•文件类型和权限被一个10个字符长的字符串代表5-19权限的意义-rwxr-x---1andersentrusted2948Oct1114:07myscript•所属用户andersen具备读取、写入、和执行权限•组群trusted中的成员具备读取和执行权限•其它用户没有任何权限5-20改变文件所有者•只有根用户才能改变文件的所有者•只有根用户才能改变文件的组群•chown命令被用来改变所属用户：–chown[-R]用户名文件|目录–chown用户名：组名文件或者目录•chgrp被用来改变所属组群：–chgrp[-R]组群名文件|目录5-21改变权限–符号式方法•要改变存取权限模式：–chmod[-R]模式文件•这里的模式是：–u、g、或o，分别代表用户、组群和其它用户–=、+或–代表授予或拒绝–r、w、或x，分别代表读取、写入、或执行•例如：chmodu=rwx,g=rwx,o=rwxfile/dirctory：–chmodugo+rfile/dirctory：授予所有用户以读取权限–chmodo-wxfile/directory：拒绝其它用户的写入和执行权限–如果使用a+或者a-权限，如：chmoda+wfile表示所有的ugo都同时添加w权限5-22改变权限–数字式方法•通过把以下数值相加起来，来计算权限：r代表读取4w代表写入2x代表执行1－没有任何权限0•使用三个数字模式–第一个数字代表所属用户的权限–第二个数字代表组群权限–第三个数字代表其它用户的权限•例如：–chmod640myfile5-23改变权限-Nautilus•Nautilus程序也可以被用来设置文件和目录的权限和组群–在Nautilus的窗口中，右击某个文件–从菜单中选择[属性]–选择[权限]标签页目录和文件的默认权限隐藏权限•文件的默认权限与umask有密切关系•umaks就是制定“当前用户在建立文件或者目录时的默认的属性值”依据值•一种就是以-S参数，就会以符号的形式显示出来•umask有自四组数据，第一组为特殊权限•在默认权限的属性上，目录和文件不一样•所以用户建立文件默认没有可执行权限，即只有rw权限，这就是最大666，默认属性-rw-rw-rw-•若用户建立目录，则由于x是否可以进入此目录有关，默认所有权限均开放，即为777,默认属性为drwxrwxrwx•umask指定的是该默认值需要屏蔽的权限，因为r,w,x分别是4,2,1，当要去掉写权限时，就输入2，要去掉读权限时，就要输入4，那么要去掉读写权限时，就要输入6。而要去掉执行和写权限时，就要输入3，如上面例子来说明的话,umask为022，所以user并没有被去掉属性，不过group和others的属性去掉了2，也就是w这个属性，那么当用户•建立目录时：drwxr-xr-x.2rootroot4096Oct318:41test：•即(drwxrwxrwx)–(d----w--w-)或者(0022)-rw-r-xr-x•建立文件时：-rw-r--r--.1rootroot0Oct318:42test.txt：默认文件时没有执行权限的•即(-rw-rw-rw-)–(----w--w-)或者(0022)drwxr-xr-x•这里遮罩不能用减法来设定，用符号。默认的0022就行了我们把umask修改为000来查看默认文件和目录的权限•我们看见系统默认的就是上面提到的•文件-rw-rw-rw即0666•目录-drwxrwxrwx即0777•如果为033的话减法就出问题了，所以不能用033。•减法的话0666-033=0633是错误的，而是0644•遮罩时不能用减法来计算的大家要记住验证•建立文件•建立目录•默认情况下root的umask会去掉比较多的属性，root的umask默认为022，这是基于安全考虑，一般用户的umask为002，同时保留用户组的写如权限。•使用umask可以对权限进行全局控制文件隐藏属性•文件隐藏属性，隐藏属性对系统有很大的帮组，尤其是系统的安全性方面很重要•1、chattr设置文件的隐藏属性•+增加某个特隐藏属性，其他原本的参数不动•-删除某个特殊隐藏属性，其他原本的参数不动•=权限就是后面就是这个参数•A：当设置了A属性时，这个文件或者目录的访问时间atime,将不可能修改S:(大写的)这个参数类似于sync，就是将数据同步到磁盘中，避免数据丢失•a参数，文件只追加数据，而不能删除数据，只有root才能设置这个属性。•c这个属性设置后会自动压缩，在读取的时候会自动解压缩•d当执行dump程序的时候，设置d属性将使该文件或者目录不具有转存功能•i:i的作用很大，就是让一个文件不能动，什么都不能做•j当文件系统是ext3以上时格式时，就是支持了日志功能，设置j属性将会使该文件在写入时记录在journal中，但是当系统的文件系统已经支持了jonrnal功能时，由于设置重复设置了日志，所以该参数无效(data=jounal)•s参数，当文件设置了s参数时，如里这个文件被删除，将不可恢复•u参数与s相反，当设置了u参数时，数据其实还保存在磁盘中，可以用来还原删除下面介绍常用的a和i参数•首先介绍-i参数•查看一下写入是有有权限•介绍a参数•删除a参数后就可以删除文件了lsattr显示特殊权限的属性•lsattr[-aR]•-a将隐藏文件的属性也列出来•-R连同子目录的属性一同列出来•-d列出目录的隐藏属性•如果想看到更为详细的信息而不是看到字母的表示的话通过lsattr–lfilename来查看5-39结束单元5•答疑•总结–所有文件都属于一个用户和一个组群–文件的模式由三类权限构成：用户权限、组群权限、以及其它用户权限–三种权限可以被授予或拒绝：读取、写入、执行–隐藏文件属性的设置与查看