欢迎来到尧图网

客户服务 关于我们

您的位置:首页 > 新闻 > 会展 > Linux权限机制深度解读:系统安全的第一道防线

Linux权限机制深度解读:系统安全的第一道防线

2024/12/26 21:49:30 来源:https://blog.csdn.net/suye050331/article/details/144238704  浏览:    关键词:Linux权限机制深度解读:系统安全的第一道防线

在这里插入图片描述

文章目录

  • 前言
    • ‼️一、Linux权限的概念
    • ‼️二、Linux权限管理
      • ❕2.1 文件访问者的分类(人)
      • ❕2.2 文件类型和访问权限(事物属性)
        • ✔️1. 文件类型
        • ✔️2. 基本权限
        • ✔️3. 权限值的表示方法
      • ❕2.3 文件访问权限的相关设置方法
        • ✔️1. `chmod` 命令
        • ✔️2. `chown` 命令
        • ✔️3. `chgrp` 命令
    • ‼️三、其他权限问题
      • ❕3.1 问题一:为什么普通文件是664,目录文件是775?
        • ✔️1. umask 的作用与工作原理
        • ✔️2. umask 的计算规则
        • ✔️3. 查看和设置 umask
      • ❕3.2 问题二:目录的权限代表什么?
        • ✔️1. 读取权限(`r` - Read)
        • ✔️2. 写入权限(`w` - Write)
        • ✔️3. 执行权限(`x` - Execute)
      • ❕3.3 问题三:想要建立共享文件,但不想让其他人删除怎么办?
        • ✔️1. 粘滞位的作用
        • ✔️2. 粘滞位的表示
        • ✔️3. 设置和移除粘滞位
  • 结语


前言

在现代操作系统中,权限管理是保障安全与系统稳定运行的关键环节。Linux作为一个广泛应用的开源操作系统,其权限体系以灵活性、可扩展性和严谨性著称。无论是个人用户还是企业环境,理解并掌握Linux权限管理,既是保障信息安全的基础,也能大幅提升系统管理效率。本文将带你深入探索Linux权限体系的核心概念、常见操作以及最佳实践。


‼️一、Linux权限的概念

Linux下有两种用户:超级用户(root)、普通用户

  • 超级用户:可以再linux系统下做任何事情,不受限制
  • 普通用户:在linux下做有限的事情。
  • 超级用户的命令提示符是“#”,普通用户的命令提示符是“$”。

命令:su [用户名]

功能:切换用户。

例如,要从root用户切换到普通用户user,则使用 su user。 要从普通用户user切换到root用户则使用 su root(root可以省略),此时系统会提示输入root用户的口令。退出用户使用 exit 或者 ctrl + d。

‼️二、Linux权限管理

❕2.1 文件访问者的分类(人)

  • 文件和文件目录的所有者:u—User(中国平民 法律问题)

  • 文件和文件目录的所有者所在的组的用户:g—Group(不多说)

  • 其它用户:o—Others (外国人)

❕2.2 文件类型和访问权限(事物属性)

在这里插入图片描述

✔️1. 文件类型

Linux 文件类型由文件的第一个字符标识,当使用命令 ls -l 查看文件列表时,可以看到类似如下的输出:

-rwxr-xr--
drwxr-xr-x
lrwxrwxrwx

第一个字符表示文件的类型,可能的取值如下:

字符文件类型
-普通文件 (Regular File)
d目录 (Directory)
l符号链接 (Symbolic Link)
b块设备文件 (Block Device)
c字符设备文件 (Character Device)
p管道 (Pipe)
s套接字 (Socket)

✔️2. 基本权限

Linux 文件权限分为三组:

  • 所有者 (Owner):文件的创建者。
  • 所属组 (Group):同组用户。
  • 其他人 (Others):非所有者或非所属组的用户。

权限有三种:

权限描述
r读 (Read)4
w写 (Write)2
x执行 (Execute)1

✔️3. 权限值的表示方法

a. 符号表示法

用字母表示文件权限,例如:-rw-r--r--

字符含义
r读权限
w写权限
x执行权限
-没有该权限

例子

  • -rw-r--r-- 表示普通文件,所有者有读写权限,组用户和其他用户只有读权限。

b. 数值表示法

每种权限的值相加表示最终权限。例如:

权限数值二进制
---0000
--x1001
-w-2010
-wx3011
r--4100
r-x5101
rw-6110
rwx7111

权限分为三组(Owner, Group, Others),组合成三位数字。例如:

  • -rwxr-xr-- 的数值表示为 754

❕2.3 文件访问权限的相关设置方法

✔️1. chmod 命令

chmod (Change Mode) 是用于修改 Linux 文件或目录权限的命令。权限可以用符号或八进制数表示。

基本语法

chmod [选项] 模式 文件名
  • 模式:可以是符号表示法 (u+r, g-w) 或数字表示法 (755)。
  • 文件名:要更改权限的目标文件或目录。

a. 符号表示法

符号表示法适合逐步修改权限:

chmod [ugoa][+-=][rwx] 文件名
符号作用
u文件所有者 (user)
g文件所属组 (group)
o其他人 (others)
a所有用户 (all)
+添加权限
-移除权限
=直接设定权限

示例

  1. 给文件所有者添加写权限:

    chmod u+w filename
    
  2. 删除其他人的执行权限:

    chmod o-x filename
    
  3. 所有用户设定只读权限:

    chmod a=r filename
    

b. 数字表示法

数字表示法直接设定文件权限值(例如 644755)。

权限数值二进制
---0000
--x1001
-w-2010
-wx3011
r--4100
r-x5101
rw-6110
rwx7111
  1. 设置文件权限为 rwxr-xr--

    chmod 754 filename
    
  2. 设置目录权限为 rwx------

    chmod 700 directory_name
    

常用选项

选项描述
-R递归修改权限,适用于目录及其所有子目录和文件。
-v显示每个文件权限修改的详细信息。
-c仅显示被更改的文件信息。
--reference=ref_fileref_file 的权限应用到目标文件。

示例

  1. 递归修改目录及其内容的权限:

    chmod -R 755 /path/to/directory
    
  2. 使用参考文件权限:

    chmod --reference=ref_file target_file
    
✔️2. chown 命令

chown(Change Ownership)用于更改文件或目录的所有者和/或所属组。

语法

chown [选项] [所有者][:组] 文件名
  • 所有者:文件的新所有者用户。
  • :文件的新所属组。如果不指定所有者,只修改组时,可以用 : 开头。
  • 文件名:要修改的目标文件或目录。

常用选项

选项描述
-R递归更改目录及其内容的所有者和组。
-v显示更改的详细信息。
--reference=ref_file使用参考文件的所有者和组进行设置。

示例

  1. 更改文件所有者

    chown user1 filename
    

    filename 的所有者改为 user1

  2. 更改所有者和组

    chown user1:group1 filename
    

    filename 的所有者改为 user1,所属组改为 group1

  3. 仅更改组

    chown :group1 filename
    
  4. 递归更改目录和文件的所有者

    chown -R user1:group1 /path/to/directory
    
  5. 参考其他文件的所有者和组

    chown --reference=ref_file target_file
    

✔️3. chgrp 命令

chgrp(Change Group)用于更改文件或目录的所属组。

语法

chgrp [选项] [] 文件名
  • :文件的新所属组。
  • 文件名:要修改的目标文件或目录。

常用选项

选项描述
-R递归更改目录及其内容的所属组。
-v显示更改的详细信息。
--reference=ref_file使用参考文件的组进行设置。

示例

  1. 更改文件的所属组

    chgrp group1 filename
    

    filename 的所属组改为 group1

  2. 递归更改目录和文件的所属组

    chgrp -R group1 /path/to/directory
    
  3. 参考其他文件的组

    chgrp --reference=ref_file target_file
    

‼️三、其他权限问题

在这里插入图片描述

❕3.1 问题一:为什么普通文件是664,目录文件是775?

实际上:

  • 创建文件时的默认权限是 666(没有执行权限)。

  • 创建目录时的默认权限是 777(包括执行权限)。

但是:实际权限 = 默认权限 - umask

这里我们引入一个叫做umask的东西。

✔️1. umask 的作用与工作原理

umask(User File Creation Mask)是一个在 Linux 操作系统中用于控制文件和目录默认权限的命令。它定义了文件和目录创建时的权限掩码,从而决定新创建的文件或目录的最终权限。

✔️2. umask 的计算规则

实际权限 = 默认权限 - umask

注意:这里的 - 并不是简单的减,而是,默认权限 & (~umask)

例如:

  • 如果 umask = 022
    • 文件默认权限 = 666 - 022 = 644(rw-r–r–)
    • 目录默认权限 = 777 - 022 = 755(rwxr-xr-x)
  • 如果 umask = 027
    • 文件默认权限 = 666 - 027 = 640(rw-r-----)
    • 目录默认权限 = 777 - 027 = 750(rwxr-x–)

示例:

更改 umask: 修改为 077

umask 077
touch test3.txt
mkdir dir3

在这里插入图片描述

✔️3. 查看和设置 umask
  1. 查看当前 umask 值

运行命令:

umask

这将返回一个四位的八进制数字(前三位是有效的)。

例如:

$ umask
0022
  1. 临时设置 umask

在当前会话中临时更改:

umask 0027

此更改仅适用于当前 shell 会话。

注意事项

  • umask 不会增加权限umask 只能限制权限,而不能授予额外权限。例如,设置 umask0000 允许最大权限,但不能为文件自动添加执行权限。

❕3.2 问题二:目录的权限代表什么?

✔️1. 读取权限(r - Read)
  • 作用:
    • 允许查看目录中的文件名列表。
    • 如果没有读取权限,用户即使知道目录的路径,也无法列出其中的内容(如使用 ls 命令)。
  • 效果:
    • 如果对目录有读取权限,你可以看到该目录内的文件和子目录的名称,但不能访问其内容(如果缺少执行权限)。
✔️2. 写入权限(w - Write)
  • 作用:
    • 允许在目录中创建、删除或重命名文件。
    • 如果没有写入权限,你无法在该目录中添加新文件、删除文件或修改目录结构。
  • 注意:
    • 写入权限还受执行权限的限制(即需要同时有执行权限才能实际修改目录内容)。
✔️3. 执行权限(x - Execute)
  • 作用:
    • 允许进入该目录,也就是说,用户可以切换到该目录(使用 cd 命令)。
    • 允许访问目录中的具体文件(前提是对文件本身有合适的权限)。
  • 效果:
    • 如果对目录没有执行权限,即使有读取权限,你也无法查看目录的内容。
    • 执行权限对目录至关重要,因为它决定了目录是否可用作工作路径。

❕3.3 问题三:想要建立共享文件,但不想让其他人删除怎么办?

解决方案:设置粘滞位

粘滞位(Sticky Bit)是一种特殊的权限位,用于保护目录下的文件和子目录,使得只有文件的所有者或者目录的所有者才能删除或修改该文件,即使其他用户对目录有写权限。

✔️1. 粘滞位的作用
  • 功能:当粘滞位设置在目录上时,只有以下用户可以删除或重命名该目录中的文件或子目录:
    1. 文件所有者
    2. 目录所有者
    3. 超级用户(root)
  • 应用场景:最常见的例子是 /tmp 目录。该目录通常对所有用户开放写入权限,但由于设置了粘滞位,用户只能删除或修改自己的文件,而不能影响其他用户的文件。

✔️2. 粘滞位的表示
  1. 符号模式:在文件或目录权限的符号表示中,粘滞位通常显示为目录权限的最后一位 tT

    • 如果目录同时有执行权限,粘滞位显示为 t
    • 如果目录没有执行权限,粘滞位显示为 T。 例如:
    drwxrwxrwt  10 root root  4096 Nov 19  /tmp
    

    /tmp 目录的权限显示 t,表示粘滞位已启用,且目录具有执行权限。

  2. 八进制模式:粘滞位对应的八进制值是 1,可以通过在权限数字前加上 1 设置粘滞位。例如:

    • 1755:设置了粘滞位,并且目录权限为 rwxr-xr-x
    • 1777:设置了粘滞位,并且目录权限为 rwxrwxrwx(例如 /tmp 目录)。

✔️3. 设置和移除粘滞位

设置粘滞位

使用 chmod 命令为目录添加粘滞位:

chmod +t directory_name  # 使用符号模式添加粘滞位。
chmod 1777 directory_name  # 使用八进制模式设置权限并添加粘滞位。

移除粘滞位

chmod -t directory_name  # 使用符号模式移除粘滞位。
chmod 0777 directory_name  # 使用八进制模式移除粘滞位。

结语

Linux权限体系是一个兼具严谨与灵活的设计,其核心在于平衡安全性与实用性。通过深入理解权限管理的原理和操作,你不仅能够应对常见的安全威胁,还能更高效地管理系统资源。希望本文能为你的学习和实践提供实用参考,让你在Linux系统的使用中更加自信、游刃有余。
在这里插入图片描述

今天的分享到这里就结束啦!如果觉得文章还不错的话,可以三连支持一下,17的主页还有很多有趣的文章,欢迎小伙伴们前去点评,您的支持就是17前进的动力!

在这里插入图片描述

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com