Linux文件权限管理实验.doc_第1页
Linux文件权限管理实验.doc_第2页
Linux文件权限管理实验.doc_第3页
Linux文件权限管理实验.doc_第4页
Linux文件权限管理实验.doc_第5页
已阅读5页,还剩9页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

Linux 文件权限管理实验(SEC-L01-002.1)Linux操作系统(Linux),是一类Unix计算机操作系统的统称。Linux操作系统的内核的名字也是“Linux”。Linux操作系统也是自由软件和开放源代码发展中最著名的例子。严格来讲,Linux这个词本身只表示Linux内核,但在实际上人们已经习惯了用Linux来形容整个基于Linux内核,并且使用GNU工程各种工具和资料库的操作系统(也被称为GNU/Linux)。基于这些组件的Linux软件被称为Linux发行版。一般来讲,一个Linux发行套件包含大量的软件,比如软件开发工具(例如gcc)、资料库(例如PostgreSQL、MySQL)、Web服务器(例如Apache)、X Window、桌面环境(例如GNOME和KDE)、办公套件(例如OpenO)、脚本语言(例如Perl、PHP和Python)等等。Linux内核最初是为英特尔386微处理器设计的。现在Linux内核支持从个人电脑到大型主机甚至包括嵌入式系统在内的各种硬件设备。现在,Linux已经成为了一种受到广泛关注和支持的操作系统。包括IBM和惠普、戴尔在内的一些计算机业巨头也陆续支持Linux,并且成立了一些组织支持其发展,如Open Invention Network(OIN)(成员有IBM,SONY,NEC,Philips,Novell,Red hat等)。很多人认为,和其他的商用Unix系统以及微软Windows相比,作为自由软件的Linux具有低构建成本,高安全性,更加可信赖等优势。实验拓扑实验准备 文件权限有两种属性:I、文件(目录)所属关系,如下:属主:文件(目录)的所有者,标记位记为字母 u,即 user 之意组:文件(目录)所属的组,标记位记为字母 g,即 group 之意其他:操作系统上的其他用户,标记位记为字母 o,即 other 之意II、文件(目录)的访问控制,如下:读标记位:即文件(目录)可以被读取,记为 r写标记位:即文件(目录)可以被写,记为 w执行标记位:即文件可以被执行或目录可以被访问,记为 x因为系统有能力支持多用户, 在每一方面系统都会做出谁能读、 写和执行的资源权力限制。这些权限以三个八位元的方式储存着,一个是表示文件所属者, 一个是表示文件所属群组,一个是表示其他人。 这些数字以下列方式表示,文件(目录)的每种所属关系均从下表中取一种以组合表示:实验步骤以普通帐户登录1.打开Putty,输入目标主机的IP地址,确定后可以看到登录界面,如图 1-1: 图1-1 2.点击上图中的打开(Open)以连接远程主机,第一次登录时会弹出主机身份识别密钥,点确定(yes)接受之。如图 1-2: 图1-2 3.用帐户 test 密码 t3stlnx$ 登录远程系统,如图 1-3: 图1-3 4.查看文件权限,如图 1-4 :图1-4 如上图,查看文件 /etc/passwd 及 /etc/shadow 的权限,命令如下:ls -al /etc/passwdls -al /etc/shadow 我们可以看到如下的权限标记(各从属关系的权限位之间的空格是为了便于介绍而添加的, 实际样式见图 1-4:- rw- r- r- 1 root root 1354 Mar 1 17:18 /etc/passwd- r- - - 1 root root 888 Mar 1 17:18 /etc/shadow 以 - rw- r- r- 为例,第一部分为 -,第二部分为 rw-,第三部分为 r-,第四部分为 r-第一部分:用于区分文件、目录、设备、链接等若列表后面的是文件,则此处为 符号 -若列表后面的是目录,则此处为 字母 d若列表后面的是块设备,则此处为 字母 b若列表后面的是字符设备,则此处为 字母 c若列表后面的是软链接,则此处为 字母 l第二部分:属主权限对于文件 /etc/passwd,该文件的属主(root)可读、可写,不可执行对于文件 /etc/shadow,该文件的属主(root)可读、可写,不可执行第三部分:属组权限对于文件 /etc/passwd,该文件的属组(root)可读、不可写,不可执行对于文件 /etc/shadow,该文件的属组(root)不可读、不可写,不可执行第四部分:其他人权限对于文件 /etc/passwd,其他人可读、不可写,不可执行对于文件 /etc/shadow,其他人不可读、不可写,不可执行5.尝试向没有写权限的文件写入数据,如图 1-5:图1-5 命令如下:echo test /etc/passwd 得到的结果是:Permission denied,即权限不足。6.尝试读取没有读权限的文件,如图 1-6 :图1-6 命令如下:cat /etc/shadow 得到的结果是:Permission denied,即权限不足。7.创建文件并修改其权限,如图 1-7: 图1-7 命令如下:创建空文件 touch myfile 查看文件权限 ls -al myfile 我们可以看到文件的权限为 -rw-r-r-,写为数字形式即为 0644,此时属主可读写,属组及其他人只读,此种情形下的等价命令为:chmod 0644 myfile 为文件属主增加可执行权限 chmod u+x myfile 查看文件权限 ls -al myfile 我们可以看到文件的权限为 -rwxr-r-,写为数字形式即为 0744,此时属主可读写可执行,属组可读写,其他人只读,此种情形下的等价命令为:chmod 0744 myfile 删除文件 rm -f myfile 特殊权限1.用 su 命令将当前用户切换到root,密码为 r00tLNX.,如图 1-8 :图1-8 命令如下: su - 粘滞位 (sticky) 我们查看系统 /tmp 目录的权限,如图 1-9: 图1-9 命令如下: ls -al / | grep tmp 我们可以看到,权限位表示为 drwxrwxrwt,即这是一个目录(第一位为字母d),属主可读可写可执行,属组可读可写可执行,其他人可读可写可执行,最后那个小写字母t,表示这个目录具有粘滞位。所谓粘滞位,意思为:普通用户在此目录中创建的文件,读写受其权限位的限制,但是删除却只能由文件所有者或root删除,其他用户即使拥有写权限,也不能删除之。注: 若该目录对其他用户是不可访问的,即目录原权限位为 drwxrwxr- (0776),在添加粘滞位后,最后一位将变为大写字母T,即成为 drwxrwxr-T (1776)。 下面我们举例简单说明粘滞位的基本用途。创建普通目录 sample,并设置其权限位为 drwxrwx(0770),即属主和属组可读可写可访问,其他人不可读不可写不可访问,如图 1-10: 图1-10 命令如下:创建目录 mkdir /sample 更改权限 chmod 0770 /sample 在该例中,上面这条命令的效果相当于 chmod g+w /sample 及 chmod o-rx /sample 两条命令的效果。查看文件权限 ls -al / | grep sample 我们可以看到新的权限位为 drwxrwx-,即 0770。切换到普通帐户 sample(sample用户属于root组), 在 /sample 目录中创建一个空文件,设置其权限位为 0660,即属主及属组可读可写不可执行,其他人不可读不可写不可执行,如图 1-11: 图1-11 命令如下:切换帐户 su - sample 创建文件 touch /sample/abcd 更改权限 chmod 0660 /sample/abcd 查看权限 ls -al /sample/abcd 我们可以看到新的权限位为 -rw-rw-,即0660。输入 exit 退出到 root环境,切换到普通帐户 test(test用户属于root组),尝试删除文件/sample/abcd,发现文件被成功删除了,最后输入exit退出到root环境,如图 1-12: 图1-12 命令如下:退出当前会话 exit 切换帐户 su - test 删除文件 rm -f /sample/abcd 查看文件 ls -al /sample/abcd 此时报找不到文件错误。 退出当前会话 exit 为目录 /sample增加粘滞位,如图 1-13:图1-13 命令如下:增加粘滞位 chmod 1770 /sample 查看目录权限 ls -al / | grep sample 此时我们可以看到,/sample 目录的权限位为 drwxrwxT (1770),即属主及属组可读可写可访问,其他人不可读不可写不可访问,且目录具有粘滞位。 重复上面的图 1-11 所示步骤,以普通帐号 sample 创建文件 abcd;重复上面的图 1-12 所示步骤,到以普通帐号 test 尝试删除 /sample/abcd 时,发现这次删除不了了,如图 1-14: 图1-14 S位 (suid / sgid) S位分为SUID和SGID,分别作用于属主和属组的权限位。uid 和euid 真实用户ID (uid)是拥有或启动进程的用户 UID。生效 UID (euid) 是进程以其身份运行的用户ID。举例来说, passwd 工具通常是以发起修改密码的用户身份启动,也就是说其进程的真实用户 ID是那个用 户的ID;但是,由于需要修改密码数据库,它会以 root 用户作为生效用户 ID 的身份运行。这样,普通的非特权用户就可以修改口令,而不是看到 “Permission Denied” 错误了。SUIDsetuid 权限可以通过在普通权限前面加上一个数字四 (4) 来设置,如图 1-15: 图1-15 命令如下:创建新文件 touch /tmp/abcd.sh 为属主增加执行权限 chmod u+x /tmp/abcd.sh 查看文件权限 ls -al /tmp/abcd.sh 为文件设置 setuid 权限 chmod 4744 /tmp/abcd.sh 查看文件权限 ls -al /tmp/abcd.sh 我们可以看到,在原先的属主执行权限的位置变成了s。这样,需要提升特权的可执行文件,例如 passwd 就可以正常运行了。SGIDsetgid 权限的作用与setuid 权限类似,只是当应用程序配合这一设定运行时,它会被授予文件属组的权限。setgid 权限可以通过在普通权限前面加上一个数字二 (2) 来设置,如图 1-16:图1-16 命令如下:为属组增加执行权限 chmod g+x /tmp/ab

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论