用户组权限课件

5-1目

标

学习了本单元后，你应该能够：解释Linux的安全模型解释用户帐号和组群帐号的目的理解并设置文件权限理解文件的特殊权限和隐藏属性5-2用户（账号）每个用户都被分配了一个唯一的用户ID号（UID）用户名和UID被保存在/etc/passwd这个文件中当用户登录成功时，他就登录到了他的主目录下面，和一个运行的程序（通常是shell）/etc/passwd和/etc/passwd文件的介绍上面有七个字段，每个字段的含义用户名:密码:uid

:gid:用户描述：主目录：登陆shell账号名称：对应uid.例如root就是系统默认系统管理员账号。密码：早期unix的密码都放在该文件中，由于安全原因，现在将其存于了/etc/shadow中了。现在这个字段是x，表示密码已经移到了shadow中加密了：如果这个字段为空，表示空密码可登陆，如果是!或者*表示此用户不可登陆。Uid：这就是用户的识别码，通常uid有如下限制：

0系统管理员。不建议有多个系统管理员1-499保留个系统使用的id。通常1-99保留给系统本身使用，100-499保留给用户建立系统服务账号时使用，useradd-r用户名500以后的就是给一般用户了

GID:与/etc/group有关，这个系统里的组信息（解读些文件结构）用户信息说明栏：这个字段用来对账户进行简单说明，如作用等家目录：用户的家目录，就是用户登陆后默认进入到的目录。例如root登陆后就是/root目录Shell:用于让你执行命令，如果该字段是/sbin/nologin表示这个账户是无法登录的5-9组每个用户都被分配给一个组每个组群都被分配了一个独特的组群ID号码（gid）groupGID等组信息被保存在/etc/group这个文件中每个用户都有他们自己的私有组群，但是同时可以被添加到其它组群中来获得额外的存取权限（复习useradd-g-G的用法）组群中的所有用户都可以共享属于该组群的文件，但是要看同组人有什么权限了公共组机制：就是所有人都属于同一个组在系统中同样存在/etc/group和/etc/group-文件的内容/etc/group各字段的含义用户组名称用户组密码gid就是用户组id支持的账号名称系统中出现的/etc/passwd-/etc/shadow-/etc/group-/etc/gshadow-文件，如果添加新用户新账户和组等都不会被更新5-13Linux文件安全性每个文件都属于一个UID和一个GID每个进程都使用一个UID和一个或多个GID运行三种存取权限类型：进程使用和文件相同的UID的权限来运行（用户,user）进程使用和文件相同的GID的权限来运行（组群,group）所有其它进程（其它,other）5-14权限的优先顺序如果UID匹配，就应用用户（user）权限否则，如果GID匹配，就应用组群（group）权限如果都不匹配，就应用其它（other）权限/etc/gshadow和/etc/gshadow-查看文件和内容/etc/gshadow各字段的含义用户组名称密码，同样以!开头表示不可登陆用户组管理员账号该用户组的所属账号与/etc/group内容相同5-17权限类型在显示权限时，使用了四种符号：r：读取文件或者列举目录内容的权限w：写入文件或者在目录中创建、删除文件的权限x：执行程序或者可cd(切换)目录中-：无权限（在r、w、或x的位置上）---完全没有权限executable5-18查看权限文件的权限可以使用ls–l命令来查看$

ls

-l

/bin/login

-rwsr-sr-t

1

root

root

19080

Apr

1

18:26

/bin/login

文件类型和权限被一个10个字符长的字符串代表5-19权限的意义-rwxr-x---

1

andersen

trusted

2948

Oct

11

14:07

myscript所属用户andersen具备读取、写入、和执行权限组群trusted中的成员具备读取和执行权限其它用户没有任何权限5-20改变文件所有者只有根用户才能改变文件的所有者只有根用户才能改变文件的组群chown命令被用来改变所属用户：chown[-R]用户名文件|目录chown用户名：组名文件或者目录chgrp被用来改变所属组群：chgrp[-R]组群名文件|目录5-21改变权限–符号式方法要改变存取权限模式：chmod[-R]模式文件这里的模式是：u、g、或o，分别代表用户、组群和其它用户=、+或–代表授予或拒绝r、w、或x，分别代表读取、写入、或执行例如：chmodu=rwx,g=rwx,o=rwxfile/dirctory：chmodugo+rfile/dirctory：授予所有用户以读取权限chmodo-wxfile/directory：拒绝其它用户的写入和执行权限如果使用a+或者a-权限，如：chmoda+wfile表示所有的ugo都同时添加w权限5-22改变权限–数字式方法通过把以下数值相加起来，来计算权限：r代表读取

4w代表写入

2x代表执行

1－没有任何权限0使用三个数字模式第一个数字代表所属用户的权限第二个数字代表组群权限第三个数字代表其它用户的权限例如：chmod640myfile5-23改变权限-NautilusNautilus程序也可以被用来设置文件和目录的权限和组群在Nautilus的窗口中，右击某个文件从菜单中选择[属性]选择[权限]标签页目录和文件的默认权限隐藏权限文件的默认权限与umask有密切关系umaks就是制定“当前用户在建立文件或者目录时的默认的属性值”依据值一种就是以-S参数，就会以符号的形式显示出来umask有自四组数据，第一组为特殊权限在默认权限的属性上，目录和文件不一样所以用户建立文件默认没有可执行权限，即只有rw权限，这就是最大666，默认属性-rw-rw-rw-若用户建立目录，则由于x是否可以进入此目录有关，默认所有权限均开放，即为777,默认属性为drwxrwxrwxumask指定的是该默认值需要屏蔽的权限，因为r,w,x分别是4,2,1，当要去掉写权限时，就输入2，要去掉读权限时，就要输入4，那么要去掉读写权限时，就要输入6。而要去掉执行和写权限时，就要输入3，如上面例子来说明的话,umask为022，所以user并没有被去掉属性，不过group和others的属性去掉了2，也就是w这个属性，那么当用户建立目录时：drwxr-xr-x.2rootroot4096Oct318:41test：即(drwxrwxrwx)–(d----w--w-)或者(0022)-rw-r-xr-x建立文件时：-rw-r--r--.1rootroot0Oct318:42test.txt：默认文件时没有执行权限的即(-rw-rw-rw-)–(----w--w-)或者(0022)drwxr-xr-x这里遮罩不能用减法来设定，用符号。默认的0022就行了我们把umask修改为000来查看默认文件和目录的权限我们看见系统默认的就是上面提到的文件-rw-rw-rw即0666目录-drwxrwxrwx即0777如果为033的话减法就出问题了，所以不能用033。减法的话0666-033=0633是错误的，而是0644遮罩时不能用减法来计算的大家要记住验证建立文件建立目录默认情况下root的umask会去掉比较多的属性，root的umask默认为022，这是基于安全考虑，一般用户的umask为002，同时保留用户组的写如权限。使用umask可以对权限进行全局控制文件隐藏属性文件隐藏属性，隐藏属性对系统有很大的帮组，尤其是系统的安全性方面很重要1、chattr设置文件的隐藏属性+增加某个特隐藏属性，其他原本的参数不动-删除某个特殊隐藏属性，其他原本的参数不动=权限就是后面就是这个参数A：当设置了A属性时，这个文件或者目录的访问时间atime,将不可能修改

S:(大写的)这个参数类似于sync，就是将数据同步到磁盘中，避免数据丢失a参数，文件只追加数据，而不能删除数据，只有root才能设置这个属性。c这个属性设置后会自动压缩，在读取的时候会自动解压缩d当执行dump程序的时候，设置d属性将使该文件或者目录不具有转存功能i:i的作用很大，就是让一个文件不能动，什么都不能做j当文件系统是ext3以上时格式时，就是支持了日志功能，设置j属性将会使该文件在写入时记录在journal中，但是当系统的文件系统已经支持了jonrnal功能时，由于设置重复设置了日志，所以该参数无效(data=jounal)s参数，当文件设置了s参数时，如里这个文件被删除，将不可恢复u参数与s相反，当设置了u参数时，数据其实还保存在磁盘中，可以用来还原删除下面介绍常用的a和i参数首先介绍-i参数查看一下写入是有有权限介绍a参数删除a参数后就可以删除文件了lsattr显示特