Linux操作系统基础与应用（CentOS Stream 9） 课件 项目8 文件和目录的管理权限与所有者

项目8文件和目录的管理权限与所有者2023-06-05

学习内容学习目标项目情境任务8-1理解文件和目录的权限任务8-2管理文件和目录的权限任务8-3管理文件和目录的所有者拓展知识项目实训项目小结01学习目标学习目标知识目标能力目标素养目标知识目标了解文件和目录的权限掌握文件和目录的权限管理掌握文件访问控制列表的管理掌握文件和目录所有者的更改能力目标能够进行Linux操作系统文件和目录的权限管理，熟悉文件权限的管理工具掌握Linux操作系统权限管理的实际应用掌握setfacl和getfacl命令对用户进行权限控制应用掌握利用命令进行文件和目录所有者的修改素养目标能够严格按照职业规范要求进行任务实施增强学生数据安全的意识02项目情境项目情境在实际工作中，公司的各个部门都拥有自己的服务器资源和目录，多个用户共同使用同一个系统时，文件和目录的权限管理变得尤为重要，这直接关系到整个Linux系统的安全性。小陈的领导要求他根据公司不同部门的需求，按照员工的具体工作职能（例如研发、运维和数据库管理员），实现对Linux服务器管理权限的最小化和规范化。为了解决这个问题，小陈咨询了师傅老王，并了解到合理有效地管理文件权限的前提是掌握文件权限和所有者等相关知识。03任务8-1理解文件和目录的权限任务8-1理解文件和目录的权限任务目标8.1.1了解文件和目录的权限8.1.2理解ls-l命令获取的权限信息任务目标Linux系统中的所有文件和目录都具有访问权限，这些权限决定了用户和用户组能否对文件进行访问以及可以执行哪些操作。对于网络运维人员来说，管理Linux系统的文件权限是必备的技能之一。因此，为了胜任目前的工作，小陈需要掌握文件和目录的权限管理。因此，小陈制定了如下的任务目标：①了解文件和目录的权限。②理解文件和目录的权限信息。8.1.1了解文件和目录的权限在Linux系统中，用户对文件或目录的访问身份可以分为三种类型：所有者：文件的创建者所属组：与所有者同组的所有用户其他用户：其他组的用户8.1.1了解文件和目录的权限在Linux系统规定了这三种身份类型对文件所拥有的可读（r）、可写（w）、可执行（x）等权限。一般文件和目录文件中，这三种权限的含义有所区别，具体如下：一般文件：可读表示读取文件的内容；可写表示能够编辑、新增、修改、删除；可执行表示运行一个脚本程序。目录文件：可读表示读取目录内的文件列表；可写表示能够在目录内新增、删除、重命名文件；可执行表示能够进入到该目录，能查看目录中文件的详细属性。注意：root账户不受文件权限的读写限制，但执行权限受限制。8.1.2理解ls-l命令获取的权限信息Linux系统中每个文件都有一组权限位，可通过执行ls-l或ll命令查看。每一行分为7个部分，以第一行为例，来介绍主要字段的含义，具体如下：8.1.2理解ls-l命令获取的权限信息文件类型：Linux文件属性中第一列由10个字符组成，第一个字符一般用来区分文件类型，具体的字符和对应的含义如表8.1所示。表8.1表示文件类型的字符及对应含义字符含义-表示一个普通的文件l表示一个符号链接文件，实际上它指向另一个文件d表示是一个目录b表示块设备文件c表示字符设备文件p表示管道，一种进程间通信的方式s表示套接字，与管道不同的是，它们可以在不同主机上的进程间通信8.1.2理解ls-l命令获取的权限信息（2）文件类型：第2～10个字符用来表示文件权限，3个字符为一组，且均为r、w、x这3个字符的组合。r表示可读，w表示可写，x表示可执行。04任务8-2管理文件和目录的权限任务8-2管理文件和目录的权限任务目标8.2.1设置文件和目录的基本权限8.2.2设置文件和目录的特殊权限8.2.3设置文件和目录的默认权限8.2.4设置文件访问控制列表的访问权限

任务目标通过对之前项目的学习，小陈对文件和目录的访问权限有了一定的了解，并学会了如何查看文件权限，以及各权限的具体含义。然而，小陈在修改文件权限时遇到了困难，不知道如何进行修改，以及可以使用哪些命令来实现修改。现在，小陈带着这些问题，需要找到解决的方法。因此，小陈制定了如下的任务目标。①掌握设置文件和目录的基本权限的命令及方法。②掌握设置文件和目录的特殊权限的命令及方法。③掌握设置文件和目录的默认权限的命令及方法。④掌握设置文件访问控制列表访问权限的常用命令。8.2.1设置文件和目录的基本权限在Linux系统通过chmod命令设置基本的文件权限，具体实现有两种设置方法：一种是数字表示法，一种是字符表示法。1．数字表示法chmod命令格式如下：

chmod[-R]xyz文件或目录数字表示法，是将可读、可写及可执行各权限分别以数字4、2、1表示，没有授予权限的部分用0表示。要想得出每种身份（所有者、所属组、其他用户）最终的权限数字，需要对所有权限的表示数字进行累加。例如，将某文件权限设置为rwxrw-r--，数字表示法如下：所有者=rwx=4+2+1=7所属组=rw-=4+2+0=6其他用户=r--=4+0+0=4。因此通过chmod命令修改权限时，该文件的权限数字就是764。8.2.1设置文件和目录的基本权限例8.1将user.txt这个文件所有的权限都设定启用，即所有人员都有rwx权限，命令及运行结果如下。[root@server~]#ls-luser.txt-rw-r--r--.1rootroot3605月1809:18user.txt[root@server~]#chmod777user.txt[root@server~]#ls-luser.txt-rwxrwxrwx.1rootroot3605月1809:18user.txt8.2.1设置文件和目录的基本权限2．字符表示法字符表示法是一种包含字母和操作符表达式的文件权限修改方法，用加、减符号表示增加或者减少权限。chmod命令采用字符表示法的格式如下：

8.2.1设置文件和目录的基本权限例8.2将test文件权限设置为-rwxr-xr-x，命令及运行结果如下。[root@server~]#ls-ltest-rw-r--r--.1rootroot07月2209:31test[root@server~]#chmodu=rwx,g=rx,o=rxtest[root@server~]#ls-ltest-rwxr-xr-x.1rootroot07月2209:31test8.2.1设置文件和目录的基本权限例8.3将test文件所有用户的可执行权限去掉，命令及运行结果如下。[root@server~]#chmoda-xtest[root@server~]#ls-ltest-rw-r--r--.1rootroot07月2209:31test8.2.2设置文件和目录的特殊权限SUID

SUID（SetUserID）：s标志出现在文件所有者的x权限时称为SUID。允许用户以文件所有者的权限来执行文件。SUID命令格式8.2.2设置文件和目录的特殊权限例8.4增加普通用户对/usr/bin/cp命令的特殊权限。[root@serverbin]#ll/usr/bin/cp-rwxr-xr-x.1rootroot1528241月2921:09/usr/bin/cp[root@serverbin]#chmodu+s/usr/bin/cp或者[root@serverbin]#chmod4755/usr/bin/cp[root@serverbin]#ll/usr/bin/cp-rwsr-xr-x.1rootroot1528241月2921:09/usr/bin/cp[root@serverbin]#chmodu-s/usr/bin/cp[root@localhostbin]#ll/usr/bin/cp-rwxr-xr-x.1rootroot1528241月2921:09/usr/bin/cp8.2.2设置文件和目录的特殊权限2.SGID

SGID（SetGroupID）当s出现在用户组的x权限时称为SGID。SGID权限作用：SGID权限主要让执行者临时拥有所属组的权限，适用于可执行文件和目录。对于可执行文件，执行者获取的权限不再是文件所有者的临时权限，而是文件所属组的权限。对于目录，创建的文件将自动继承该目录的用户组，而不再是创建者的基本用户组。8.2.2设置文件和目录的特殊权限设置SGID权限的命令格式8.2.2设置文件和目录的特殊权限例8.5在/tmp/目录下建立测试目录dir1并赋予一定的权限，给目录dir1/加上SGID权限，切换到普通用户testuser1，在dir1/中新建aaa文件，验证aaa文件的所属组是dir1这个目录的用户组，命令及运行结果如下。[root@servertmp]#mkdirdir1[root@servertmp]#chmod777dir1[root@servertmp]#chmod-Rg+sdir1[root@servertmp]#lldrwxrwsrwx.2rootroot67月2313:23dir1[root@servertmp]#su-testuser1[testuser1@server~]$cd/tmp[testuser1@servertmp]$touchqqq[testuser1@servertmp]$lldrwxrwsrwx.2rootroot67月2313:23dir1-rw-rw-r--.1testuser1testuser107月2313:31qqq[testuser1@servertmp]$cddir1[testuser1@serverdir1]$touchaaa[testuser1@serverdir1]$ll-rw-rw-r--.1testuser1root07月2408:12aaa8.2.2设置文件和目录的特殊权限3.SBIT

SBIT即StickyBit简称。t出现在其他用户权限的执行位上。SBIT权限作用：主要用于目录，用于控制文件在目录中的删除权限。以防止其他用户意外删除他人文件，提高文件的安全性。8.2.2设置文件和目录的特殊权限设置SBIT权限的命令格式8.2.2设置文件和目录的特殊权限例8.6创建目录/dir，设置用户权限为777，并设置SBIT权限。切换为testuser1用户，在/dir目录下创建file1，之后再切换为testuser2用户，尝试删除file1文件，看是否成功[root@server~]#mkdir/dir[root@server~]#chmod1777/dir#设置目录权限[root@server~]#ls-ld/dirdrwxrwxrwt.2rootroot68月1022:04/dir[root@server~]#su-testuser1#切换为testuser1用户[testuser1@server~]$touch/dir/file1[testuser1@server~]$ls-ld/dir/file1-rw-r--r--.1testuser1testuser108月1022:19/dir/file1[testuser1@server~]$su-testuser2#切换为testuser2用户[testuser2@server~]$rm/dir/file1rm:无法删除'/dir/file1':不允许的操作

[testuser2@server~]$ls-ld/dir/file1#文件存在，删除失败-rw-r--r--.1testuser1testuser108月1022:19/dir/file1[testuser2@server~]$su–testuser1#切换为testuser1用户[testuser1@server~]$rm/dir/file1rm：是否删除普通空文件'/dir/file1'？y[testuser1@server~]$ls/dir[testuser1@server~]$#目录为空，删除成功8.2.3设置文件和目录的默认权限默认权限是什么？

默认权限指在特定情况下linux系统为新创建的文件或目录自动分配的权限设置。这些权限设置决定了文件或目录的所有者、所属组和其他用户在访问、修改或执行该文件或目录时的权限级别。默认权限是根据系统的umask值计算得出的。默认权限是系统为了安全性和可管理性而设定的一种机制。它确保了新创建的文件和目录具有适当的权限设置，避免了一些潜在的安全风险。8.2.3设置文件和目录的默认权限umask介绍

umask又称"用户掩码"是一个用来控制新创建文件和目录权限的权限掩码。在linux系统中，umask值决定了在创建新文件或目录时要从默认最大权限中减去的权限。文件和目录的默认最大权限文件的默认最大权限是666（rw-rw-rw-）目录的默认最大权限是777（rwxrwxrwx）8.2.3设置文件和目录的默认权限umask语法格式

8.2.3设置文件和目录的默认权限例8.7以root用户登录，查看umask值，命令及运行结果如下。[root@server~]#umask#查看当前umask0022[root@server~]#umask-p#-p选项表示完整显示umask值umask0022[root@server~]#umask-S#-S选项表示直接显示默认权限u=rwx,g=rx,o=rx[root@server~]#umask-p-Sumask-Su=rwx,g=rx,o=rx8.2.3设置文件和目录的默认权限例8.8查看创建目录及文件的默认权限，命令及运行结果如下。[root@server~]#touchtextfile[root@server~]#mkdirtestdir[root@server~]#ls-ltextfile-rw-r--r--.1rootroot07月2418:59textfile[root@server~]#ls-ldtestdir/drwxr-xr-x.2rootroot67月2419:01testdir/8.2.3设置文件和目录的默认权限例8.9修改/usr/tmp目录默认权限，保留所有者权限，其他用户和组没有任何权限。新建目录testdir2、文件textfile2，查看默认权限，命令及运行结果如下。[root@server~]#cd/usr/tmp[root@servertmp]#umask0022[root@servertmp]#umask0077[root@servertmp]#umask0077[root@servertmp]#mkdirtestdir2[root@servertmp]#touchtextfile2[root@servertmp]#ls-ldtestdir2/drwx------.2rootroot67月2419:21testdir2/[root@servertmp]#ls-ltextfile2-rw-------.1rootroot07月2419:21textfile28.2.4设置文件访问控制列表的访问权限ACL含义:ACL是AccessControlList（访问控制列表）的缩写。针对指定的用户或用户组设置文件或目录的操作权限。

ACL访问权限主要通过setfacl和getfacl命令来实现。8.2.4设置文件访问控制列表的访问权限setfacl语法格式基本命令格式：特殊用户和组的命令格式：setfacl[选项]文件名称setfacl[选项][u：用户名：权限]文件名称setfacl[选项][g：组名：权限]文件名称8.2.4设置文件访问控制列表的访问权限setfacl命令常用选项及含义选项含义-m修改文件的ACL权限-M从文件中读取ACL权限并修改相关信息-x删除指定用户或组的ACL权限-X从文件中读取ACL权限并删除-b删除所有的ACL权限-R递归对所有文件及目录进行操作-k删除默认ACL权限8.2.4设置文件访问控制列表的访问权限例8.10使用setfacl命令设置普通用户testuser1对/root目录的访问权限[root@server~]#su-testuser1[testuser1@server~]$cd/root-bash:cd:/root:权限不够[testuser1@server~]$ls-ld/rootdr-xr-x---.15rootroot40968月1216:39/root[testuser1@server~]$su-密码：#此处输入root账户密码[root@server~]#setfacl-Rmu:testuser1:rwx/root/[root@server~]#su-testuser1[testuser1@server~]$cd/root[testuser1@serverroot]$ls-ld/rootdr-xrwx---+15rootroot40968月1216:39/root8.2.4设置文件访问控制列表的访问权限getfacl语法格式基本命令格式：getfacl[选项]文件名称8.2.4设置文件访问控制列表的访问权限getfacl命令常用选项及含义选项含义-a显示文件的ACL-d显示默认的ACL-e显示所有有效的权限-c不显示注释表头-R递归显示子目录-a显示文件的ACL-d显示默认的ACL8.2.4设置文件访问控制列表的访问权限例8.11使用getfacl命令显示/root目录ACL权限，然后删除testuser1用户对/root目录的ACL权限[root@server~]#getfacl/rootgetfacl:Removingleading'/'fromabsolutepathnames#file:root#owner:root#group:rootuser::r-xuser:testuser1:rwxgroup::r-xmask::rwxother::---[root@server~]#setfacl-xu:testuser1/root/#删除ACL权限[root@server~]#getfacl-c/rootgetfacl:Removingleading'/'fromabsolutepathnamesuser::r-xgroup::r-xmask::r-xother::---05任务8-3管理文件和目录的所有者任务8-2管理文件和目录的权限任务目标8.3.1提升普通用户权限8.3.2更改文件和目录的所有者

任务目标小陈通过之前的学习已经掌握了设置文件和目录的基本权限、特殊权限、默认权限及ACL权限等基础知识，同时也学习了相关的命令和方法。然而，他发现在以普通用户身份执行某些命令或对特定文件和目录进行操作时，系统会提示权限不足。在这种情况下，师傅告诉他可以通过提升权限的方法来解决问题。为了解决这类问题，小陈迅速投入新的学习任务中。因此，小陈制定了如下的任务目标。①掌握提升普通用户权限的方法。②会利用命令更改文件和目录的所有者。8.3.1提升普通用户权限1．sudo命令sudo允许普通用户以其他用户的身份执行命令，通常是以超级用户(root)的身份执行需要特权的操作。

sudo的配置文档是/etc/sudoers。基本命令格式：

sudo[选项]命令名称8.3.1提升普通用户权限sudo命令常用选项及含义选项含义-l显示当前用户可执行的命令-u以指定的用户身份执行命令-k结束密码的有效时间，下次执行sudo时需要再次进行密码验证-b在后台执行指令-p更改询问密码的提示信息-h获取帮助信息-l显示当前用户可执行的命令8.3.1提升普通用户权限例8.12以testuser1用户身份执行passwd命令来修改testuser2用户的密码。[root@server~]#su-testuser1[testuser1@server~]$passwdtestuser2passwd：只有root用户才能指定用户名。[testuser1@server~]$sudopasswdtestuser2我们信任您已经从系统管理员那里了解了日常注意事项。总结起来无外乎这三点：#1)尊重别人的隐私。#2)输入前要先考虑（后果和风险）。#3)权力越大，责任越大。[sudo]testuser1的密码：更改用户testuser2的密码。新的密码：无效的密码：密码少于8个字符重新输入新的密码：passwd：所有的身份验证令牌已经成功更新。8.3.1提升普通用户权限1．visudo命令

visudo作用：

用于编辑/etc/sudoers文件的工具，它提供了一个安全的方式来编辑sudo配置文件。基本命令格式：visudo[选项]8.3.1提升普通用户权限sudo命令常用选项及含义选项含义-c检查sudoers文件的语法，但不进行编辑-f文件指定要编辑的sudoers文件路径。如果不指定，则默认编辑/etc/sudoers文件-q在语法检查期间，不显示警告信息。8.3.1提升普通用户权限例8.13允许用户user1执行/sbin/reboot命令而无需输入密码。[root@server~]#sudovisudouser1ALL=(ALL)NOPASSWD:/sbin/reboot[root@server~]#su-user1[user1@server~]$sudo/sbin/reboot8.3.2更改文件和目录的所有者1.更改文件所属组—chgrp命令作用：

用于更改文件或目录的所属组的命令。基本命令格式：

chgrp所属组文件名/目录名8.3.1提升普通用户权限例8.14以root用户身份创建文件root.txt，看看root.txt属于哪个组，然后将这个文件的所属组更改到testgroup组[root@server~]#touchroot.txt[root@server~]#groupaddtestgroup[root@server~]#ls-lroot.txt-rw-r--r--.1rootroot07月2512:38root.txt[root@server~]#chgrptestgrouproot.txt[root@server~]#ls-lroot.txt-rw-r--r--.1roottestgroup07月2512:38root.txt2．更改文件拥有者8.3.2更改文件和目录的所有者2.更改文件拥有者—chown命令作用：

改变指定文件或目录的所有者和所属组。基本命令格式：

chown-R用户[:组]文件/目录8.3.1提升普通用户权限例8.15以testuser1用户身份删除root用户在/tmp/目录下创建的a.txt文件，并将/tmp/dir1目录下所有文件和目录的所有者都改为testuser1用户[root@servertmp]#toucha.txt[root@servertmp]#su-user1[user1@server~]$rm-rf/tmp/a.txtrm:无法删除'/tmp/a.txt':不允许的操作[user1@server~]$su-[root@server~]#chownuser1/tmp/a.txt[root@server~]#ls-l/tmp/a.txt-rw-r--r--.1user1root03月1012:53/tmp/a.txt[root@server~]#su-user1[user1@server~]$rm-rf/tmp/a.txt[user1@server~]$ll/tmp/a.txtls:无法访问'/tmp/a.txt':没有那个文件或目录[user1@server~]$su-[root@server~]#chown-Ruser1:user1/tmp/dir1[root@server~]#ls-l/tmp/drwxrwsrwx.2user1user1173月1012:53dir1[root@server~]#ls-l/tmp/dir1/-rw-r--r--.1user1user103月1012:53aaa06拓展知识隐藏属性1．设置隐藏属性——chattr命令作用：

通过chattr命令修改文件属性，能够提高系统的安全性基本命令格式：

chattr[+/-/=<属性>]文件名称隐藏属性chattr命令中的属性及作用属性作用a即append，设定该参数后，只能向文件中添加数据，而不能删除数据，多用于服务器日志文件安全，只有root才能设定这个属性b不更新文件或目录的最后存取时间c默认将文件或目录进行压缩d使用dump命令备份时忽略本文件/目录i无法对文件进行修改；若对目录设置了该参数，则仅能修改其中的子文件内容而不能新建或删除文件s彻底从硬盘中删除，不可恢