linux用户权限管理

原创

已于 2024-03-21 21:35:31 修改 · 1.2k 阅读

标签

#linux #运维 #服务器

于 2024-03-21 20:37:20 首次发布

本文详细介绍了Linux用户权限管理，包括遵循的原则、权限识别、赋权命令chmod、用户目录属性命令chown、改变属组命令chgrp、访问控制列表的使用，以及查看和设置ACL的getfacl和setfacl命令。同时，还讨论了用户切换、sudo命令的使用，以及批量添加用户和pwconv在管理用户口令中的作用。通过对这些内容的掌握，读者可以更好地管理和保护Linux系统中的文件和目录安全。

linux下可以对文件/目录等进行权限，属主，属组进行管理。来确保文件，目录的安全性

一、遵循原则

对于权限的赋予，应遵循以下原则：
1、可给可不给的不给
2、赋权仅给予最恰当的权限
3、对于不确定的权限应不赋权
4、如果必需赋权可给予最小权限

二、linux权限识别

权限
r：读权限：4：赋予文件/目录可读权限
w：写权限：2：赋予文件/目录可修改、写、删除权限
x：执行权限：1：赋予文件可以执行权限，目录则为进入权限
-：拒绝权限：0：取消相关权限

通过权限可以看出：
umask 000
1/linux最大权限为777
2/文件最大权限为666（系统默认文件一开始不能有执行权限）
3/目录最大权限为777
4/对于所需要的权限可以进行累加
5/应注意linux的权限实际为8进制

linux的属主、属组、其他人解释
1/属主：即文件/目录的主人（u）
2/属组：即文件/目录的主人所在组对其资源权限（g）
3/其他人：即非属主、属组对其资源的权限（o）
4/所有人（全部用户）：即属主/属组/其他人（a）

三、赋权命令：chmod

功能：改变文件/目录的权限
语法格式：chmod 选项目标
选项：
-R：递归改变目标权限
-v：改变权限时显示详细动作
-f：忽略在修改文件时的错误信息
操作运算符
+：增加某个权限
-：去除某个权限
=：只拥有某个权限
eg：
1/对f2文件的权限，属主u增加rw，属组g增加rw，其他人o增加r权限
chmod u+rw，g+rw，o+r f2
2/对f2文件的权限，属主减去r，属组只有x，其他人减去r权限
chmod u-w，g=x，o-r f2
3/对f1文件权限设置属主有rwx，属组rx，其他人没有任何权限，并显示详细信息
chmod -v 750 f1
4/对s1目录及其子目录及文件设定属主rwx，属组rx，其他人没有任何权限
chmod -R 750 s1

set位
suid：让其他用户以属主身份操作文件/目录
其他用户在执行该文件或目录时临时拥有属主的权限
sgid：让其他用户以属组身份操作文件/目录
其他用户在执行该文件或目录时临时拥有属组的权限
sticky：黏贴位，确保用户仅可以删除自己的文件
针对目录，功能保护个人数据不被其他人误删除
eg：
1/对f1设置suid位
chmod 4644 f1
2/对f1设置sgid位
chmod 2644 f1
3/对s1进行sticky设置
chmod 1777 s1
4/chmod 7777 f1

系统默认情况下的权限为
特权账户的默认权限为
umask 0022
即文件创建默认权限为：644
创建目录的默认权限为：755

系统默认情况下的权限为
普通账户的默认权限为
umask 0002
即文件创建默认权限为：664
创建目录的默认权限为：775

两者默认内容详见/etc/profile及/etc/bashrc

查看当前账户的umask权限
umask
umask=最大权限-默认权限

如需改变umask的默认权限可以
1/临时修改
umask 新的权限
eg：umask 077
2/全局永久改变，可修改/etc/profile及/etc/bashrc
3/针对某个账户改变
echo “umask 077” >> ～/.bashrc

四、用户目录属性命令：chown

功能：改变文件/目录的属主和（或）属组
语法格式：chown 选项 [属主.属组] <目标>
选项：
-R：递归
-v：执行时显示详细信息
eg：
1/改变f1文件的属主为sy用户
chown sy f1
2/改变f1文件的属组为sy组
chown .sy f1
3/改变s1目录及其子目录，所有文件的属主为sy，属组为sy，并显示更改动作
chown -Rv sy.sy s1

五、改变属组命令：chgrp

功能：改变文件/目录的属组
语法格式：chgrp 选项属组 <目标>
选项：
-R：递归
-v：执行时显示详细信息

五、访问控制列表

对现今的操作系统而言，对于不同的用户分配不同的权限或有一定差别是非常普遍的
而linux的chmod却只能分配三个角色，因此为了能够完成多个角色的不同权限分配需求，可以使用ACL（访问控制列表）
ACL的种类
1）存取ACL：针对文件/目录设置访问控制列表
2）默认ACL：只针对目录设置。如果目录中没有设置ACL将自动使用默认ACL

对于ACL而言就是设定某个特定的账户或组对某个文件/目录的操作权限

六、查看ACL命令：getfacl

功能：查看本地文件/目录的ACL权限
语法格式：getfacl 选项目标
eg：
1/查看本地的文件f1的ACL权限
getfacl f1
chmod 7777 f1
getfacl f1

七、改变ACL命令：setfacl

功能：修改本地文件/目录的ACL权限
语法格式：setfacl 选项目标
常用参数参数说明
-m 设定文件 ACL 规则
-M 从文件或标准输入读取 ACL 规则并设定
-x 删除文件 ACL 规则
-X 从文件或标准输入读取 ACL 规则并删除
-b 删除所有扩展的 ACL 规则 , 基本的 ACL 规则将被保留
-k 删除缺省的 ACL 规则 , 如没有缺省规则将不提示
-d 设定默认的 ACL 规则
-test 测试并列出 ACL 规则
-R 递归对所有文件及目录进行操作
-L 跟踪符号链接,直指目标目录
-P 跳过所有符号链接 , 包括符号链接文件
--help 帮助
eg：
1/确认本地分区允许进行ACL设定
tune2fs -l /dev/sdax | grep option
2/让sy对f1拥有rw权限
setfacl -m（修改） u：sy：rw- f1
getfacl f1
3/为f1增加ss用户，s1组添加rw权限
setfacl -m u：ss：rw-，g：s1：rw- f1