Linux的用戶組和權限（二）

  一、1.passwd 設置密碼（類似usermod的用法）

      passwd[OPTIONS] UserName: 

        修改指定用戶的密碼，僅root用戶有權限

        passwd: 修改自己的密碼；

      常用選項：

         -l:鎖定指定用戶

         -u:解鎖指定用戶

         -e:強制用戶下次登錄修改密碼

         -n mindays: 指定最短使用期限

         -x maxdays：最大使用期限

         -w warndays：提前多少天開始警告

         -iinactivedays：非活動期限；

         –stdin：從標準輸入接收用戶密碼；

      echo "PASSWORD" |passwd –stdin username

   2.修改用戶密碼策略

     chage[OPTION]… LOGIN

         -d LAST_DAY

         -E, –expiredateEXPIRE_DATE

         -I, –inactive INACTIVE

         -m, –mindaysMIN_DAYS

         -M, –maxdaysMAX_DAYS

         -W, –warndaysWARN_DAYS

         –l，顯示密碼策略

      下一次登錄強制重設密

        chage-d 0 tom

          chage-m 0 –M 42 –W 14 –I 7 tom

          chage-E 2016-09-10 tom

   3.用戶相關的其他命令

         chfn指定個人信息

         chsh指定shell

         finger

  4.創建組

       groupadd[OPTION]… group_name

        -g GID: 指明GID號；[GID_MIN, GID_MAX]

        -r: 創建系統組；

          CentOS 6: ID<500

          CentOS 7: ID<1000

  5.groupmod 修改和刪除組（組屬性修改）

     groupmod[OPTION]… group

       -n group_name: 新名字

       -g GID: 新的GID；

      刪除組：groupdel

        groupdel GROUP

  6.更改組密碼：gpasswd

      gpasswd[OPTION] username GROUP

        -a user: 將user添加至指定組中；

        -d user: 從指定組中移除用戶user

        -A user1,user2,…: 設置有管理權限的用戶列表

      newgrp命令：臨時切換基本組；

      如果用戶本不屬于此組，則需要組密碼

  7.更改和查看組成員 （操作的人是root和組管理員）

     groupmems[options] [action] 注意書寫格式

        options：

            -g, –group groupname更改為指定組(只有root)

         action

         -a, –add username 指定用戶加入組

         -d, –delete username 從組中刪除用戶

         -p, –purge 從組中清除所有成員

         -l, –list 顯示組成員列表

      groups [OPTION].[USERNAME]… 查看用戶所屬組列表

 

 練習：

    創建sysadmins組

    將用戶user1、user2、user3加入sysadmins組中

    將user3設置為sysadmins組的管理員

    用user3登錄，將用戶user2沖組中移除

    設置sysadmins組的密碼為 centos

    設置user1在創建新文件時，文件的所屬組為sysadmins

    刪除user1…3

    刪除組sysadmins

 二、文件的權限：

   1. 文件屬性： 

      文件屬性操作

       chown：設置文件的所有者

         chgrp：設置文件的屬組信息

  2.修改文件的屬主和屬組

       chown 修改文件的屬主

       chown[OPTION]… [OWNER][:[GROUP]] FILE…

    用法：

      OWNER 直接跟所有者

      OWNER:GROUP 直接跟所有者和所屬組（命令中的冒號可用.替換）；

        -R: 遞歸

        chown[OPTION]… –reference=RFILE FILE…

      修改文件的屬.：chgrp

        chgrp[OPTION]… GROUP FILE…

        chgrp[OPTION]… –reference=RFILE FILE…

        -R：遞歸

3.文件的權限

     文件的權限主要針對三類對象進行定義：

        三個字符一組

          owner: 屬主, u  前三位

            group: 屬組, g  中間三位

            other: 其他, o  最后三位

      每個文件針對每類訪問者都定義了三種權限：

          r: Readable 讀權限

            w: Writable 寫權限

         x: eXcutable 執行權限

      文件：

          r: 可使用文件查看類工具獲取其內容（針對文本文件）

          w: 可修改文件內容但不能刪除文件本身

          x: 可以把此文件提請內核啟動為一個進程（針對二進制程序或者腳本）

  目錄：

        r: 可以使用ls查看此目錄中文件列表，但不能訪問文件（cd進去），也不能查看文件的元數據。

        w: 可在此目錄中創建和刪除此目錄中的文件，配合x權限。

     x: 可以使用ls -l查看此目錄中文件列表，可以cd進入此目錄，可以訪問文件。

        X:只給目錄x權限，不給文件x權限 配合R選項只能用模式法

  4.文件的權限操作

     文件權限（rwx|X）

     文件權限操作命令 Chmod          

   5.數字法（八進制數字）

       —000 0        –x 001 1

       -w-010 2        -wx 011 3

       r–100 4        r-x 101 5

       rw-110 6        rwx 111 7

      例如：

       rw-r—– 640

         rwxr-xr-x: 755

   6.chmod 修改文件的權限

     chmod[OPTION]… OCTAL-MODE FILE…

        -R: 遞歸修改權限

    chmod[OPTION]… MODE[,MODE]… FILE…

     MODE：

     修改一類用戶的所有權限：

       u= g= o= ug= a= u=,g=

     修改一類用戶某位或某些位權限

       u+ u-g+ g-o+ o-a+ a-+ –

    chmod[OPTION]… –reference=RFILE FILE…

   參考RFILE文件的權限，將FILE的修改為同RFILE；

   7.權限設置的一些方法：

       chgrp sales testfile

        chown root:admins testfile

        chmod u+wx,g-r,o=rx file

        chmod -R g+rwX /testdir

        chmod 600 file

        chown mage testfile

   8. umask 新建目錄和文件的默認權限

     （1）umask值可以用來保留在創建文件權限。

        在默認情況下，目錄的權限為755，文件的權限為644。

     （2）新建文件（file）權限（為了安全沒有可執行權限）: 

          666-umask （如果所得結果某位存在執行（奇數）權限，則將其權限+1,偶數保留）

       新建目錄（dir）權限: 

          777-umask

      （3）非特權用戶umask是002

          root的umask是022

     （4）#umask: 查看當前的值

         umask#: 直接指定 如：umask u=rex，g=r，o=

                         umask002

     （5）umask–S 模式方式顯示新建文件夾的默認權限

     （6）umask–p 輸出可被調用

     （7）全局設置：/etc/bashrc    

        用戶設置：~/.bashrc 或者 ~/.bash_profile

   9.Linux文件系統上的特殊權限

       SUID, SGID, Sticky

          三種常用權限 ：r, w, x 

            三類對象  ：user, group, other

    安全上下文：

    前提：進程有屬主和屬組；文件有屬主和屬組

     (1) 任何一個可執行程序文件能不能啟動為進程：取決發起者對程序文件是否擁有執行權限

     (2) 啟動為進程之后，其進程的屬主為發起者；進程的屬組為發起者所屬的組

     (3) 進程訪問文件時的權限，取決于進程的發起者

         (a) 進程的發起者，同文件的屬主：則應用文件屬主權限

         (b) 進程的發起者，屬于文件屬組；則應用文件屬組權限

         (c) 應用文件“其它”權限

   10.可執行文件上的SUID權限

   任何一個可執行程序文件能不能啟動為進程：取決發起者對程序文件是否擁有執行權限

   （1）啟動為進程之后，其進程的屬主為原程序文件的屬主

   （2）SUID只對二進制可執行程序才有意義，才有效

   （3）SUID設置在目錄上無意義

   （4）權限設定 4代表suid

        chmod u+s FILE…

        chmod u-s FILE…

   11.可執行文件上的SGID權限

   （1）任何一個可執行程序文件能不能啟動為進程：取決發起者對程序文件是否擁有執行權限

   （2）啟動進程之后，其進程的屬主為原程序的屬主

   （3）權限設定： 2代表sgid

      chmod g+s FILE…

        chmod g-s FILE…

   12.目錄上的SGID權限

   （1）默認情況下，用戶創建文件時，其屬組為此用戶所屬的主組

   （2）一旦某目錄被設定了SGID，則對此目錄有寫權限的用戶在此目錄中創建的文件所屬的組為此目錄的屬組

   （3）通常用于創建一個協作目錄

   （4）權限設定：

        chmod g+s DIR…

        chmod g-s DIR…

   13.sticky位

    （1）具有寫權限的目錄通常用戶可以刪除該目錄中的任何文件，無論該文件的權限或擁有權

    （2）在目錄設置Sticky 位，只有文件的所有者或root可以刪除該文件

    （3）sticky 設置在文件上無意義

    （4）權限設定：1代表sticky

       chmodo+tDIR…

        chmodo-t DIR…

   14.權限位映射

     SUID: user,占據屬主的執行權限位

       s: 屬主擁有x權限

       S：屬主沒有x權限

     SGID: group,占據屬組的執行權限位

       s: group擁有x權限

       S：group沒有x權限

     Sticky: other,占據other的執行權限位

       t: other擁有x權限

       T：other沒有x權限

   15.chattr 設定文件特定屬性  

      chattr +i 不能刪除，改名，更改

     chattr +A 不想會更改訪問時間

      lsattr 顯示特定屬性

   16.訪問控制列表

   （1）ACL：Access Control List，實現靈活的權限管理

      除了文件的所有者，所屬組和其它人，可以對更多的用戶設置權限

      CentOS7.0默認創建的xfs和ext4文件系統有ACL功能。

      CentOS7.X之前版本，默認手工創建的ext4文件系統無ACL功能。需手動增加:

         tune2fs –o acl/dev/sdb1

         mount –o acl/dev/sdb1 /mnt

     ACL生效順序：所有者，自定義用戶，自定義組，其他人

   （2）為多用戶或者組的文件和目錄賦予訪問權限rwx

          mount -o acl /directory

          etfacl file |directory

          setfacl -m u:wang:rwx file|directory

     setfacl -Rm g:sales:rwX directory （對sales目錄設置rwx權限，但對目錄下的子文件設置rw權限，無x權限，注意X的作用）

     setfacl -M file.acl file|directory（系統調用文件里的權限設置）

          setfacl -m g:salesgroup:rw file| directory

     setfacl -m d:u:wang:rx directory （設置在目錄上，但目錄本身不會有acl權限，只對新建的子文件產生影響）

     setfacl -x u:wang file |directory

     setfacl -X file.acl director（刪除系統調用里的權限設置，和上面的 -M 用法相反。）

  （3）ACL文件上的group權限是mask 值（自定義用戶，自定義組，擁有組的最大權限）,而非傳統的組權限

     getfacl可看到特殊權限：flags

     默認ACL權限給了x，文件也不會繼承x權限。

     base ACL 不能刪除

    setfacl-k dir 刪除默認ACL權限

    setfacl-b file1清除所有ACL權限

    getfacl file1 | setfacl–set-file=-file2 復制file1的acl權限給file2

  （4）mask只影響除所有者和other的之外的人和組的最大權限

     Mask需要與用戶的權限進行邏輯與運算后，才能變成有限的權限(Effective Permission) 

     用戶或組的設置必須存在于mask權限設定范圍內才會生效。             setfacl-m mask::rxfile

     –set選項會把原有的ACL項都刪除，用新的替代，需要注意的是一定要包含UGO的設置，不能象-m一樣只是添加ACL就可以

      .如：setfacl –set u::rw,u:wang:rw,g::r,o::-file1

  （5）備份和恢復ACL

     主要的文件操作命令cp和mv都支持ACL，只是cp命令需要加上 -a，-p 參數。但是tar等常見的備份工具是不會保留目錄和文件的ACL信息。

     #getfacl -R /tmp/dir1 > acl.txt

     #setfacl -R -b /tmp/dir1

     #setfacl -R –set-file=acl.txt /tmp/dir1

     #getfacl -R /tmp/dir1

 

 練習：

   在/data/testdir里創建的新文件自動屬于g1組，組g2的成員如：alice能對這些新文件有讀寫權限，組g3的成員如：tom只能對新文件有讀權限，其它用戶（不屬于g1,g2,g3）不能訪問這個文件夾。