M20-1 8月3號 –權限、用戶和組的管理

一、權限管理：

           ls -l

                 rwxrwxrwx:

                              左三位：定義user（owner）的權限

                              中三位：定義group的權限：

                              右三位：定義other的權限

（1）進程安全上下文：

                      進程對文件的訪問權限應用模型：

                                進程的屬主與文件的屬主是否相同，如果相同則應用屬主權限，如果相同，則應用屬主權限；

                                 否則，則檢查進程的屬主是否屬于文件的數組：如果是，則應用數組權限

                                  否則，就只能應用other的權限

        權限：

                r：read，讀

                w：write，寫

                 x：excute，執行

              文件：

                    r：可獲取文件的數據；

                   w：可修改文件的數據； 

                  x：可將此文件運行為進程

          目錄：

                 r：可使用ls命令獲取其下的所有文件 

                  w：可修改此目錄下的文件列表，即創建或刪除文件；

                  x：可cd至此目錄下，且可使用ls -l 來獲取所有文件的詳細屬性

（2）權限管理命令：

            chmod命令:修改權限的三種方法

                      chmod [option]….MODE[,mode]…FILE…

                       chmod [option]…OCTAL-MODE FILE…

                      chmod [option]…–reference=RFILE FILE…

 三類用戶：

               u：屬主

               g：屬組

               o：其他

               a：所有

(1) chmod [option]….MODE[,MODE]…FILE…

                        mode表示法：

                                  賦權表示法：直接操作一類用戶的所有權限位rwx：

                                                       u=rwx

                                                       g=rwx

                                                       o=rwx

                                                       a=rwx(給u,g,o三者同時授權）

                                  授權表示法：直接操作一類用戶的一個權限位r,w,x

                                                      u+  u-

                                                      g+  g-

                                                      o+  o-

                                                      a+  a-

                                               如：u+rwx

（2）使用八進制數字修改文件權限

                       r:4,w:2,x:1

（3）引用參考文件修改權限

   選項：

          -R，–recursive：遞歸修改

從屬關系管理命令：chown,chgrp

             chown命令：

                            chown [option]…..[owner][:[group]] file…

             選項：

                       -R：遞歸修改

           chgrp命令：

                            chgrp [option]。。。。group file…

                            chgrp [option]… –reference=RFILE FILE..

umask：文件的權限反向掩碼，遮罩碼

            文件：

                       666-umask

             目錄：

                      777-umask

注意：之所以文件用666去減，表示文件默認不能擁有執行權限，如果減得結果中有執行權限，則需要將其加1；

            umask:023

                           666-023=644

                           777-023=754

二、用戶和組的管理

  （1）用戶管理命令

       useradd

       usermod

       userdel

   (2) 組賬號維護命令

       groupadd

       groupmod

       groupdel

   useradd [options] loginname

     -u:UID

     -o：配合-u選項，不檢查UID的唯一性

     -g：GID：指明用戶所屬基本組，可為組名，也可以GID

     -c “comment”：用戶的注釋信息

     -d：HOME_DIR：以指定的路徑作為家目錄（需要父目錄存在，子目錄不存在）

     -s：SHELL：指明用戶的默認shell程序

     -G：GROUPS,GROUP2…:為用戶指明附加組，組必須事先存在

     -N：不穿件私有組做主組，使用users組做主組

   usermod [options] loginname

      -u：UID：新UID

      -g：GID：新基本組

      -G：GROUP1

      -s：SHELL 新的默認SHELL

      -c ‘comment’：新的注釋信息

      -d:HOME:新家目錄不會自動創建，原家目錄中的文件不會同時移動至新的家目錄；若要創建新家目錄并移動原家數據，需要同時使用-m選項

     -l：login_name：新的名字；

     -L:lock指定用戶，在/etc/shadow密碼欄里添加!，表示鎖定密碼

     -U：unlock指定用戶，將/etc/shadow密碼欄的！去掉，表示密碼解鎖

     -e：YYYY-MM-DD：指明用戶賬號過期日期；

     -f：設定非活動期限

 userdel：刪除用戶

      -r：同時刪除用戶下的家目錄，郵箱目錄等

  groupadd [options]….group_name 創建組

    -g GID：指明GID號;

    -r：創建系統組

  groupmod：組屬性修改

     groupmod [option]…group

        -n group_name：新名字

        -g GID：新的GID

 groupdel：組刪除

   groupdel GROUP

組密碼:gpasswd

  gpasswd [option]group

     -a user：將user添加至指定組中；

     -d user：從指定組中移除用戶user

     -A user1,user3，。。:設置有管理權限的用戶列表

  newgrp命令：臨時切換基本組

    如果用戶本不屬于此組，則需要組密碼

 groupmems [options][action]

    options：

      -g， –group groupname  更改為指定組

      -a， –add username 指定用戶加入組

      -d，–delete username 從組中刪除用戶

      -p,–purge 從組中清除所有成員

      -l,–list 顯示組成員列表

 groups [option] [username]..查看用戶所屬組列表

  修改文件的屬主：chown 

    用法：

       OWNER

       OWNER:GROUP

       :GROUP

 命令中的冒號可用.替換

      -R:遞歸

   修改文件的屬組：chgrp

      -R:遞歸

三、特殊權限

SUID：user，占據屬主的執行權限位

  當啟動進程之后，其進程的屬主為原程序文件的屬主

  SUID只對二進制可執行程序有效

  SUID設置在目錄上無意義

    s：屬主擁有x權限

    S：屬主沒有x權限

SGID：group，占據屬組的執行權限位

    啟動為進程之后，其進程的屬主為原程序文件的屬組

    s：屬主擁有x權限

    S：屬主沒有x權限

STICKY:other，占據other的執行位

    在目錄設置sticky位，只有文件的所有者或root可以刪除該文件

    t：other擁有x權限

    T：other沒有x權限

chattr +i 不能刪除，改名，更改

chattr +a 只能增加

lsattr顯示特定屬性