任何完整的系统都应该具备有某种形式的安全性。必须用过某种机制来保护文件不被未授权的用户查看或修改;Linux系统遵循了Unix的文件权限的方法,来根据用户与用户组授权,实现文件安全访问。

1、Linux安全性

  Linux系统的安全核心是用户账户。访问Linux系统的每个人都拥有自己的分配的、唯一的账户。基于账户来进行安全处理。使用用户ID(UID)来跟踪用户权限。

  1.1、/etc/passwd文件

    存放用户名的文件--/etc/passwd;

    首先看到的是根用户,它的UID始终未0。它被称为系统账户。通常情况下,每个用户都是通过普通用户登录到Linux操作系统,普通用户不能直接获取对整个系统的访问权限。这样就保证了系统的安全性;

    500以下的UID保留作为系统账户。一些服务甚至特定的UID才能使用这些UID号。普通用户的UID一般为500开始往后。

    /etc/passwd的内容如下:

      1、登录用户名

      2、用户的密码【x表示密码替代符,真正的密码存放于/etc/shadow中】

      3、用户账户的ID号

      4、用户账户的数值用户组ID

      5、用户账户的文本描述(注释字段)

      6、用户的HOME目录位置

      7、用户的默认shell

    需要添加删除用户的话,可以直接在该文件下面进行操作;

  1.2、/etc/shadow文件

    /etc/shadow文件是提供了密码存放的地方。只有根用户才能访问这个文件。这比/etc/passwd文件更加安全;

 

    与/etc/shadow文件记录中有9个字段:

      1、与/etc/passwd文件中的登录名对应的登录名;

      2、经过加密的密码

      3、密码上次修改时间距离1970年1月1日的天数;

      4、距能够修改密码时的最少天数

      5、距必须修改密码是的天数

      6、距离密码逾期并警告用户修改密码的天数

      7、从密码逾期开始到账户被禁用的天数

      8、用户账户已被禁用的天数(存储为自1970年1月1日开始的天数)

      9、保留供未来使用的字段

  1.3、添加新的用户

    useradd用来添加用户。

    useradd -D  #查看Linux系统使用的系统默认值

      INACTIVE=-1  #密码逾期不被停用

      SKEL=/etc/skel  #系统会将/etc/skel目录中的内容复制到用户的HOME目录

      CREATE_MAIL_SPOOL=yes  #系统将在邮件目录中的内容复制到用户的HOME目录中;

    useradd常用参数:

      -c  #添加注释

      -d  #指定家目录名称

      -e  #指定账户逾期的日期,格式为YYYY-MM-DD

      -f  #表示账户逾期后,账户被禁用需要的天数。值0表示密码逾期时立即禁止账户;值为-1表示禁止此功能

      -g  #指定用户登录组的用户组名称或GID

      -G  #指定用户属于的一个或过个补充的用户组

      -k  #将/etc/skel目录的内容复制到用户HOME目录

      -m  #创建用户的HOME目录,与-k一起使用

      -M  #不创建家目录

      -n  #使用与用户登录名相同名称的创建一个新的用户组

      -r  #创建一个系统账户

      -p  #为用户指定一个默认密码

      -s  #指定默认登录shell

      -u  #指定账户的唯一的UID

    useradd还可以更改默认参数值

      -b  #修改默认的HOME目录被创建的位置

      -e  #修改新账户逾期的时间

      -f  #修改从密码逾期到账户被禁用的天数

      -g  #修改默认使用的用户组名称或GID

      -s  #修改默认登录的shell

      例如:useradd -D -s /bin/tsch

  1.4、删除用户

    userdel命令,用来删除用户。

    例如:userdel -r test  #-r带着默认家目录一块删

  1.5、修改用户

    常用的修改工具:

    usermod  编辑用户的账户字段,以及制定主要和次要的用户组成员

      -l  #用于修改用户账户的登录名

      -L  #用于锁定账户,使用户无法登录

      -p  #用于修改账户的密码

      -U  #用于接触账户锁定,使用户能够登录

    passwd  修改已有的用户密码

      passwd修改自身密码,passwd test修改test用户密码;

      -e   #选项用于前置用户下次登录时修改密码;

    chpasswd  读取登录名和密码对文件,并更新密码

      用于大量修改用户密码,从标准输入读取登录名和密码对应的列表(由冒号分开) 

    chage  修改密码的逾期时间

    chfn    修改账户的注释信息

      将信息存储于/etc/passwd的注释字段中。

      finger 命令可以查找关于Linux系统上的用户信息;

    chsh    修改用户账户的默认shell

      chsh -s /bin/csh test  #test用户的shell程序改为/bin/csh

2、使用Linux用户组

  在个人账户控制上,当个用户可以满足,在资源共享方面则有所欠缺。为此我们使用用户组的概念来实现; 

  每个用户组都有一个唯一的GID。与UDI类似是系统上独一无二的数值。

  2.1、/etc/group文件

    /etc/group文件用来存放系统中用户组的信息;

    与UID类似,500一下的GID为系统用户的用户组信息,而500以及500以上的才是普通用户的用户组信息;

      1、用户组名称

      2、用户组密码

      3、GID

      4、属于用户组的用户账户列表

    usermod 命令可以帮助我们将用户添加到特定的用户组中;

  2.2、创建新的用户组

    例如:groupadd shared

          tail -1 /etc/group

    这时候是没有用户属于这个组的,我们需要使用usermod命令来将用户添加到该组;

         usermod -G shared rich

         usermod -G shared test

         tail -1 /etc/group  #此时,用户rich和test用户就添加到了shared组中;

  2.3、修改用户组

    groupmod 命令可用来修改组的相关信息;

    例如:groupmod -n sharing shared  #-n将shared名字改为sharing;

      -g  #可以修改用户组的GID

3、解码文件权限

  了解 ll 查看到的文件权限

  3.1、使用文件权限符号

    rwx-读写执行,同时可以用8进制数来表示

  3.2、默认文件权限

    遮罩码--umask,定义了文件的默认权限;

    文件权限可以使用代码来表示,如下图:

    文件的完整权限是666,而目录的完整权限是777;因此在实例中,文件初始权限在去掉umask后为644,而目录的为755;

    通过umask命令可以修改默认遮罩码,但是不建议这么做;

4、修改安全设置

  4.1、修改权限

    chmod用来修改文件权限,格式如下:

    chmod options mode file

    例如:chmod 760 newfile

    也可以使用符号的模式指定文件的权限:

    [ugoa...] [+-=] [rwxXstugo...]

      u  表示用户

      g  表示用户组

      o  表示其他

      a  表示上述所有

      +  添加对应权限

      -  去掉对应权限

      =  为权限赋值

      x  用于指定执行权限

      s  用于设置正在执行的UID或者GID

      t  用于保存程序文本

      u  用于将权限设置为所有者的权限

      g  用于将权限设置为用户组的权限

      o  用于将权限设置为其他人的权限

    例如:

  4.2、修改所有者

    chown可以方便的修改文件所有者;

    chown options owner [.group] file

    例如:chown dan newfile

         chown .dan newfile

         chown dan. newfile

       chown dan.dan newfile

    也可以使用 chgrp 直接来修改用户组即可;

    例如:chgrp shared newfile  #只修改用户组,类似与chown .dan newfile

5、共享文件

  有时候,我们需要将文件共享给所有的用户,我们需要临时调用文件所有者权限,这时候,Linux系统为我们提供了三个额外的信息为,它们分别是:

  1、set user id (SUID)  当文件由用户执行时,程序将在文件所有者的权限下运行

  2、set group id (SGID)  对于文件,程序将在文件用户组的权限下运行,对于目录,目录中创建的所有新文件使用目录用户组作为默认用户组

  3、粘着位  进程结束后,文件仍然保留(粘着)在内存中

  chmod命令可以修改设置这三位的信息,权限如下图:

理解Linux文件权限的更多相关文章

  1. Linux命令行–理解Linux文件权限(转)

    6.1.1 /etc/passwd文件 /etc/passwd:包含系统用户账户列表以及每个用户的基本配置信息 每个条目有七个字段,每个字段用冒号隔开 登录用户名 用户密码 用户账户的UID 用户账户 ...

  2. 《Linux命令行与shell脚本编程大全》 第七章理解Linux文件权限

    Linux沿用了Unix文件权限的方法,允许用户和组根据每个文件和目录的安全性设置来访问文件. 用户权限通过创建用户时分配的用户ID(UID)来跟踪的.每个用户有唯一的ID,但是登录时用的不是UID, ...

  3. 通俗易懂理解Linux文件权限修改chmod命令

    chmod g+w filename 给同组用户增加filename文件的写权限 chmod go+rw filename 给同组和组外用户增加写和读的权限 chmod g-w filename 给同 ...

  4. 个人理解Linux文件权限--以前记录的,根据鸟哥的第二版去解释的

    ps:鸟哥的第三版私房菜印刷的有问题 上面的意思:d指的是目录 档案拥有者权限:r可读w可写,x,可运行, 同群组的权限:r可读,这段有个-号,表示不可写,x表示可运行 其他非本群组的权限:r可读,这 ...

  5. 对Linux文件权限的理解

    755,775,777,ugoa 等分别代表什么含义?这些数字是如何得到的? 1.常用的linux文件权限: 444 -r--r--r-- 600 -rw------- 644 -rw-r--r-- ...

  6. Linux 文件权限总结

    在 Linux 中最基本的任务之一就是设置文件权限.理解它们是如何实现的是你进入 Linux 世界的第一步.如您所料,这一基本操作在类 UNIX 操作系统中大同小异.实际上,Linux 文件权限系统就 ...

  7. Linux文件权限与属性详解 之 一般权限

    目录 一般属性 1. iNode: 3152621 2. 文件类型 3.文件访问权限 4. 链接数目: 5. 文件所有者 6. 文件所属组 7. 文件大小 8. 修改时间 9. 文件名称 Linux文 ...

  8. Linux文件权限设置

    基本概念 https://linux.cn/article-7418-1.html#3_8880 用户管理 文件权限设置 -添加用户账户08% -理解 /etc/passwd 中的内容12% -理解 ...

  9. 说说Linux文件权限那些事儿

    文件全部权 显示文件的全部权 更改文件的全部权 文件的权限 改动文件的权限 用符号表示法改动 用数字表示法改动 使用umask指定默认的文件权限 參考文献 首先我们要知道Linux的标准文件权限和安全 ...

随机推荐

  1. AS 400 常用命令

    转自:http://blog.chinaunix.net/uid-22375044-id-3049793.html 一.命令技巧 命令构成: CRT* (Creat) 创建 WRK* (Work Wi ...

  2. Codeforces1097D. Makoto and a Blackboard(数论+dp+概率期望)

    题目链接:传送门 题目大意: 给出一个整数n写在黑板上,每次操作会将黑板上的数(初始值为n)等概率随机替换成它的因子. 问k次操作之后,留在黑板上的数的期望. 要求结果对109+7取模,若结果不是整数 ...

  3. Gym101889J. Jumping frog(合数分解+环形dp预处理)

    比赛链接:传送门 题目大意: 一只青蛙在长度为N的字符串上跳跃,“R”可以跳上去,“P”不可以跳上去. 字符串是环形的,N-1和0相连. 青蛙的跳跃距离K的取值范围是[1, N-1],选定K之后不可改 ...

  4. mongoDB数据库的安装与配置

    noSql数据库MongoDB的安装地址:https://www.mongodb.com/download-center?jmp=nav#community 选择相应的版本进行下载,在此以window ...

  5. GAN试验记录.

    1.GAN目标函数不收敛,参数难调 2.数据集与生成集比例 3.生成四不像,模式崩塌

  6. L1-046 整除光棍

    这里所谓的“光棍”,并不是指单身汪啦~ 说的是全部由1组成的数字,比如1.11.111.1111等.传说任何一个光棍都能被一个不以5结尾的奇数整除.比如,111111就可以被13整除. 现在,你的程序 ...

  7. Java CAS同步机制 原理详解(为什么并发环境下的COUNT自增操作不安全): Atomic原子类底层用的不是传统意义的锁机制,而是无锁化的CAS机制,通过CAS机制保证多线程修改一个数值的安全性。

    精彩理解:  https://www.jianshu.com/p/21be831e851e ;  https://blog.csdn.net/heyutao007/article/details/19 ...

  8. C++跨平台集成websocketpp

    之前给公司写了一个用于消息交互的服务器,移植到Linux上之后发现H5-Websocket模块经常出问题,而该模块是另一位已经离职同事编写的,所以修改和维护都存在一定的困难,索性就直接把这个模块替换掉 ...

  9. 芯灵思Sinlinx A33开发板boa与CGI移植

    开发平台 * 芯灵思SinlinxA33开发板 淘宝店铺: https://sinlinx.taobao.com/ 嵌入式linux 开发板交流 641395230 在嵌入式设备的管理与交互中,基于W ...

  10. flutter 容器

    Flutter 有着丰富的布局控件库 . Flutter 中的布局整体分为 Single-child layout widget (单子布局部件) Multi-child layout widget ...