运维基础--用户的权限管理

  咱们使用Linux操做系统的过程当中，必然存在对有限资源使用的限制性，那么操做系统就必须提供一种途径来保证每一个用户独立、合理的使用计算机，那么Linux采用的用户权限的管理机制是怎么样的呢？

首先，用户的权限有四个部分：普通权限、特殊权限、文件的特殊属性以及FACL--文件访问控制列表；

1、普通权限：

 在用户与群组中，咱们提到了进程安全上下文(Secure Context)，这里作一个回顾：

 进程运行的过程：

  1.判断进程的全部者是否为想要操做的文件的属主，若是是就按照属主的权限进行受权，若是不是，转2

  2.判断进程的全部者是否为想要操做的文件的属组中的成员，若是是 就按照属组的权限进行受权，若是不是 转3

  3.按照其余用户的权限进行受权。

这里所涉及到的受权，就是对用户进行权限的分配，那么权限究竟是个什么东东呢？

   linux权限机制采用UGO模式。其中 u（user）表示所属用户、g（group）表示所属组、o（other）表示除了所属用户、所属组以外的状况。权限的构成是MODE+OWNERSHIP，即便用权和全部权；

  ★MODE(Permisson):使用权，包括三个部分（rwx 可读可写可执行）

  --对于目录来讲：

     r：表明可使用ls命令获取其中全部的文件名的列表；

     注意：不能使用 ls -l 命令获取目录中文件的详细属性信息，也不能用cd进入其中，也不能在          路径中引用该目录；

     w：表示能够修改此目录中的文件名或者文件名列表，即：能够在此目录中增删改文件名；

     x：可使用ls -l获取文件的详细属性信息；****

   这里的 x权限是目录的最基本的权限，即任何目录都必须对任和用户开放x权限，否则的话用户

   将没法对该目录进行任何操做，没错，任何操做都不能够！因此说x权限很基本也很重要。

  --对文件来讲：

     r：能够查看或者获取文件存放的数据

     w：能够修改文件存放的数据

     x：能够将此文件发起运行为进程；

 在文件的详细属性信息中：咱们会看到这样的一个字段

 rw-r--r--  咱们把这三组称为三个权限位，分别表明属主，属组，其余用户的权限，- 表明不具有r/w/x的权限；

咱们能够用八进制 0-7分别表示权限位的分配状况

     权限标识三元组：

      --- 000  0

      --x 001  1

      -w- 010  2

      -wx 011  3 

      r-- 100  4 

      r-x 101  5

      rw- 110  6 

      -wx 111  7

举个例子~ rwxr-xr-x --> 111101101--> 755

了解了权限的构成，下面介绍有关使用权的管理命令：

修改使用权的命令：chmod

 1.chmod [option]... MODE[,MODE]... FILE... 符号表示法进行权限修改

   MODE 表示符号权限的标识

     u,g,o,a表示全部权，a是all 所有用户

     用+，-，= 加上具体权限rwx

      +：在原有的权限基础上增长新的权限

      -：在原有的权限基础上去除某些权限

      =：不考虑原有的权限，直接将权限设置为目标权限

 例如 chmod u+w FILE； chmod g+rw FILE; chmod u+x,g+wx,o-x FILE ......

      chmod +x file 默认的为a添加，即全部用户 添加可执行的权限

      chmod +w file 默认的只为属主添加写权限

注意：能不能删除某文件，主要查看登陆用户是否对该文件所在的目录有w权限

再次强调，文件的执行权限，对linux系统而言是很是重要的安全标识； 由于一旦文件具有了执行权限，意味着该文件能够被发起直行为进程，因此默认状况下文件都不具有执行权限；

  2.chmod [option]... OCTAL -MODE FILE

   八进制数字标识，每次必须给足全部的权限位；若是给的权限位不完整，文件系统会自动补足，将给定的权限放在最右侧，左侧用0补足；

   例如 chmod 640 file

  3.chmod --reference=/PATH/TO/FILE DES_FILE

   这是一个仿照某个文件的权限设置给指定文件设置权限的命令；

   例如  chmod --reference=a b

【选项】：

   -R，--Recursive:将目标目录的文件及子目录及子目录中的文件统一设置为指定的权限标识；

  ★OWNERSHIP：全部权 ugo

      属主：资源掌控的某个特定用户：owner(user)--u

      属组：资源掌控的某些特意用户；group--g

      其余用户：不曾掌控资源的用户；other--o

      所有用户 all--a

全部权比较好理解，前面也稍微提到过；因此直接来介绍它的相关命令：

①chown : 修改文件的属主和属组

 用法：chown [opt]... [owner][:[group]] FILE

     chown OWNER FILE

     chown :GROUP FILE

     chown OWNER: FILE // 将目标文件的属主改成owner 同时将属组修改成ower的基本组

     chown OWNER:GROUP FILE // 属主和主组改成OWNER和GROUP；

     chown [opt]... --reference=RFILE FILE...

【选项】

  -R，将目标目录的文件及子目录及子目录中的文件统一设置为指定的全部权；

  注意：修改OWNERSHIP操做只有root能够完成

②chgrp：只用来修改文件的所属组 

##这里补充两个小命令

  1.install命令：

    安装：复制文件并给文件增长执行权限；

    单源复制：

     install [options] [-s] [--strip] source dest

    多源复制：

     install [options] [-s] [--strip] source... directory

    建立目录：

     install [options]... -d DIR

 【经常使用选项】

    -m：指定目标文件的权限，默认755

    -o：设定目标文件的属主；仅超级用户可用；

    -g：设定目标文具店的属组；仅超级用户可用；

  注意：此命令不能复制目录，即其源不能是目录，若是源是目录，则install会进入目录，依次复制其中的全部非目录文件到目标位置；

  2.mktemp：建立临时文件

   通常来说，临时文件到会建立在/tmp或/var/tmp，无需手动删除，系统会按期自动清除这两个目录的文件；

  -d，--directory：能够建立临时目录；

  例： mktemp /PATH/TO/TMP.XXXXXXX(至少三个X) [-d] X越多，碰撞的概率就越小

2、特殊权限--SUID SGID STICKY

  默认状况下，用户发起执行一个进程，该进程的属主是其发起者，也就是说，该进程是以其发起者的身份在运行

  1.SUID：

  　功能：用户发起执行一个进程时，该程序文件若是拥有SUID权限，那么此程序发起的进程，其属主为该程序文件的属主而不是其发起者；

   suid权限所显示的位置在文件的属主权限中的执行权限位； 若是属主原本就有执行权限，显示为s，不然显示为S；

   管理文件的SUID权限，例如chmod u+|-s FILE...

  2.SGID：

    功能：若是某个目录对于一些用户有写权限，而且设置了SGID，则全部对此目录有写权限的用户在建立新文件或目录之后，新文件或目录的属组再也不是建立用户的基本组而是继承该目录的属组；

   SGID权限显示的位置 在文件的属组权限中的执行权限位；若是属组原本有执行权限，显示为s，不然显示为S；

   管理文件的SGID权限 例如 chmod g+/-s FILE...

  3.STICKY：粘滞位

 若是某个目录中，超过一个用户有写权限，则这多个用户均可以在该目录中随意增删改文件名；

  功能:若是为上述相似的目录设置了STICKY权限，则每一个用户仍旧可以在这类目录里建立、修改文件名，可是，每一个用户只能删除那些属主为其自身的文件名；

  位置显示在文件权限的其余用户权限中的执行权限位，若是原来有执行权限，显示为t，不然显示为T；

  管理文件的STICKY权限 例如chmod o+/-t FILE...

 suid  sgid  sticky的三个特殊权限也能够视做一个 三元组

 ---  000  0

 --t  001  1

 -s-  010  2

 -st  011  3

 s--  100  4

 s-t  101  5

 ss-  110  6

 sst  111  7

特殊权限的另外一种修改方式：

 将特殊权限对应的八进制数字放置于普通权限八进制数字的前面便可

 例如：给某个目录加上粘滞位

  chmod 1755 DIR

umask

  权限遮罩玛：在建立文件或者目录的时候默认的权限生成标准

  root：0022

    第一个0表示不考虑特殊权限位， 

    对于新建文件或目录，不遮挡属主的任何权限，可是遮挡了属组的写权限。和其余用户的写权限

    mkdir test --> rwxr-xr-x 755

    touch test.txt --> rw-r--r-- 644

   理解遮罩码，将遮罩码的值变成二进制，凡有1的位置，在建立文件时 这个权限位不予设置；

   默认状况下，文件的遮罩码已经有了一个0111 在此基础上再次应用umask来遮罩权限；

3、.文件的特殊属性：

 查看文件的特殊属性 

  lsattr命令：

   显示文件在Linux第二扩展文件系统上的特有属性

   lsattr [ -RVadv ] [ files...  ]

  修改设置文件的特殊属性

    chattr [ -RV ] [ -v version ] [ mode ] files...

     mode：会使用+-=的方式来设置；

       +：在原有属性设定的基础上，添加新的属性；

       -：从原有属性设置中移除某些指定的属性；

       =：不考虑原有属性设置，直接将文件的属性更新为指定的属性内容；

     整个chattr最关键核心的设置就是mode部分

       [aAcCdDeijsStTu]都是所须要的属性；

       

        a：append； 设置这个属性的文件，其内容不能被更改和删除，只能以追加的方式向文件中写数据；

          多数的服务器日志类文件会设置此属性

        A：atime，  文件的访问时间戳；IO瓶颈  

          设置A属性时，可使得文件在被访问时不更改文件的访问时间戳，从而能够有效的防止IO瓶颈的发生；

        c： 设置文件是否自动压缩后再进行存储;

        C：设置文件是否开启“写时复制”属性;

        d：设置文件在使用dump进行备份的时候，不会成为备份目标；

        D：设置文件在文件系统中的异步写错左；

        i：设置文件不能被删除、修改、设定连接关系；只读！

        s：设置文件的保密性删除，一旦设置了此属性的文件被删除，其对应存储设备中的使用空间会一并删除；

        u：与s属性相反，若是这样的文件被删除，其存储于存储设备中的数据会被留存；

       其中最经常使用的属性是i和a；

       chattr +/-/= i FILE...

    一样也有-R选项  递归的设置指定目录中的全部文件和子目录的特殊属性；

4、为文件赋予额外的权限机制：FACL file access control list（并非每一个文件系统都支持）

  

  在原有的u，g，o权限位以外，让普通用户可以控制权限赋予另外用户和组的一种受权机制。CentOS7和RHEL7以后的发行版 逐渐成熟，CentOS5以前不支持；

  与FACL有关的命令：

    1.getfacl

      etfacl [-aceEsRLPtpndvh] file ...

        user:USERNAME:MODE

        group:GROUPNAME:MODE

        other::MODE

    2.setfacl

      setfacl [-bkndRLPvh] [{-m|-x} acl_spec] [{-M|-X} acl_file] file ...

      acl_spec: acl_specification,指定的访问控制列表

        u:USERNAME:MODE

        g:GROUPNAME:MODE

          MODE:通常使用符号权限标识法

     为用户赋予额外权限：

       setfacl -m u:USERNAME:MODE FILE ...

     撤销为用户赋予的额外权限：

       setfacl -x u:USERNAME

     

     为组赋予额外权限：

       setfacl -m u:GROUPNAME:MODE FILE ...

     撤销为组赋予的额外权限：

       setfacl -x u:GROUPNAME

注意：若是设置了facl以后再修改目标文件的使用权限，那么facl中设置的条目就可能会受到影响，而致使与要求不符；所以，若是真的须要设置facl，就要在已经肯定目标文件的使用权限之后再进行设置；