week2（2）用户权限

一、用户权限
1.基本权限UGO
文件权限管理之： UGO 设置基本权限(r、w、x)
rw-r–r-- alice hr install.log
权限对象：属主:u 属组：g 其他人: o
权限类型：读：r 4 写：w 2 执行: x 1
chown：更改文件的属主
chgrp：更改文件的属组

2. 更改权限
   =a. 使用符号
   对象 赋值符 权限类型
   u + r
   chmod g - w file1
   o = x
   a
   [root@localhost ~]# chmod u+x file1 //属主增加执行
   [root@localhost ~]# chmod ug=rw,o=r file1 //属主属组等于读
   写，其他人只读
   [root@localhost ~]# ll file1 //以长模式方式查看文件权限
   
   b. 使用数字
   
   例1：针对 hr 部门的访问目录设置权限，要求如下：1. root 用户和 hr 组的员工可以读、写、执行 2. 其他用户没有任何权限
   
   权限的意义：对文件w中不包括删除操作；目录可以
   
   例2:创建一个临时目录tmp,在临时目录下创建目录a。
   
   tmp(644),a(644)
   
   
   进入到Jack用户下不能进入tmp目录，无可执行操作权限
   

2 基本权限 ACL
setfacl 命令用于管理文件的 ACL 规则，格式为“setfacl [参数] 文件名称”。使用 setfacl 命令可以针对单一用户或用户组、单一文件或目录来进行读/写/执行权限的控制文件
1）setfacl - m u:alice:rw al
-m是修改权限时必须要写的参数

setfacl - b /home/test.txt
-b 全部删除设置的acl

setfacl - x 删除某一条设置

2）getfacl /home/test.txt查看acl设置

例 1.创建用户user1，附加组为bin和root，默认shell为/bin/bash ,注释信息为“user1_nfo”
useradd user1 -G bin,root -s /bin/bash -c “uesr1_info”

2. 创建admins的组 groupadd admins

3. 创建用户natasha,使用admins作为附加组
useradd natasha -G admins
4.创建用户Harry，也使用admins作为附加组
useradd harry -G admins

5. 创建用户Sarah，不可交互登录系统，且不是admins成员
useradd sarah -s /sbin/nologin

6.natasha,harry ,sarah 密码都是centos7
echo centos |passwd --stdin sarah
echo centos |passwd --stdin harry
echo centos |passwd --stdin natasha

7. 创建user2 uid为10000，辅助组为root，home目录为/home/user200
useradd user2 -u 10000 -G root -d /home/user200

8. 删除user1用户及所在家目录

9. 创建用户user100 ，并将该用户添加到group200组

10.修改用户user100为user1000
usermod -l user1000 user100

11. 锁定用户user1000，进行测试及结果



12 解锁用户user1000，进行测试及结果


3.进程掩码
文件权限管理：默认umask表示要减掉的权限
1）直接输入umask看到数字形态的设置

2）umask -S 符号类型的显示

3)新建文件时：（-rw-rw-rw-）-(-----w–w-)>-rw-r–r— [644]
新建目录时：(drwxrwxrwx)-(d----w–w-）>drwxr-xr-x [755]
4)临时修改umask值

5）永久修改umask值
vi /etc/profile

****4.高级权限suid,sgid,sticky(sbit)
suid 4,sgid 2,sbit 1
1)suid 针对用户（属主）文件
功能：suid权限仅对二进制程序有效，执行者将具有该程序所有者的权限
2）sgid 针对用户组（属组） 文件或目录
功能： 执行者临时具有属组的权限
3）sticky(sbit) 只针对目录有效
作用：当用户对此目录具有w,x权限，具有写入的权限；当用户在该目录下创建文件或目录，仅有自己与root有权利删除
4）权限设置
chmod 4755 yang 加入具有suid权限

chmod 6755 yang ;ll 加入具有suid和sgid权限

chmod 1755 yang ;ll 加入具有sbit权限

例：suid 为u+s， sgid 为g+s，sbit为o+t

5.文件属性chattr
chattr 命令用于设置文件的隐藏权限，格式为“chattr [参数] 文件”。如果想要把某个隐藏功能添加到文件上，则需要在命令后面追加“+参数”，如果想要把某个隐藏功能移出文件，则需要追加“-参数”。
lsattr 命令用于显示文件的隐藏权限，格式为“lsattr [参数] 文件”。
lsattr +a 增加但是不能修改旧有的数据与删除的参数
lsattr +i 让文件无法被改动