5.Linuxでの権限管理
1.システムでのファイルのアクセス許可の表示と読み取り
(1)アクセス許可の表示:
| ls-lファイル | ファイルのアクセス許可を表示する |
|---|---|
| ls -ld dir | ディレクトリ自体の権限を表示する |
| ls -l dir | ディレクトリ内のコンテンツの権限を表示する |
| ls -lR dir | ディレクトリ内の権限情報を再帰的に表示します |
「ls-ldir」と「ls-lRdir」の具体的な違いを上の図に示します。前者は現在のディレクトリの下のコンテンツ権限のみを表示し、後者はディレクトリの下のすべての権限情報を再帰的に表示します。
(2)許可の読み取り
表示によって得られる許可情報は9桁に分割され、それぞれの情報は次のようになります。
上図は、ディレクトリ許可と2つのファイル許可の詳細情報を示しており、それぞれの許可はこの図に従って実行されます。情報の詳細な説明:
[1]最初の説明:(ファイルタイプ)
| 最初の1つ | 最初の最初の文字(ファイルタイプを表します) |
|---|---|
| - | 通常のファイル |
| d | 目次 |
| l | ソフト接続(ショートカットと同様) |
| b | ブロックデバイス(ハードディスク、フロッピーディスク、フラッシュメモリ) |
| c | キャラクターデバイス(キーボード、シリアルポート、モデム) |
| s | ソケットソケット(プログラムのドアを開けるのと同じ) |
| p | パイプライン |
[2] 2番目の説明:(ユーザー権限)
"rw- | r– | r–"ファイルタイプ
rに続く9文字は読み取り専用権限、wは書き込み権限、xは実行権限を意味します。
最初の3文字は3文字は、uと呼ばれるファイル所有者(ユーザー)のアクセス許可を表します。真ん中の3文字は、gと呼ばれるファイルグループメンバー(メイングループと追加グループ)(グループ)のアクセス許可を表します。最後の3文字は、他の人(その他)のアクセス許可を表します。 oと呼ばれる許可。「 - 」許可未開封示す
)[3]第三の説明:(システムのファイアウォールを
「」権限を持つユーザー後、ファイアウォールシステムに示す。
[4]第四の説明:(ハードリンクの数)
のためにファイル:ファイルの内容がシステムによって記録された回数(ハードリンクの数)
ディレクトリの場合:ディレクトリ内のサブディレクトリの数
[5] 5番目の説明:
ファイルの所有者(ユーザー)
[6] 6番目の説明:
ファイルの所有グループ(グループ)を示します
[7] 7桁目の説明:
ファイルの場合:ファイルコンテンツ
のサイズを示しますディレクトリの場合:ディレクトリ内のサブファイルのメタデータ(ファイル属性)のサイズを示します
[8] 8桁目の説明:
ファイルの内容が最後に変更された時刻を示します
[9] 9桁目の説明:
ファイルとディレクトリの名前を示します
2.通常の権限の種類と機能
(1)ユーザーIDの一致:
「user> group> other」。これは、権限の優先順位を示します
(権限に関係なく)(2)権限の種類:
| 表示 | 意義 |
|---|---|
| - | 権限がオンになっていない |
| r | ファイルの場合:ファイルの内容を読み取ることができます。ディレクトリの場合:ディレクトリ内のファイルをlsで一覧表示できます。 |
| w | ファイルの場合:ファイルの内容を変更できます。ディレクトリの場合:ディレクトリ内のファイルを作成または削除できます。 |
| バツ | ファイルの場合:ファイルに記録されたプログラムはファイル名で呼び出すことができます;ディレクトリの場合:ディレクトリに入ることができます |
3.共通アクセス許可の設定方法
chmodコマンド:(ファイルアクセス許可の設定)
(1)chmodコピーアクセス許可情報:
[1] "chmod --reference = / tmp(dir1)/ mnt / westosdir(dir2)"、つまり: dir1ディレクトリの権限をdir2にコピーします
[2] "chmod -R --reference = / dir1 / dir2"; -Rは再帰操作を表します。つまり、dir1ディレクトリの権限をdir2とそのサブファイルに転送します
(2 )パーミッションを設定するchmod文字の方法:
chmod <a | u | g | o> <+ |-| => <r | w | x>ファイル。これは、ファイルのパーミッションが添え字の形式で設定されることを意味します。
仕様例:
chmod u-rw / mnt / westos1
chmod u-rw / mnt / westosfile1
chmod u-rw、g + x、o + wx / mnt / westosfile2
chmod a-rwx / mnt / westosfile3
chmod u = rwx、g = rx、o = — / mnt / westosfile4
chmod -R u = rwx、g = rx、o = — / mnt / westosdir /
操作プロセスを図に示します。
注:電力変更はスーパーユーザーに切り替える必要があります。一度に複数のオブジェクトの電力変更を実行する場合は、中央を「、」で区切る必要があります。「-R」は再帰設定を示すこともあります。
(3)chmodデジタルモード設定権限
rwx = 111 = 7
rw- = 110 = 6
rx = 101 = 5
r– = 100 = 4
-wx = 011 = 3
-w- = 010 = 2
–x = 001 = 1
— = 000 = 0
「Chmod600 / mnt / westosfile1(dirまたはfile)」
4。システムのデフォルトのアクセス許可設定
(1)umaskはシステム予約電力を意味します:
「umask」は予約電力を表示することを意味します
「umaskアクセス許可値」はシステム予約を一時的に設定することを意味します電源
(2)
新しいファイルのデフォルトのアクセス許可= 777-umask-111
新しいディレクトリのデフォルトのアクセス許可= 777-umask
注:umask値が大きいほど、システムセキュリティが高くなります。
(3)umaskの永続的な変更:
「vim / etc / bashrc」は、図に示すように、シェルシステム構成ファイルを編集することを意味します。75行目は通常ユーザーのumask値を表し、77行目はrootユーザーのumask値を表します。変更して保存するだけです:
" vim / etc / profile "は、システム環境構成ファイルを編集することを意味します。
注:リソースのロード時にファイルの内容が読み取られているため、システムはファイルの設定情報を再度読み取ることはありません。設定をすぐに有効にする場合は、マシンを再起動するか、「source / etc / bashrc」、「source / etc / profile」コマンドを使用して、変更がシステムによってすぐに認識されるようにします(システムファイルを再構成します)
5.ファイルユーザーユーザーグループ管理
(1)
「chownusername file」はファイル所有者を変更することを意味し、
「chgrp groupname file」はファイル所有権グループを変更することを意味し、
「chown username:groupnamefile」はファイル所有者を変更することを意味します。グループの所有;
「chown | chgrp-R user | group dir」は、ディレクトリ自体の所有者またはグループとディレクトリの内容を変更することを意味します。6
。特別な権限
(1)ディレクトリのstickyid、stickyビット
[1]:もしあればディレクトリstickyidが有効になっている場合、このディレクトリ内のファイルはファイル所有者のみが削除できます
[2]開く方法:
" chmod1元のアクセス許可ディレクトリ"
"chmod o + t dir"
実験プロセス:
(2)sgid、
ディレクトリの必須ビット[1]:ディレクトリに新しく作成されたファイルは自動的にディレクトリのグループに属します
[ 2]開く方法:
"chmod2ソースファイルパーミッションdir"
"chmod g + sdir"
実験の具体的な操作は次のとおりです。
[3] suid、リスクビットは
バイナリ実行可能ファイル(cプログラム)のみで、バイナリ実行可能ファイルを実行します。ファイル所有者として実行している場合、実行中のユーザーとは関係ありません。権限が有効になる前の「chmod4
元の属性ファイル」
「chmodu + sファイル」では
、監視コマンドを実行するユーザーとグループはすべてwestosです。
権限が有効になった後:west再度watchコマンドを実行すると、コマンドを実行したユーザーがrootになります
。7。aclパーミッションリスト
(1)機能:リスト内で、特別ユーザーに特別ファイルの特別パーミッションを設定できます
(2)aclリストオープンフラグ:
ユーザーパーミッション情報表示の最後にある「+」は、aclパーミッションがオンになっていることを意味し、オンになっていない場合はオンになりません。たとえば、「-rw-rw-rw- +」は、aclパーミッションがオンになっていることを意味します
(3)aclリストパーミッションが読み取られます:
「getfaclwestosfile」
ファイル:westosfile ---------------ファイル名の
所有者:ルート-------------------ファイルの所有者
group:root --------------------ファイル所有グループ
user :: rw-、------------------
-ファイル所有者のアクセス許可user:lee:rw-、----------------特別に指定されたユーザーのアクセス許可
グループ:: r-、----------- -------ファイルにはグループ権限
group:westos:—、---------特別に指定されたユーザーグループ
mask :: rw-、-----------の権限があります------特別なユーザーおよび特別なユーザーグループに与えることができる最大の権限しきい値
other :: r-、------------------他の権限
注:「ファイル権限リストが有効になっている場合は、ls-lを使用してファイル権限を読み取らないでください」
(4)aclリストの制御:
setfacl -mu:lee:rw westosfile set
setfacl -mg:westos:rw westosfile
setfacl -mu :: rwx westosfile
setfacl -mg :: 0 westosfile
setfacl -xu:leewestosfileリストを削除しますlee
setfacl -b westosfile close
ACL権限の優先度:
所有者>特別に指定されたユーザー>権限の多いグループ>権限の少ないグループ>その他
(5)aclマスク制御
マスクは、指定されたユーザー権限に与えることができる最大しきい値です。
ファイルのACLリストを設定した後、chmodを使用してファイル所有権グループの権限を減らすと、マスクが変更されます
リカバリ:setfacl -mm:権限ファイル
(6)aclリスト
"setfacl -mu:lee:rwx / mnt / westosdir"のデフォルトのアクセス許可は、/ mnt / westosdirディレクトリ自体に対してのみ有効であることを意味します。
"setfacl -Rm u:lee:rwx / mnt / westosdir"は、/ mnt用であることを意味します。 / westosdirディレクトリとディレクトリ内の既存のコンテンツ
が有効になります。上記のコマンドは既存のファイルに対して有効です。新しいファイルは設定されません。「setfacl-md:u:lee:rwx / mnt / westosdir /」を使用してください。 / mnt / westosdirディレクトリに新しく作成されたファイルに有効になります
8. Attr権限
(1)Attr権限は、すべてのユーザーを制限します:
"i" ---------------------------------- -変更を加えることができないことを
意味します "a" ------------------------------------は、追加できるかどうかを意味します
"lsattr dir | file"を削除します-------------------------- attr権限を表示します
"chattr + i | + a | -i | -a dir | file "----------- attr権限を設定します