瞭解Linux檔案許可權 第2單元預備知識

2022-06-23 22:03:15 字數 2922 閱讀 1752

儘管基於linux的系統已經內建了許多良好的安全功能,但是在授予本地訪問許可權時可能存在一個非常重要的潛在漏洞 - 這是由於使用者未向檔案和目錄分配正確許可權而導致的基於檔案許可權的問題。

因此,基於對適當許可權的需求,我將介紹分配許可權的方法,並向您展示可能需要進行修改的一些示例。

基本檔案許可權

許可組

每個檔案和目錄都有三個基於使用者的許可權組:

每個檔案或目錄都有三種基本許可權型別:

檢視許可權

您可以通過檢查您喜歡的gui檔案管理器中的檔案或目錄許可權(我在此不會介紹)或

在終端中

檢視\“ls -l \”

命令

的輸出以及在包含檔案或資料夾的目錄。

命令列中的許可權顯示為:

_rwxrwxrwx 1 owner:group

使用者許可權/許可權

我用下劃線標記的第一個字元是可以改變的特殊許可權標誌。

以下三個字符集(rwx)用於所有者許可權。

第二組三個字元(rwx)用於組許可權。

第三組三個字元(rwx)用於“所有使用者”許可權。

在該分組之後,整數/數字顯示檔案的硬連結數。

最後一部分是所有者和組分配,格式為所有者:組。

修改許可權

在命令列中,使用命令

chmod

編輯許可權

。您可以顯式分配許可權,也可以使用二進位制引用分配許可權,如下所述。

要明確定義許可權,您需要引用許可權組和許可權型別。

使用的許可權組是:

- 老闆

g- 組

o- 其他人

a- 所有使用者

潛在的賦值運算子是+(加號)和 - (減號); 

這些用於告訴系統是否新增或刪除特定許可權。

使用的許可權型別是:

因此,舉個例子,假設我有一個名為file1的檔案,該檔案當前的許可權設定為

_rw_rw_rw,

這意味著所有者,組和所有使用者都具有讀寫許可權。

現在我們要刪除所有使用者組的讀寫許可權。

要進行此修改,您將呼叫該命令:chmod a-rw file1

要新增上述許可權,您將呼叫該命令:

chmod a + rw file1

如您所見,如果要授予這些許可權,可以將減號更改為加號以新增這些許可權。

現在您已瞭解許可權組和型別,這應該感覺很自然。

要使用二進位制引用設定許可權,您必須首先了解輸入是通過輸入三個整數/數字來完成的。

示例許可權字串將是chmod 640 file1,這意味著所有者具有讀取和寫入許可權,該組具有讀取許可權,並且所有其他使用者都沒有該檔案的許可權。

第一個數字代表所有者許可權; 

第二個代表組許可權; 

最後一個數字代表所有其他使用者的許可權。

數字是rwx字串的二進位制表示。

您可以新增數字以獲取表示您希望設定的許可權的整數/數字。

您需要為三個許可權組中的每一個都包含二進位制許可權。

因此,要設定檔案許可權在檔案1讀取

rwxr

_____

,您可以輸入

搭配chmod 740檔案1

所有者和團體

我已經對上面的所有者和組進行了多次引用,但尚未告訴您如何分配或更改分配給檔案或目錄的所有者和組。

您可以使用chown命令更改所有者和組分配,語法是簡單的

chown owner:group filename

因此要將file1的所有者更改為user1,將組更改為family,您將輸入

chown user1:family file1

高階許可權

特殊許可權標誌可以使用以下任何一種標記:

setuid / setgid特殊許可權

setuid / setguid許可權用於告訴系統以擁有者許可權的身份執行可執行檔案。

小心使用許可權中的setuid / setgid位。

如果您使用setuid / setgid位設定錯誤地將許可權分配給root擁有的檔案,則可以開啟系統以進行入侵。

您只能通過顯式定義許可權來分配setuid / setgid位。

setuid / setguid位的字元是

s

所以在file2.sh上設定setuid / setguid位你會發出命令

chmod g + s file2.sh

粘性位特殊許可權

粘滯位在共享環境中非常有用,因為當它被分配給目錄上的許可權時,它會設定它,因此只有檔案所有者才能重新命名或刪除所述檔案。

您只能通過顯式定義許可權來分配粘滯位。

粘滯位的字元是

t

要在名為dir1的目錄上設定粘滯位,您將發出命令

chmod + t dir1

許可權很重要時

對於基於mac或windows的計算機的某些使用者,您不考慮許可權,但除非您在公司環境中,否則這些環境不會如此積極地關注基於使用者的檔案許可權。

但是現在您正在執行基於linux的系統,並且基於許可權的安全性得到了簡化,並且可以輕鬆地用於限制訪問。

因此,我將向您展示一些您想要關注的文件和資料夾,並向您展示如何設定最佳許可權。