只要是运维就不避免的要接触权限最基本的操作,这是运维最基本的技能
下面就给大家带来最简单粗暴的总结
文件类型
对于文件和目录的访问权力是根据读访问,写访问,和执行访问来定义的。
我们来看一下 ls 命令的输出结果
[root@iZ28dr6w0qvZ test]# ls -l 总用量 72 -rw-r--r-- 1 root root 62199 3月 2 11:21 lsbin.txt drwxr-xr-x 38 root root 4096 2月 29 16:11 Pics -rw-r--r-- 1 root root 54 2月 29 14:22 text.txt -rw-r--r-- 1 root root 0 3月 1 17:07 two words.txt
列表的前十个字符是文件的属性。
这十个字符的第一个字符表明文件类型。
常用的文件类型(还有其它的,不常见类型):
剩下的九个字符,叫做文件模式,代表着文件所有者,文件组所有者,和其他人的读,写,执行权限。
常用的linux文件权限
444 r--r--r-- 600 rw------- 644 rw-r--r-- 666 rw-rw-rw- 700 rwx------ 744 rwxr--r-- 755 rwxr-xr-x 777 rwxrwxrwx
- 读取的权限等于4,用r表示;
- 写入的权限等于2,用w表示;
- 执行的权限等于1,用x表示;
通过4、2、1的组合,得到以下几种权限:
0(没有权限);4(读取权限);5(4+1 | 读取+执行);6(4+2 | 读取+写入);7(4+2+1 | 读取+写入+执行)
安全权限的临界点
1.目录755,文件644是相对安全的权限;
2.用户为root以及用户组为root
chmod 更改权限
通过八进制表示法,我们使用八进制数字来设置所期望的权限模式。因为每个八进制数字代表了 3个二进制数字,这种对应关系,正好映射到用来存储文件模式所使用的方案上。下表展示了 我们所要表达的意思:
通过传递参数 “600”,我们能够设置文件所有者的权限为读写权限,而删除用户组和其他人的所有 权限。虽然八进制到二进制的映射看起来不方便,但通常只会用到一些常见的映射关系: 7 (rwx),6 (rw-),5 (r-x),4 (r--),和 0 (---)。
chmod 命令支持一种符号表示法,来指定文件模式。符号表示法分为三部分:更改会影响谁, 要执行哪个操作,要设置哪种权限。通过字符 “u”,“g”,“o”,和 “a” 的组合来指定 要影响的对象,
chmod 命令符号表示法
符号表示法的优点是, 允许你设置文件模式的单个组成部分的属性,而没有影响其他的部分。
chown - 更改文件所有者和用户组
通过传递参数 “600”,我们能够设置文件所有者的权限为读写权限,而删除用户组和其他人的所有 权限。
虽然八进制到二进制的映射看起来不方便,但通常只会用到一些常见的映射关系: 7 (rwx),6 (rw-),5 (r-x),4 (r--),和 0 (---)。
chattr和lsattr -文件或者目录的隐藏属性
chattr可以创建root都不能修改的文件,但是它并不适合所有的目录,不能保护/、/dev、/tmp、/var目录
lsattr可以显示chattr命令设置的文件属性
与chmod这个命令相比,chmod只是改变文件的读写、执行权限,更底层的属性控制是由chattr来改变的。
chattr命令的用法:chattr [ -RVf ] [ -v version ] [ mode ] files…
最关键的是在[mode]部分,[mode]部分是由+-=和[ASacDdIijsTtu]这些字符组合的,这部分是用来控制文件的
属性。
+ :在原有参数设定基础上,追加参数。 - :在原有参数设定基础上,移除参数。 = :更新为指定参数设定。 A:文件或目录的 atime (access time)不可被修改(modified), 可以有效预防例如手提电脑磁盘I/O错误的发生。 S:硬盘I/O同步选项,功能类似sync。 a:即append,设定该参数后,只能向文件中添加数据,而不能删除,多用于服务器日志文件安全,只有root才能设定这个属性。 c:即compresse,设定文件是否经压缩后再存储。读取时需要经过自动解压操作。 d:即no dump,设定文件不能成为dump程序的备份目标。 i:设定文件不能被删除、改名、设定链接关系,同时不能写入或新增内容。i参数对于文件 系统的安全设置有很大帮助。 j:即journal,设定此参数使得当通过mount参数:data=ordered 或者 data=writeback 挂 载的文件系统,文件在写入时会先被记录(在journal中)。如果filesystem被设定参数为 data=journal,则该参数自动失效。 s:保密性地删除文件或目录,即硬盘空间被全部收回。 u:与s相反,当设定为u时,数据内容其实还存在磁盘中,可以用于undeletion。 各参数选项中常用到的是a和i。a选项强制只可添加不可删除,多用于日志系统的安全设定。而i是更为严格的安全设定,只有superuser (root) 或具有CAP_LINUX_IMMUTABLE处理能力(标识)的进程能够施加该选项。
示例一:创建不可删除的文件
# 设置 root@ubuntu:/tmp/test# chattr +i chenqionghe.txt root@ubuntu:/tmp/test# rm -f chenqionghe.txt rm: cannot remove 'chenqionghe.txt': Operation not permitted # 解除 root@ubuntu:/tmp/test# lsattr chenqionghe.txt ----i---------e--- chenqionghe.txt
# 使用lsattr查看设置的参数 root@ubuntu:/tmp/test# chattr -i chenqionghe.txt root@ubuntu:/tmp/test# rm -f chenqionghe.txt
示例二:创建只可能追加数据不能删除的文件(不可使用vim,不可echo >,只能使用echo >>追加)
root@ubuntu:~# chattr +a chenqionghe.txt root@ubuntu:~# rm chenqionghe.txt rm: cannot remove 'chenqionghe.txt': Operation not permitted root@ubuntu:~# echo 'aa' > chenqionghe.txt -su: chenqionghe.txt: Operation not permitted root@ubuntu:~# echo 'aa' >> chenqionghe.txt