本文共 3575 字，大约阅读时间需要 11 分钟。

Linux下权限的设定

[1]用户权限的下放

*1. 文件位置：*权力下放文件为 /etc/sudoers 直接用vim编辑时，不提供语法检测

可直接在命令行键入visudo 编辑此文件 它提供语法检测 *2.下放方式：*visudo专门编辑 /etc/sudoers 文件由于规范性 一般是在文件100行左右下放权利用户 主机名称 = （得到的用户身份） 权限命令 *3.*此时的所有命令必须用sudo来执行

1.visudo写入代码：

## Allow root to run any commands anywhereroot    ALL=(ALL)       ALL                                                 ####在100行左右#用户命名#########主机名############=（用户权限）  无密码    文件地址            ###用户建立的标准模板  westos   workstation.lab.example.com=(root) NOPASSWD: /usr/sbin/useradd     ###用户建立 ## Allows members of the 'sys' group to run networking, software,

注意：

[root@foundation69 ~]# hostname                                            #查看主机名称foundation69.ilt.example.com

查看主机名称

[root@foundation69 ~]# which fly                                          #查看命令所在的文件/usr/bin/which: no fly in (/usr/local/bin:/usr/local/sbin:/usr/bin:/usr/sbin:/root/bin)

查看命令所在的文件

NOPASSWD: /usr/sbin/useradd                                               #实现第一次无密码执行命令

实现第一次无密码执行命令

2.下放权限

[2]文件权限是做什么的?

• 它是系统最底层安全设定方法之一
• 它保证文件可以被可用的用户做相应的操作

1.查看文件权限

ls    -l   file                                      #查看文件属性ls   -ld   filedir/                                  #查看目录的属性ll   filell   -d    filedir/

2.代码

[3]更改文件拥有者及拥有组的方法

• 文件拥有者及拥有组只有超级用户root可以修改
• 更改方法：

命令	作用
chown	修改所属用户
chgrp	修改组
chown -R	递归修改
chown 用户名；组名称	修改所属用户与组

[4]文件权力的理解

1.权限的分析

-rw-r--r--. 1 root root 0 Jan  2 18:01 file1

第几位	含义	备注
1	文件的类型	- ：文本文件或者空文件 d：目录 s: 套接字(socket)(接口，门 )l：软链接 （快捷方式)b:block块设备 c:字符设备：显示字符的设备
2	文件的权限	三个字符为一类，分别代表u 文件拥有者，g 文件所有组，o其他人对于文件进行的r ,w ,x,-操作。r用数字4代表，w用2代表,x用1代表
3	硬链接或者子目录的个数	对文件，文件中包含的硬链接个数。对目录，文件包含的子目录的个数
4	文件的所有人
5	文件的所有组
6	文件大小或者元数据	对文件，代表文件的大小 对目录，代表目录中子文件元数据大小
7	文件最后一次被修改的时间
8	文件的名字

2.权限类型

R（readable）

• 对于文件可查看文件中的内容
• 对于目录可列出目录中的文件名称

W (writeable)

• 对于文件可更改文件记录的内容
• 对于目录可更改目录中的文件数据

X（excutable)

• 对于文件可用文件名称调用文件内记录的程序
• 对于目录可进入目录

[5]文件权限设定方式

命令	作用
chmod u+x /mnt/file1	对file1文件user添加执行权限
chmod g-r /mnt/file2	消减file2文件group的读权限
chmod ug-r /mnt/file3	消减file3文件user和group的读权限
chmod u-r,g+x /mnt/file4	消减file4文件user的读权限，对group添加执行权限
chmod -r /mnt/file5	消减file5文件的读权限
chmod o=r-x /mnt/file6	将file6的other权限用rwx覆盖
chmod -R <u	递归更改

[6]系统预留权限阀值

1.系统预留权限阀值

• 资源存在意义在于共享,权限开放越大,共享效果越明显,但是安全性越差/
• 对于系统安全而言,开放权利越小,系统越安全
• 在系统中开放应开放的权利,保留不安全的权利以确保系统功能性及安全性

2.umask命令

• 系统中使用umask来预留权限
• 在shell中可以使用umask来查看并设定预留权限阀值
• 777-022=755-111=644文件默认的权限

3.永久改变权限阀值

• shell配置文件/etc/bashrc

代码：

vim         /etc/bashrc

• 系统环境配置文件/etc/profile
  

[7]特殊权限

**1. SUID：**只针对于二进制可执行文件 , 使用拥有SUID权限的文件发其中记录的程序时以文件拥有者的身份去执行

chmod u+s file/dirchmod 4XXX file/dir

2.sgid##强制位 对目录-当目录上有sgid权限时任何人在此目录中建立的文件都属于目录的所有组； 对文件-二进制可执行文件，当文件上有sgid时，任何人执行此文件产生的进程都属于文件的组

chmod g+s file/dirchmod 2XXX file/dir

3.sticky (粘制位）对目录: (目前只讨论对目录的作用）在一个目录上设置了sticky权限时，这个目录中的文件只能被文件的所有者和超户删除。

chmod o+t dirnamechmod 1### dirname

[8]acl权限

传统的权限仅有三种身份 (owner,group,othe)搭配三种权限 (r,w,x), 并没有办法单纯的针对

某一个使用者或某一个群组来设置特定的权限需求 , 此时就得要使用 ACL( 文件访问控制 列表 ,Access Control List) 这个机制

getfacl file ##查看acl开启的文件的权限

命令	作用
file: file —	文件名称
owner: root	文件拥有者是root
group: root	文件拥有组是root
user::rw-	文件拥有人的权限为读写
user:kiosk:rwx	指定用户的权限为读写执行
group::r–	文件拥有组的权力为读
mask::rwx	能赋予用户的最大权力伐值

acl列表的管理

setfacl -m u:username:rwx file ##设定username对file拥有的rwx权限setfacl -m g:group:rwx file ##设定group组成员对file拥有的rwx权限setfacl -x u:username file ##从acl列表中删除usernamesetfacl -b file ##关闭file上的acl列表

acl的默认权限

acl默认权限只针对目录设定

setfacl   -m d:u:student:rwx /mnt/westos  #其中，d（default）

1.acl权限设置后只针对权限只对新建的文件或者目录生效

setfacl  -k  /mnt/westos         #关闭default继

2.对已经存在递归继承facl

setfacl -R -m  u:student:rwx /mnt/westos

权限设定过程中的优先级

userperm > acluser> aclgroup>groupperm>otherperm

代码：

setfacl -m m:rwx westos

转载地址：http://mbzrf.baihongyu.com/