对于每个文件和目录,我们可以指定文件所有者、特定用户组以及所有其他用户的权限状态。
不同类型的用户
在Linux中,root用户是拥有一切权力的。 root 用户基本上可以在系统上执行任何操作。 系统上的其他用户具有有限的能力和权限,并且几乎永远不具有 root 用户所拥有的访问权限。
这些其他用户通常被收集到通常共享类似功能的组中。 在商业实体中,这些组可能是财务、工程、销售等。 在 IT 环境中,这些组可能包括开发人员、网络管理员和数据库管理员。 这个想法是将具有相似需求的人放入一个被授予相关权限的组中; 那么该组的每个成员都会继承该组的权限。 这主要是为了便于管理权限,从而提高安全性。
默认情况下,root 用户是 root 组的一部分。 系统上的每个新用户都必须添加到一个组中才能继承该组的权限。
授予权限
每个文件都必须为使用它的不同身份分配特定级别的权限。 三个级别的权限如下:
r
– 允许阅读。 仅授予打开和查看文件的权限。w
– 允许写。 允许用户查看和编辑文件。x
– 允许执行。 允许用户执行文件(但不一定查看或编辑它)。
向个人用户授予所有权
要将文件的所有权移至其他用户,以便他们能够控制权限,我们可以使用 chown (change owner)命令:chown <用户名> <文件名>
这条命令授予用户名对应文件的拥有权。
授予组所有权
要将文件的所有权从一个组转移到另一个组,我们可以使用 chgrp(change group)命令。
chgrp <组名> <文件或目录名>
检查权限
当您想要了解授予哪些用户对某个文件或目录的权限时,请使用ls -l <文件/目录名>
命令显示 — 此列表将包含权限,会出现以下相似内容:
对上图的解释:
- 1 – 文件类型(这是列出的第一个字符),其中
d
代表目录,破折号-
表示文件。 这是两种最常见的文件类型。 - 2 – 分别为所有者、组和其他用户对文件的权限。如果任何 r、w 或 x 被短划线 (-) 替换,则表示尚未授予相应的权限。 请注意,用户只能有权执行二进制文件或脚本。这些权限并不是一成不变的。 作为 root 用户或文件所有者,您可以更改它们。
- 3 – 链接数量
- 4 – 文件的所有者
- 5 – 文件大小(以字节为单位)
- 6 – 文件创建或最后修改时间
- 7 – 文件名
更改权限
我们可以使用Linux命令chmod(change mode)来更改权限。 只有 root 用户或文件所有者才能更改权限。
使用十进制更改权限
我们可以使用一个快捷方式来表示权限,即使用单个数字来表示一组 rwx 权限。您可以将 rwx 权限视为三个 ON/OFF 开关,因此当授予所有权限时,这相当于二进制的 111。
一个八进制数字代表一组三个二进制数字,这意味着我们可以用一个数字代表整个 rwx 集。 表 5-1 包含所有可能的权限组合及其八进制和二进制代表。
通过向 chmod 传递三个八进制数字(每个 rwx 集是一个数字),后跟一个文件名,我们可以更改每种类型用户对该文件的权限。 在命令行中输入以下内容:
chmod 774 <文件名>
,我们可以看到这条语句赋予了所有者和组所有权限,而其他人(其他)只有读取权限。
使用 UGO 更改权限
尽管数字方法可能是 Linux 中更改权限的最常见方法,但有些人发现 chmod 的符号方法更直观,两种方法效果同样好,因此只需找到适合您的一种即可。 符号方法通常称为 UGO 语法,它代表用户(或所有者)、组和其他。
UGO语法非常简单。 输入 chmod 命令,然后输入要更改其权限的对象,用户 – u,组 – g,其他 – o,后跟三个运算符之一:
-
– 删除权限+
– 增加权限=
– 设置权限
在运算符之后,包含要添加或删除的权限 (rwx),最后包含要应用该权限的文件的名称。
因此,如果您想删除文件 hashcat.hcstat 所属用户的写权限,您可以输入以下内容:chmod u-w hashcat.hcstat
您还可以仅使用一个命令来更改多个权限。 如果您想同时授予该用户和其他用户(不包括该组)执行权限,可以输入以下内容:chmod u+x, o+x hashcat.hcstat
授予新工具的 root 执行权限
chmod 777 <文件名>
,授予文件权限。
使用掩码设置更安全的默认权限
正如您所见,Linux 自动分配基本权限 — 通常为文件分配 666,为目录分配 777。 您可以使用 umask(user file-creation mask)方法更改分配给每个用户创建的文件和目录的默认权限。 umask 方法表示您想要从文件或目录的基本权限中删除的权限,以使它们更安全。
umask 是一个三位八进制数,对应于三个权限位,从权限数中减去 umask 数即可得到新的权限状态。 这意味着当创建新文件或目录时,其权限将设置为默认值减去umask中的值。
在 Debian 系统中,umask 预配置为 022,这意味着默认文件权限为 644,目录权限为 755。
umask 值并不适用于系统上的所有用户。 每个用户都可以为其个人 .profile 文件中的文件和目录设置个人默认 umask 值。 要以用户身份登录时查看当前值,只需输入命令 umask 并记下返回的内容即可。 要更改用户的 umask 值,请编辑文件 /home/username/.profile
,例如添加 umask 007 进行设置,以便只有用户和用户组的成员具有权限。
特殊权限
除了rwx这三个通用权限之外,Linux还有三个稍微复杂一些的特殊权限。 这些特殊权限是设置用户 ID(或 SUID)、设置组 ID(或 SGID)和粘滞位(已经过时)。
使用 SUID 授予临时 root 权限
您现在应该知道,只有当用户有权执行某个特定文件时,他们才能执行该文件。 如果用户只有读和/或写权限,则无法执行。 这看起来似乎很简单,但这条规则也有例外。
基本上,SUID 位表示任何用户都可以在所有者的权限下执行该文件,但这些权限不会超出该文件的使用范围。
要设置 SUID 位,请在常规权限之前输入 4,因此当设置 SUID 位时,新生成的权限为 644 的文件将表示为 4644。
在文件上设置 SUID 不是典型用户会做的事情,但如果您想这样做,您将使用 chmod 命令,如 chmod 4644 <filename>
所示。
授予Root用户组权限SGID
SGID 还授予临时提升的权限,但它授予文件所有者组的权限,而不是文件所有者的权限。 这意味着,通过设置 SGID 位,如果所有者属于有权执行该文件的组,则没有执行权限的人也可以执行该文件。
SGID 位在常规权限之前表示为 2,因此当设置 SGID 位时,结果权限为 644 的新文件将表示为 2644。 同样,您可以使用 chmod 命令来执行此操作,例如 chmod 2644 <filename>
。