第六次上课作业

1、三种权限rwx对文件和目录的不同意义

对文件
r:read  可读取此文件的实际内容,如读取文本文件的文字内容等
w: write  可以编辑,新增或修改该文件的内容
x:execute  该文件具有可以被系统执行的权限==>>针对二进制文件或脚本
X:针对目录会加上x权限,如果是文件,本身没有执行权限,那么也不会加上执行权限,对目录不影响

d--------x 2 root test 14 Aug  4 14:15 1
d-------w- 2 root test 14 Aug  4 14:17 2
d------r-- 2 root test 14 Aug  4 14:17 3
-------r-- 1 root test  0 Aug  4 14:15 a
--------w- 1 root root  0 Aug  4 14:52 b
---------x 1 root test  0 Aug  4 14:17 c
[qiuwei@localhost qiuwei]$ cat a  ==>可以访问
[qiuwei@localhost qiuwei]$ cat b  ==>无法访问
cat: b: Permission denied
[qiuwei@localhost qiuwei]$ cat c ==>无法访问
cat: c: Permission denied
[qiuwei@localhost qiuwei]$ echo 13 >a ==>无法修改
bash: a: Permission denied
[qiuwei@localhost qiuwei]$ echo 13 >b ==>可以修改
[qiuwei@localhost qiuwei]$ echo 13 >c ==>无法修改
bash: c: Permission denied
[qiuwei@localhost qiuwei]$ rm -rf a ==>可以删除,因为上级目录含wx权限
[qiuwei@localhost qiuwei]$ rm -rf b ==>可以删除,因为上级目录含wx权限
[qiuwei@localhost qiuwei]$ rm -rf c ==>可以删除,因为上级目录含wx权限
[qiuwei@localhost qiuwei]$ ll
total 0
d--------x 2 root test 14 Aug  4 14:15 1
d-------w- 2 root test 14 Aug  4 14:17 2
d------r-- 2 root test 14 Aug  4 14:17 3
对目录:
x: execute  可以进入目录,可以访问目录中的文件,但是看不到里面有什么文件
r:read  进不去目录,可以看文件列表。不能访问目录内文件,文件的元数据不能查看
w: write 可以创建或删除目录中的文件,但是要匹配x权限  
X:和x等价
假如对目录有写和执行,就可以删除里面的任何文件,里面文件u=,也一样
total 0
d--------x 2 root test 14 Aug  4 14:15 1
d-------w- 2 root test 14 Aug  4 14:17 2
d------r-- 2 root test 14 Aug  4 14:17 3
[qiuwei@localhost qiuwei]$ ll 1   
ls: cannot open directory 1: Permission denied ==>x权限无法显示文件列表
[qiuwei@localhost qiuwei]$ ll 2 
ls: cannot open directory 2: Permission denied ==>w权限无法显示文件列表
[qiuwei@localhost qiuwei]$ ll 3
ls: cannot access 3/a: Permission denied
total 0
?????????? ? ? ? ?            ? a   ==>r权限可以显示文件列表,但是看不到元数据
[qiuwei@localhost qiuwei]$ cd 1 ==>x权限可以进入到目录中
[qiuwei@localhost 1]$ cd ..
[qiuwei@localhost qiuwei]$ cd 2  ==>w权限无法进入到目录中
bash: cd: 2: Permission denied
[qiuwei@localhost qiuwei]$ cd 3  ==>r权限无法进入到目录中
bash: cd: 3: Permission denied
[qiuwei@localhost qiuwei]$ cat 1/c  ==>x权限可以访问目录下文件
[qiuwei@localhost qiuwei]$ cat 2/a  ==>w权限无法访问目录下文件
cat: 2/a: Permission denied
[qiuwei@localhost qiuwei]$ cat 3/a  ==>r权限无法访问目录下文件
cat: 3/a: Permission denied
[qiuwei@localhost qiuwei]$ rm -rf 1/c
rm: cannot remove ‘1/c’: Permission denied
[qiuwei@localhost qiuwei]$ rm -rf 2/a
rm: cannot remove ‘2/a’: Permission denied
[qiuwei@localhost qiuwei]$ rm -rf 3/a
rm: cannot remove ‘3/a’: Permission denied   无法删除创建文件
[qiuwei@localhost qiuwei]$ touch 1/b
touch: cannot touch ‘1/b’: Permission denied
[qiuwei@localhost qiuwei]$ touch 2/b
touch: cannot touch ‘2/b’: Permission denied
[qiuwei@localhost qiuwei]$ touch 3/b
touch: cannot touch ‘3/b’: Permission denied

2.umask和acl,mask的区别和联系

umask是针对属主属组other用户的,用来设置新建文件权限的掩码

umask的使用设定是掩码,即在文件或目录全部权限的基础上,除去umask的权限,得到文件或目录的权限,一般系统上使用unmask来设置新建文件的权限

ACL则是针对特殊用户和组的,不是属主属组和other用户的

ACL则是直接设置文件或目录的权限,不会影响原文件上的权限,ACL用户的权限独立,只受ACL设置权限限制

mask则是针对除去属主和other用户之外的其他用户

属组和ACL特殊权限用户的权限受到mask的限制,只能比mask低,如果某用户权限比mask高,也会被屏蔽,不会拥有此权限,有效权限只能和mask权限一样活着比mask低

3.三种特殊权限的应用场景和作用

SUID:s ===>只针对二进制文件可执行文件

在我们linux上,有很多重要文件权限设置的很低,不让一般用户随意访问,造成不必要的问题,例如/etc/shadow,权限为———,这个文件里面存放的是用户的密码等信息,及其重要,肯定不能让普通用户随意访问,但是我们普通用户也要为自己修改密码啊,所以SUID这个特殊权限就出现了,通俗讲s权限就是当一个文件的属主拥有s权限时,其他用户执行此文件后,进程属主将获得此文件属主的权限

在linux上我们通过执行passwd命令,来修改密码的,那么过程究竟是怎样的呢

passwd这个文件是有s权限的,使用普通用户执行passwd命令后,此普通用户暂时获得passwd属主(root)的权限,有了root用户的权限,修改shadow文件当然是没问题了

以上只是些文字描述,具体实际操作在上一篇博客中有,这里就不再做了

SGID:s  ===>只针对二进制文件可执行文件

如果上面SUID明白了,这个SGID就好理解了,和上面原理一样,

总结为:当我们执行一个属组拥有s权限的文件时,用户会暂时获得此文件属组的权限,并且以此权限去访问一些其他的文件

SGID作用在目录上时:

       对目录加上g+s,任何人不管是不是目录所在组的成员,在里面创建文件时,该目录里面的文件属组继承目录的属组

       即作用在目录上,将使在该目录中新建目录或文件将自动继承该目录所属组

Skity :t ==>针对于目录

当用户对一个目录拥有rw权限时,是可以删除目录里面的任何文件,无论该文件的权限或拥有者,为了避免这种情况,我们设置Skity,增加了此权限,只有文件的所有者或者root可以删除该文件

4.设置user1,使之新建文件权限为rw——–

操作如下

[root@localhost qiuwei]# su qiuwei ==>切换到普通用户qiuwe
[qiuwei@localhost qiuwei]$ umask 166 ==>设置umask为166
[qiuwei@localhost qiuwei]$ umask 
0166
[qiuwei@localhost qiuwei]$ touch test ==>创建文件test
[qiuwei@localhost qiuwei]$ ll
total 0
d--------x 2 root   test   14 Aug  4 14:15 1
d------r-- 2 root   test   14 Aug  4 14:17 3
-rw------- 1 qiuwei qiuwei  0 Aug  4 16:29 test ==>文件权限为rw-------

小练习:

 1. 当用户xiaoming 对/testdir  目录无执行权限时,意味着无法

做哪些操作?

[root@localhost qiuwei]# su qiuwei
[qiuwei@localhost qiuwei]$ ll
total 0
drw-rw-rw- 2 root root 14 Aug  4 16:45 test
[qiuwei@localhost qiuwei]$ ll
total 0
drw-rw-rw- 2 root root 14 Aug  4 16:45 test
[qiuwei@localhost qiuwei]$ ll test/
ls: cannot access test/a: Permission denied
total 0
?????????? ? ? ? ?            ? a   ==>能看到目录里面的文件名,无法看到文件元数据
[qiuwei@localhost qiuwei]$ rm -rf test/a
rm: cannot remove ‘test/a’: Permission denied  ==>无法删除目录里面文件
[qiuwei@localhost qiuwei]$ cd test ==>无法进入到此目录
bash: cd: test: Permission denied

2. 当用户xiaoqiang 对/testdir  目录无读权限时,意味着无法做

哪些操作?

[qiuwei@localhost qiuwei]$ ll
total 0
d-wx-wx-wx 2 root root 14 Aug  4 16:45 test
[qiuwei@localhost qiuwei]$ cd test  ==>可以进入目录
[qiuwei@localhost test]$ cd ..
[qiuwei@localhost qiuwei]$ ll test/  
ls: cannot open directory test/: Permission denied  ==>无法看到目录里面的文件

3.  当用户wangcai  对/testdir  目录无写权限时,该目录下的只

读文件file1 是否可修改和删除?

[qiuwei@localhost qiuwei]$ ll
total 0
dr-xr-xr-x 2 root root 14 Aug  4 16:45 test  ==>无写权限
[qiuwei@localhost qiuwei]$ cd test/
[qiuwei@localhost test]$ ll
total 0
-r--r--r-- 1 root root 0 Aug  4 16:45 a  ==>只读文件
[qiuwei@localhost test]$ rm -rf a
rm: cannot remove ‘a’: Permission denied ==>无法删除

4.  复制/etc/fstab 文件到/var/tmp 下,设置文件所有者为

wangcai 读写权限,所属组为sysadmins 组有读写权限,其他

人无权限

[root@localhost qiuwei]# cp /etc/fstab  /var/tmp/
[root@localhost qiuwei]# chmod 660 /var/tmp/fstab 
[root@localhost qiuwei]# chown wangcai:sysadmins /var/tmp/fstab
[root@localhost qiuwei]# ll /var/tmp/fstab
-rw-rw---- 1 wangcai sysadmins 595 Aug  4 17:04 /var/tmp/fstab

5, 误删除了用户wangcai 的家目录,请重建并恢复该用户家目录

及相应的权限属性

[root@localhost home]# cp -r qiuwei  wangcai ==>复制配置文件
[root@localhost home]# ll
[root@localhost home]# chown -R wangcai:wangcai wangcai ==>递归更改属主和属组
[root@localhost home]# ll -a wangcai
total 32
drwx------   5 wangcai wangcai 4096 Aug  4 17:11 .
drwxr-xr-x. 18 root    root    4096 Aug  4 17:11 ..
-rw-r--r--   1 wangcai wangcai    0 Aug  4 17:11 3
-rw-------   1 wangcai wangcai 3390 Aug  4 17:11 .bash_history
-rw-r--r--   1 wangcai wangcai   18 Aug  4 17:11 .bash_logout
-rw-r--r--   1 wangcai wangcai  193 Aug  4 17:11 .bash_profile
-rw-r--r--   1 wangcai wangcai  231 Aug  4 17:11 .bashrc
drwxr-xr-x   3 wangcai wangcai   17 Aug  4 17:11 .cache
drwxr-xr-x   3 wangcai wangcai   17 Aug  4 17:11 .config
-rwxr-xr-x   1 wangcai wangcai    0 Aug  4 17:11 g
-rw-------   1 wangcai wangcai   40 Aug  4 17:11 .lesshst
drwxr-xr-x   4 wangcai wangcai   37 Aug  4 17:11 .mozilla
-rwxr-xr-x   1 wangcai wangcai    0 Aug  4 17:11 shabi
-rw-------   1 wangcai wangcai  596 Aug  4 17:11 .viminfo

6.在/data/testdir 里创建的新文件自动属于g1 组,组g2 的成

员如:alice 能对这些新文件有读写权限,组g3 的成员如

:tom 只能对新文件有读权限,其它用户(不属于

g1,g2,g3 )不能访问这个文件夹

drwxr-xr-x 2 root root 6 Aug  3 17:48 testdir
[root@localhost data]# chmod  g+s testdir ==>属组增加s权限
[root@localhost data]# chgrp g1 testdir  ==>属组更改为g1
[root@localhost data]# ll
total 0
drwxr-sr-x 2 root g1 6 Aug  3 17:48 testdir
[root@localhost data]# cd testdir/
[root@localhost testdir]# touch f1
[root@localhost testdir]# chmod 640 f1
[root@localhost testdir]# ll
total 0
-rw-r----- 1 root g1 0 Aug  4 17:24 f1 ==>新建文件属组为g1
[root@localhost testdir]# setfacl -m g:g2:rw f1
[root@localhost testdir]# setfacl -m g:g3:r f1
[root@localhost testdir]# su alice
[alice@localhost testdir]$ echo haha >f1 ==>alice用户可写
[alice@localhost testdir]$ cat f1  ==>alice用户可读
haha
[root@localhost testdir]# su tom
[tom@localhost testdir]$ ll
total 4
-rw-rw----+ 1 root g1 5 Aug  4 17:28 f1
[tom@localhost testdir]$ cat f1  ==>ton用户可读
haha
[tom@localhost testdir]$ echo 456 >f1 ==>tom用户无法写
bash: f1: Permission denied
[root@localhost testdir]# su qiuwei
[qiuwei@localhost testdir]$ cat f1 ==>  other无法读
cat: f1: Permission denied
[qiuwei@localhost testdir]$ echo 1111111 >f1  ==>other无法写
bash: f1: Permission denied
[qiuwei@localhost testdir]$

原创文章,作者:qiuwei,如若转载,请注明出处:http://www.178linux.com/28885