1. 描述Linux目录结构以及目录结构命名规定
Linux目录结构
Linux目录结构
-
/:根目录 -
/boot:与启动相关含有重要的内核。引导文件存放目录,内核文件(vmlinuz)、引导加载器(bootloader, grub)都存放于此目录。 -
/dev:硬件。设备文件及特殊文件存储位置。
b: block device,随机访问
c: character device,线性访问
/dev/sda:硬盘。
/dev/sr0:光盘。
/dev/zero:“零”设备,可以无限的提供空字符(0x00,ASCII代码NUL)。常用来生成一个特定大小的文件。
/dev/null:“空”设备,也有人称它为黑洞。任何输入到这个“设备”的数据都将被直接丢弃。最常用的用法是把不需要的输出重定向到这个文件。
/dev/random与/dev/urandom:随机数设备,提供不间断的随机字节流。二者的区别是/dev/random产生随机数据依赖系统中断,当系统中断不足时,/dev/random设备会“挂起”,因而产生数据速度较慢,但随机性好;/dev/urandom不依赖系统中断,数据产生速度快,但随机性较低。 -
/etc:存放重要的设置,配置文件目录。相当于windows注册表的地位,管理linux主要就是管理/etc。例如之前设置过的/etc/profile.d/env.sh 用来控制命令行的格式颜色。 -
/home:家目录,存放用户的数据,普通用户登录就在家目录。/home/USERNAME普通用户家目录。 -
/root:管理员的家目录。 -
/run:运行中生成的相关数据(CentOS6在/var/run)。 -
/bin:CentOS7为软链接,指向/usr/bin。普通用户可执行的二进制数据,binary 二进制的意思所有用户使用的基本命令;不能关联至独立分区,OS启动即会用到的程序。 -
/sbin:CentOS7为软链接,指向/usr/sbin。管理员root可执行的二进制数据。管理类的基本命令;不能关联至独立分区,OS启动即会用到的程序。 -
/lib:CentOS7为软链接,指向/usr/lib。启动时程序依赖的基本共享库文件以及内核模块文件(/lib/modules)。 -
/lib64:CentOS7为软链接,指向/usr/lib64。专用于x86_64系统上的辅助共享库文件存放位置。 -
/tmp:临时数据。临时文件存储位置。 -
/usr:操作系统大部分数据放在这。universal shared, read-only data。
/usr/bin:普通用户可执行的二进制数据,binary 二进制的意思。所有用户使用的基本命令;不能关联至独立分区,OS启动即会用到的程序。
/usr/sbin:管理员root可执行的二进制数据。管理类的基本命令;不能关联至独立分区,OS启动即会用到的程序。
/usr/lib:32位使用。CentOS7根目录下/lib为软链接。
/usr/lib64:只存在64位系统。CentOS7根目录下/lib64为软链接。
/usr/include: C程序的头文件(header files)。
/usr/share:结构化独立的数据,例如doc, man等。
/usr/local:第三方应用程序的安装位置。包含bin, sbin, lib, lib64, etc, share, games, src。 -
/var:的是可变的内容,例如变量、日志/var/log、将来网站的HTML页面也放在var下。variable data files。
/var/cache: 应用程序缓存数据目录。
/var/lib: 应用程序状态信息数据。
/var/local:专用于为/usr/local下的应用程序存储可变数据。
/var/lock: 锁文件。
/var/log: 日志目录及文件。
/var/opt: 专用于为/opt下的应用程序存储可变数据。
/var/run: 运行中的进程相关数据,通常用于存储进程pid文件。
/var/spool: 应用程序数据池。
/var/tmp: 保存系统两次重启之间产生的临时数据。 -
/proc:内存中的相关信息,此目录不在硬盘上,process进程数据在硬盘上。用于输出内核与进程信息相关的虚拟文件系统。 -
/sys:系统和硬件相关的内容。用于输出当前系统上硬件设备相关信息虚拟文件系统。 -
/media:便携式移动设备挂载点。 -
/mnt:临时文件系统挂载点。 -
/opt:第三方应用程序的安装位置。 -
/srv:系统上运行的服务用到的数据 -
selinux:CentOS6中。security enhanced Linux,selinux相关的安全策略等信息的存储位置。
命名规则
- 文件名最长255个字节。
- 包括路径在内文件名称最长4095个字节。
- 蓝色-->目录
绿色-->可执行文件
红色-->压缩文件
浅蓝色-->链接文件
灰色-->其他文件 - 除了
/和NUL,所有字符都有效.但使用特殊字符的目录名和文件不推荐使用,有些字符需要用引号来引用它们。 - 标准Linux文件系统(如ext4),文件名称大小写敏感。例如:MAIL,Mail,mail, mAiL。准确的说是特定文件系统大小写敏感,fat格式就不区分大小写。
2、显示/etc目录下,所有以.d结尾的文件或目录
命令
ls -ad /etc/*.d
验证
/etc/bash_completion.d /etc/logrotate.d /etc/rc6.d
/etc/binfmt.d /etc/modprobe.d /etc/rc.d
/etc/chkconfig.d /etc/modules-load.d /etc/request-key.d
/etc/cron.d /etc/my.cnf.d /etc/rsyslog.d
/etc/depmod.d /etc/oddjobd.conf.d /etc/rwtab.d
/etc/dnsmasq.d /etc/pam.d /etc/sane.d
/etc/dracut.conf.d /etc/popt.d /etc/setuptool.d
/etc/exports.d /etc/prelink.conf.d /etc/statetab.d
/etc/gdbinit.d /etc/profile.d /etc/sudoers.d
/etc/grub.d /etc/rc0.d /etc/sysctl.d
/etc/init.d /etc/rc1.d /etc/tmpfiles.d
/etc/ipsec.d /etc/rc2.d /etc/xinetd.d
/etc/krb5.conf.d /etc/rc3.d /etc/yum.repos.d
/etc/ld.so.conf.d /etc/rc4.d
/etc/libibverbs.d /etc/rc5.d
3、显示/etc目录下,所有.conf结尾,且以m,n,r,p开头的文件或目录
命令
ls -ad /etc/[mnrp]*.conf
验证
/etc/man_db.conf /etc/nfsmount.conf /etc/pnm2ppa.conf /etc/rsyncd.conf
/etc/mke2fs.conf /etc/nsswitch.conf /etc/radvd.conf /etc/rsyslog.conf
/etc/mtools.conf /etc/numad.conf /etc/request-key.conf
/etc/nfs.conf /etc/pbm2ppa.conf /etc/resolv.conf
4、创建/app/rootdir目录,并复制/root下所有文件到该目录内, 要求保留原有权限
命令
cp -rp /root/ /app/rootdir
验证
[root@centos7 ~]#ll -a /root/
total 1260
dr-xr-x---. 14 root root 4096 May 18 17:29 .
dr-xr-xr-x. 19 root root 248 May 13 20:10 ..
-rw-r--r--. 1 root root 11 May 18 17:28 acl.txt
-rw-------. 1 root root 1896 May 6 19:08 anaconda-ks.cfg
-rw-------. 1 root root 1010151 May 18 01:18 .bash_history
-rw-r--r--. 1 root root 18 Dec 29 2013 .bash_logout
-rw-r--r--. 1 root root 176 Dec 29 2013 .bash_profile
-rw-r--r--. 1 root root 225 May 7 19:51 .bashrc
drwx------. 14 root root 4096 May 8 11:53 .cache
drwx------. 14 root root 261 May 7 12:33 .config
-rw-r--r--. 1 root root 100 Dec 29 2013 .cshrc
drwx------. 3 root root 25 May 6 19:21 .dbus
drwxr-xr-x. 2 root root 6 May 7 12:29 Desktop
drwxr-xr-x. 2 root root 6 May 7 12:29 Documents
drwxr-xr-x. 2 root root 6 May 7 12:29 Downloads
-rw-------. 1 root root 16 May 7 12:29 .esd_auth
-rw-rwxr--+ 1 root root 8 May 18 17:27 f1
-rw-------. 1 root root 18 May 7 15:26 .history
-rw-------. 1 root root 5274 May 18 11:21 .ICEauthority
-rw-r--r--. 1 root root 1927 May 6 19:22 initial-setup-ks.cfg
-rw-------. 1 root root 35 May 8 15:49 .lesshst
drwx------. 3 root root 19 May 7 12:29 .local
-rw-r--r--. 1 root root 102910 May 14 21:44 man.help
-rw-r--r--. 1 root root 101286 May 14 21:45 man.help2
drwxr-xr-x. 2 root root 6 May 7 12:29 Music
drwxr-xr-x. 2 root root 6 May 7 12:29 Pictures
drwxr-xr-x. 2 root root 6 May 7 12:29 Public
-rw-r--r--. 1 root root 7 May 18 17:39 rmacl.txt
-rw-r--r--. 1 root root 129 Dec 29 2013 .tcshrc
drwxr-xr-x. 2 root root 6 May 7 12:29 Templates
drwxr-xr-x. 2 root root 6 May 7 12:29 Videos
-rw-------. 1 root root 0 May 7 12:34 .Xauthority
[root@centos7 ~]#ll -a /app/rootdir/
total 1264
dr-xr-x---. 15 root root 4096 May 18 22:56 .
drwxr-xr-x. 4 root root 36 May 18 22:55 ..
-rw-r--r--. 1 root root 11 May 18 17:28 acl.txt
-rw-------. 1 root root 1896 May 6 19:08 anaconda-ks.cfg
-rw-------. 1 root root 1010151 May 18 01:18 .bash_history
-rw-r--r--. 1 root root 18 Dec 29 2013 .bash_logout
-rw-r--r--. 1 root root 176 Dec 29 2013 .bash_profile
-rw-r--r--. 1 root root 225 May 7 19:51 .bashrc
drwx------. 14 root root 4096 May 8 11:53 .cache
drwx------. 14 root root 261 May 7 12:33 .config
-rw-r--r--. 1 root root 100 Dec 29 2013 .cshrc
drwx------. 3 root root 25 May 6 19:21 .dbus
drwxr-xr-x. 2 root root 6 May 7 12:29 Desktop
drwxr-xr-x. 2 root root 6 May 7 12:29 Documents
drwxr-xr-x. 2 root root 6 May 7 12:29 Downloads
-rw-------. 1 root root 16 May 7 12:29 .esd_auth
-rw-rwxr--+ 1 root root 8 May 18 17:27 f1
-rw-------. 1 root root 18 May 7 15:26 .history
-rw-------. 1 root root 5274 May 18 11:21 .ICEauthority
-rw-r--r--. 1 root root 1927 May 6 19:22 initial-setup-ks.cfg
-rw-------. 1 root root 35 May 8 15:49 .lesshst
drwx------. 3 root root 19 May 7 12:29 .local
-rw-r--r--. 1 root root 102910 May 14 21:44 man.help
-rw-r--r--. 1 root root 101286 May 14 21:45 man.help2
drwxr-xr-x. 2 root root 6 May 7 12:29 Music
drwxr-xr-x. 2 root root 6 May 7 12:29 Pictures
drwxr-xr-x. 2 root root 6 May 7 12:29 Public
-rw-r--r--. 1 root root 7 May 18 17:39 rmacl.txt
dr-xr-x---. 14 root root 4096 May 18 17:29 root
-rw-r--r--. 1 root root 129 Dec 29 2013 .tcshrc
drwxr-xr-x. 2 root root 6 May 7 12:29 Templates
drwxr-xr-x. 2 root root 6 May 7 12:29 Videos
-rw-------. 1 root root 0 May 7 12:34 .Xauthority
5、使用命令行展开功能,创建/tmp/a1, /tmp/a2, /tmp/a1/a, /tmp/a1/b,在/tmp目录下创建目录:x_y, x_z, q_y, q_z
命令
mkdir -p tmp/{a1/{a,b},a2,{x_,q_}{y,z}}
验证
[root@centos7 data]#tree tmp
tmp
├── a1
│ ├── a
│ └── b
├── a2
├── q_y
├── q_z
├── x_y
└── x_z
8 directories, 0 files
6、总结用户、用户组管理命令并演示命令以及常见用法
- 查看用户相关的ID信息
id [OPTION]... [USER]
-u: 显示UID
-g: 显示GID
-G: 显示用户所属的组的ID
-n: 显示名称,需配合ugG使用
[root@centos7 data]#id
uid=0(root) gid=0(root) groups=0(root) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
[root@centos7 data]#id jack
uid=1001(jack) gid=1001(jack) groups=1001(jack)
- 管理员:root, 0
普通用户:1-60000 自动分配
系统用户:1-499, 1-999(CentOS7)对守护进程获取资源进行权限分配
登录用户:500+, 1000+(CentOS7)交互式登录 - Linux用户和组的主要配置文件
/etc/passwd:用户及其属性信息(名称、UID、主组ID等)
passwd文件格式,用vipw编辑,pwck检查格式是否正确
login name:登录用名(wang)
passwd:密码(x)
UID:用户身份编号(1000)
GID:登录默认所在组编号(1000)
GECOS:用户全名或注释
home directory:用户主目录(/home/wang)
shell:用户默认使用shell (/bin/bash)
/etc/group:组及其属性信息
group文件格式,用vigr编辑,grpck检查格式是否正确
群组名称:就是群组名称
群组密码:通常不需要设定,密码是被记录在/etc/gshadow
GID:就是群组的ID
以当前组为附加组的用户列表(分隔符为逗号)
/etc/shadow:用户密码及其相关属性
shadow文件格式
登录用名
用户密码:一般用sha512加密
从1970年1月1日起到密码最近一次被更改的时间
密码再过几天可以被变更(0表示随时可被变更)
密码再过几天必须被变更(99999表示永不过期)
密码过期前几天系统提醒用户(默认为一周)
密码过期几天后帐号会被锁定
从1970年1月1日算起,多少天后帐号失效
/etc/gshadow:组密码及其相关属性
gshdow文件格式
群组名称:就是群组名称
群组密码:
组管理员列表:组管理员的列表,更改组密码和成员
以当前组为附加组的用户列表:(分隔符为逗号)
- 用户管理命令
useradd 用户创建
useradd [options] LOGIN
-u UID
-o 配合-u 选项,不检查UID的唯一性
-g GID:指明用户所属基本组,可为组名,也可以GID
-c "COMMENT":用户的注释信息
-d HOME_DIR: 以指定的路径(不存在)为家目录
-s SHELL: 指明用户的默认shell程序,可用列表在/etc/shells文件中
-G GROUP1[,GROUP2,...]:为用户指明附加组,组须事先存在
-N 不创建私用组做主组,使用users组做主组
-r 创建系统用户CentOS 6: ID<500,CentOS 7: ID<1000
-m 创建家目录,用于系统用户
-M 不创建家目录,用于非系统用户
useradd 默认值查看与修改
默认值设定:/etc/default/useradd文件中
显示或更改默认设置
useradd -D 查看默认设置
[root@centos7 data]#useradd -D
GROUP=100
HOME=/home
INACTIVE=-1
EXPIRE=
SHELL=/bin/bash
SKEL=/etc/skel
CREATE_MAIL_SPOOL=yes
useradd -D -s SHELL 设置新用户默认SHELL
useradd -D -b BASE_DIR 设置新用户默认家目录位置
useradd -D -g GROUP 设置新用户默认组名
新建用户的相关文件和命令
/etc/default/useradd 新用户默认值
/etc/skel/* 新用户家目录默认文件从哪拷贝
/etc/login.defs 新用户的密码加密算法、密码最长有效期、密码最短使用几天可改、密码最短的长度、密码快过期提前几天提醒。各类ID号的区段,是否创建家目录,有关权限的UMASK值设置,同名用户组的自动创建与自动删除。
[root@centos7 data]#cat /etc/login.defs
#
# Please note that the parameters in this configuration file control the
# behavior of the tools from the shadow-utils component. None of these
# tools uses the PAM mechanism, and the utilities that use PAM (such as the
# passwd command) should therefore be configured elsewhere. Refer to
# /etc/pam.d/system-auth for more information.
#
# *REQUIRED*
# Directory where mailboxes reside, _or_ name of file, relative to the
# home directory. If you _do_ define both, MAIL_DIR takes precedence.
# QMAIL_DIR is for Qmail
#
#QMAIL_DIR Maildir
MAIL_DIR /var/spool/mail
#MAIL_FILE .mail
# Password aging controls:
#
# PASS_MAX_DAYS Maximum number of days a password may be used.
# PASS_MIN_DAYS Minimum number of days allowed between password changes.
# PASS_MIN_LEN Minimum acceptable password length.
# PASS_WARN_AGE Number of days warning given before a password expires.
#
PASS_MAX_DAYS 99999
PASS_MIN_DAYS 0
PASS_MIN_LEN 5
PASS_WARN_AGE 7
#
# Min/max values for automatic uid selection in useradd
#
UID_MIN 1000
UID_MAX 60000
# System accounts
SYS_UID_MIN 201
SYS_UID_MAX 999
#
# Min/max values for automatic gid selection in groupadd
#
GID_MIN 1000
GID_MAX 60000
# System accounts
SYS_GID_MIN 201
SYS_GID_MAX 999
#
# If defined, this command is run when removing a user.
# It should remove any at/cron/print jobs etc. owned by
# the user to be removed (passed as the first argument).
#
#USERDEL_CMD /usr/sbin/userdel_local
#
# If useradd should create home directories for users by default
# On RH systems, we do. This option is overridden with the -m flag on
# useradd command line.
#
CREATE_HOME yes
# The permission mask is initialized to this value. If not specified,
# the permission mask will be initialized to 022.
UMASK 077
# This enables userdel to remove user groups if no members exist.
#
USERGROUPS_ENAB yes
# Use SHA512 to encrypt password.
ENCRYPT_METHOD SHA512
newusers passwd格式文件 批量新建用户
chpasswd 批量设置用户密码,格式user_name:password
- usermod 用户属性修改
usermod [OPTION] login
-u UID: 新UID
-g GID: 新主组
-G GROUP1[,GROUP2,...[,GROUPN]]]:新附加组,原来的附加组将会被覆盖;若保留原有,则要同时使用-a选项
-s SHELL:新的默认SHELL
-c 'COMMENT':新的注释信息
-d HOME: 新家目录不会自动创建;若要创建新家目录并移动原家数据,同时使用-m选项
-l login_name: 新的名字
-L lock指定用户,在/etc/shadow 密码栏的增加!
-U unlock指定用户,将/etc/shadow 密码栏的! 拿掉
-e YYYY-MM-DD: 指明用户账号过期日期
-f INACTIVE: 设定非活动期限
- userdel 删除用户
userdel [OPTION] login
-r: 删除用户家目录
- su 切换用户或以其他用户身份执行命令
root su至其他用户无须密码;非root用户切换时需要密码。
su [options...] [-] [user [args...]]
su UserName :非登录式切换,即不会读取目标用户的配置文件,不改变当前工作目录
su - UserName :登录式切换,会读取目标用户的配置文件,切换至家目录,完全切换
su [-] UserName -c 'COMMAND' :换个身份执行命令
- passwd 设置密码
passwd [OPTIONS] UserName
-d 删除指定用户密码
-l 锁定指定用户
-u 解锁指定用户
-e 强制用户下次登录修改密码
-f 强制操作
-n mindays :指定最短使用期限
-x maxdays :最大使用期限
-w warndays :提前多少天开始警告
-iinactivedays :非活动期限
--stdin :从标准输入接收用户密码
echo "PASSWORD" | passwd --stdin USERNAME
- chage 修改用户密码期限策略
chage [OPTION] LOGIN
-d LAST_DAY 上一次更改日期
-E --expiredate EXPIRE_DATE 帐号到期的日期。过了这天,此帐号将不可用
-I --inactive INACTIVE 密码过期几天后帐号会被锁定
-m --mindaysMIN_DAYS 密码再过几天可以被变更(0表示随时可被变更)
-M --maxdaysMAX_DAYS 密码再过几天必须被变更(99999表示永不过期)
-W --warndaysWARN_DAYS 密码过期前几天系统提醒用户(默认为一周)
-l 列出用户的详细密码状态
示例
chage -d 0 tom 下一次登录强制重设密码
chage -m 0 -M 42 -W 14 -I 7 tom
chage -E 2016-09-10 tom
- 用户相关的其它命令
chfn指定个人信息
chfn [-f full-name] [-o office] ,RB [ -p office-phone] [-h home-phone]
-u] [-v] [username]
chsh 指定shell
chsh [-s shell] [username]
finger 系统管理员通过使用该命令可以知道某个时候到底有多少用户在使用这台Linux主机。
- 组帐号维护命令
groupadd 创建组
groupadd [options] GROUP
-g GID: 指明GID号
-r 创建系统组,CentOS6: ID<500,CentOS7: ID<1000
- groupmod 组属性修改
groupmod [options] GROUP
-n group_name : 新名字
-g GID : 新的GID
- groupdel 组删除
groupdel [options] GROUP
- gpasswd 管理组的密码与其他
gpasswd [option] group
-a user 将user添加至指定组中
-d user 从指定组中移除用户user
-A user1,user2,... 设置有管理权限的用户列表
- newgrp 临时切换主组
如果用户本不属于此组,则需要组密码。 - groupmems 更改和查看组成员
groupmems [options] [action]
options:
-g, --group groupname 更改为指定组(只有root)
Actions:
-a, --add username 指定用户加入组
-d, --delete username 从组中删除用户
-p, --purge 从组中清除所有成员
-l, --list 显示组成员列表
- groups 查看用户所属组列表
groups [OPTION]... [USERNAME]...
7、文件权限,属主属组管理命令有哪些,并演示命令以及用法
. 代表selinux,末尾有 + 代表acl。
- chown 、 chgrp 设置文件的属主与属组
-h : 只对于连结(link)进行变更,而非该 link 真正指向的档案
chown [OPTION]... [OWNER][:[GROUP]] FILE...
例如:
chown root /u 修改/u的属主为root
chown root:staff /u 同时修改/u的属主为root,属组为staff
chown :staff /u 修改/u的属组为staff
chown root: /u 同时修改/u的属主与属组为root
以上命令中的冒号可用.替换
chown [OPTION]... --reference=RFILE FILE...
-R 递归 目录下的所有文件与目录属性都修改
chgrp [OPTION]... GROUP FILE...
chgrp staff /u 修改/u的属组为staff
chgrp [OPTION]... --reference=RFILE FILE...
-R 递归 目录下的所有文件与目录属性都修改
灾难性操作chown -R 所有者 / 将根下所有文件与目录所有者更改。
- 文件权限
文件的权限主要针对三类对象进行定义
owner: 属主, u,4
group: 属组, g,2
other: 其他, o,1
每个文件针对每类访问者都定义了三种权限
r: Readable 读
文件:可使用文件查看类工具获取其内容
目录:可以使用ls查看此目录中文件列表
w: Writable 写
文件:可修改其内容
目录:可在此目录中创建文件,也可删除此目录中的文件,需配合x
x: eXcutable 执行
文件:可以把此文件提请内核启动为一个进程
目录:可以使用ls -l查看此目录中文件元数据(须配合r),可以cd进入此目录
(目录X: 只给目录x权限,不给文件x权限)
-
chmod 文件权限操作
文件权限(rwx|X)
例如:
640: rw-r-----
755: rwxr-xr-x
chmod [OPTION]... MODE[,MODE]... FILE...
-R: 递归修改权限
例如 chmod -R g+rwX /testdir
MODE:
修改一类用户的所有权限:
u= g= o= ug= a= u=,g=
修改一类用户某位或某些位权限
u+ u- g+ g- o+ o- a+ a- + - (不写默认给ugo都加减)
例如 chmod u+wx,g-r,o=rx file
chmod [OPTION]... OCTAL-MODE FILE...
例如 chmod 640 file (640等同于设置为rw-r-----)
chmod [OPTION]... --reference=RFILE FILE...
参考RFILE文件的权限,将FILE的修改为同RFILE
实验
删除家目录,恢复
还原勿删的某用户家目录
cp -r /etc/skel /home/jack
chown -R jack.jack /home/jack
chmod 700 /home/jack
- umask 新建文件和目录的默认权限
新建FILE权限: 666-umask,如果所得结果某位存在执行(奇数)权限,则将其权限+1。
新建DIR权限: 777-umask。
非特权用户umask是002。root的umask是022。
要想存住umask全局设置:/etc/bashrc,用户设置:~/.bashrc
umask 查看umask值
umask 002 临时设置umask值为002,仅对本次登陆有效
umask -S 模式方式显示,显示为u=rwx,g=rx,o=rx这种形式
umask -p 输出可被调用,显示为umask 0022这种形式
- Linux文件系统上的特殊权限
SUID(umask从右往左第四位4)
可执行文件上SUID权限
任何一个可执行程序文件能不能启动为进程:取决发起者对程序文件是否拥有执行权限
启动为进程之后,其进程的属主为原程序文件的属主
SUID只对二进制可执行程序有效
SUID设置在目录上无意义
权限设定:
chmod u+s FILE...
chmod u-s FILE...
SUID: user,占据属主的执行权限位
s:属主拥有x权限
S:属主没有x权限
SGID(umask从右往左第四位2)
可执行文件上SGID权限
任何一个可执行程序文件能不能启动为进程:取决发起者对程序文件是否拥有执行权限
启动为进程之后,其进程的属组为原程序文件的属组
权限设定:
chmod g+s FILE...
chmod g-s FILE...
目录上的SGID权限
默认情况下,用户创建文件时,其属组为此用户所属的主组
一旦某目录被设定了SGID,则对此目录有写权限的用户在此目录中创建的文件所属的组为此目录的属组
通常用于创建一个协作目录
权限设定:
chmod g+s DIR...
chmod g-s DIR...
SGID: group,占据属组的执行权限位
s:group拥有x权限
S:group没有x权限
Sticky(umask从右往左第四位1)
Sticky 位
具有写权限的目录通常用户可以删除该目录中的任何文件,无论该文件的权限或拥有权
在目录设置Sticky 位,只有文件的所有者或root可以删除该文件
sticky 设置在文件上无意义
权限设定:
chmod o+t DIR...
chmod o-t DIR...
例如:
ls -ld /tmp drwxrwxrwt 12 root root 4096 Nov 2 15:44 /tmp
Sticky: other,占据other的执行权限位
t:other拥有x权限
T:other没有x权限
三种常用权限:r, w, x user, group, other
安全上下文
前提:进程有属主和属组;文件有属主和属组
(1) 任何一个可执行程序文件能不能启动为进程,取决发起者对程序文件是否拥有执行权限
(2) 启动为进程之后,其进程的属主为发起者,进程的属组为发起者所属的组
(3) 进程访问文件时的权限,取决于进程的发起者
(a) 进程的发起者,同文件的属主:则应用文件属主权限
(b) 进程的发起者,属于文件属组;则应用文件属组权限
(c) 应用文件“其它”权限
设定文件特定属性
chattr +i 文件名 :不能删除,改名,更改
chattr +a 文件名 :只能追加内容
lsattr :显示特定属性。
- 访问控制列表
ACL:Access Control List,实现灵活的权限管理
除了文件的所有者,所属组和其它人,可以对更多的用户设置权限
CentOS7默认创建的xfs和ext4文件系统具有ACL功能
CentOS7之前版本,默认手工创建的ext4文件系统无ACL功能,需手动增加
tune2fs –o acl/dev/sdb1
mount –o acl/dev/sdb1 /mnt/test
ACL生效顺序:所有者,自定义用户,自定义组,其他人
为多用户或者组的文件和目录赋予访问权限rwx
mount -o acl/directory
getfacl file |directory
setfacl -m u:wang:rwx file|directory
setfacl -Rm g:sales:rwX directory
setfacl -M file.acl file|directory
setfacl -m g:salesgroup:rw file| directory
setfacl -m d:u:wang:rx directory
setfacl -x u:wang file |directory
setfacl -X file.acl directory
ACL文件上的group权限是mask 值(自定义用户,自定义组,拥有组的最大权限),而非传统的组权限
getfacl可看到特殊权限:flags
通过ACL赋予目录默认x权限,目录内文件也不会继承x权限
base ACL 不能删除
setfacl -k dir 删除默认ACL权限
setfacl -b file1清除所有ACL权限
getfacl file1 | setfacl --set-file=- file2 复制file1的acl权限给file2
mask只影响除所有者和other的之外的人和组的最大权限
Mask需要与用户的权限进行逻辑与运算后,才能变成有限的权限(Effective Permission)
用户或组的设置必须存在于mask权限设定范围内才会生效setfacl -m mask::rx file
--set选项会把原有的ACL项都删除,用新的替代,需要注意的是一定要包含UGO的设置,不能象-m一样只是添加ACL就可以
示例:
setfacl --set u::rw,u:wang:rw,g::r,o::- file1
备份和恢复ACL
主要的文件操作命令cp和mv都支持ACL,只是cp命令需要加上-p 参数。但是tar等常见的备份工具是不会保留目录和文件的ACL信息
getfacl -R /tmp/dir1 > acl.txt
setfacl -R -b /tmp/dir1
setfacl -R --set-file=acl.txt /tmp/dir1
setfacl --restore acl.txt
getfacl -R /tmp/dir1
8、创建用户gentoo,附加组为bin和root,默认shell为/bin/csh,注释信息为 "Gentoo Distribution"
命令
useradd -G bin,root -s /bin/csh -c 'Gentoo Distribution' gentoo
验证
[root@centos7 ~]#id gentoo
uid=1002(gentoo) gid=1003(gentoo) groups=1003(gentoo),0(root),1(bin)
[root@centos7 ~]#getent passwd gentoo
gentoo:x:1002:1003:Gentoo Distribution:/home/gentoo:/bin/csh
