文件记录3.4.4. 管理权限
Linux 是一个多用户系统,所以需要提供一个权限系统来控制对文件和目录的授权操作集,它包括所有的系统资源和设备(在 Unix 系统上,任何设备都由一个文件或目录)。 这个原则对于所有类 Unix 系统都是通用的。
每个文件或目录对三类用户都有特定的权限:
• 它的所有者(由 u,如在用户中)
• 其所有者组(由 g,如在组中),代表组中的所有成员
• 其他(由 o,如其他)可以组合三种类型的权利:
• 阅读(以 r,如已读);
• 书写(或修改,以 w,如写);
• 执行(符号为 x,如在执行中)。
在文件的情况下,这些权限很容易理解:读访问允许读取内容(包括复制),写访问允许更改它,执行访问允许运行它(这仅在它是程序时才有效)。
Setuid 和 塞吉德 两个特定的权限与可执行文件相关: Setuid 和 塞吉德 (符号化 可执行文件 用字母“s”)。 请注意,我们经常谈到位,因为这些布尔值中的每一个都可以用 0 或 1 表示。这两个权限允许任何用户执行
分别具有所有者或组权限的程序。 此机制授予对需要比您通常拥有的权限更高级别权限的功能的访问权限。
既然一个 Setuid root 程序是以超级用户身份系统运行的,确保其安全可靠是非常重要的。 任何设法破坏 setuid root 程序以调用他们选择的命令的用户都可以模拟 root 用户并拥有系统的所有权限。 渗透测试人员在获得对系统的访问权限时会定期搜索这些类型的文件,以提升他们的权限。
Setuid 和 塞吉德 两个特定的权限与可执行文件相关: Setuid 和 塞吉德 (符号化 可执行文件 用字母“s”)。 请注意,我们经常谈到位,因为这些布尔值中的每一个都可以用 0 或 1 表示。这两个权限允许任何用户执行
分别具有所有者或组权限的程序。 此机制授予对需要比您通常拥有的权限更高级别权限的功能的访问权限。
既然一个 Setuid root 程序是以超级用户身份系统运行的,确保其安全可靠是非常重要的。 任何设法破坏 setuid root 程序以调用他们选择的命令的用户都可以模拟 root 用户并拥有系统的所有权限。 渗透测试人员在获得对系统的访问权限时会定期搜索这些类型的文件,以提升他们的权限。
目录与文件的处理方式不同。 读取访问权限授予查阅其内容列表(文件和目录)的权利; 写权限允许创建或删除文件; 并执行访问允许穿越目录访问其内容(例如,使用 cd 命令)。 能够穿越目录而不能读取它,允许用户访问其中按名称已知的条目,但不能在不知道其确切名称的情况下找到它们。
保安 这个 塞吉德 位也适用于目录。 此类目录中的任何新创建的项目
保安 这个 塞吉德 位也适用于目录。 此类目录中的任何新创建的项目
塞吉德 目录和 黏
位
自动分配父目录的所有者组,而不是继承-
像往常一样进入创作者的主要群体。 因此,您不必更改主组(使用 新组 命令)在同一专用组的多个用户之间共享的文件树中工作时。
这个 粘点 (由字母“t”表示)是仅在目录中有用的权限。 它特别用于每个人都有写访问权限的临时目录(例如 / tmp /):它限制删除文件,以便只有它们的所有者或父目录的所有者才能删除它们。 没有这个,每个人都可以删除其他用户的文件 / tmp /.
塞吉德 目录和 黏
位
三个命令控制与文件关联的权限:
• 乔恩 用户档案 更改文件的所有者
小提示 您经常希望在更改文件组的同时更改文件组
小提示 您经常希望在更改文件组的同时更改文件组
更改用户和
组
改变所有者。 这 乔恩 命令有一个特殊的语法: 乔恩
用户:组文件
更改用户和
组
• chgrp 组文件 更改所有者组
• CHMOD 权限文件 更改文件的权限
有两种表示权利的方式。 其中,符号表示可能是最容易理解和记忆的。 它涉及到上面提到的字母符号。 您可以为每个类别的用户定义权限 (u/g/o),通过显式设置它们(使用 =), 通过添加
(+),或减去 (-)。 就这样 u=rwx,g+rw,或 公式赋予所有者读取、写入和执行权限,为所有者组添加读取和写入权限,并为其他用户删除读取权限。 未因此类命令中的加法或减法而改变的权限保持不变。 信 a,总而言之,涵盖所有三类用户,因此 一个=接收 授予所有三个类别相同的权限(读取和执行,但不能写入)。
(八进制)数字表示将每个权限与一个值相关联:4 表示读取,2 表示写入,1 表示执行。 我们将每个权限组合与三个数字的总和相关联,并按照通常的顺序(所有者、组、其他)为每个类别的用户分配一个值。
例如,该 CHMOD 754的 文件 command 将设置以下权限:为所有者读取、写入和执行(因为 7 = 4 + 2 + 1); 为组读取和执行(因为 5 = 4 + 1); 其他人只读。 这 0 意味着没有权利; 因此 CHMOD 600的 文件 允许所有者拥有读写权限,其他人没有权限。 最常见的正确组合是 755 对于可执行文件和目录,以及 644 用于数据文件。
为了代表特殊权利,你可以根据同样的原则在这个数字前面加上第四位数字,其中 Setuid, 塞吉德和 黏 位分别为 4、2 和 1。 命令 CHMOD 4754的 将关联 Setuid 位具有先前描述的权利。
请注意,使用八进制表示法只允许您一次设置文件的所有权限; 您不能使用它来添加新权限,例如组所有者的读取访问权限,因为您必须考虑现有权限并计算新的相应数值。
八进制表示也用于 遮罩 命令,用于限制对新创建文件的权限。 当应用程序创建文件时,它会分配指示性权限,知道系统会自动删除定义的权限 遮罩。 输入 遮罩 在壳中; 你会看到一个面具,比如 0022. 这只是要系统删除的权限的八进制表示(在这种情况下,是组和其他用户的写入权限)。
如果你给它一个新的八进制值, 遮罩 命令修改掩码。 在 shell 初始化文件中使用(例如, 在〜/ .bash_profile),它将有效地更改您的工作会话的默认掩码。
小提示 有时我们必须更改整个文件树的权限。 以上所有命令
小提示 有时我们必须更改整个文件树的权限。 以上所有命令
递归操作
有 -R 在子目录中递归操作的选项。
目录和文件之间的区别有时会导致递归操作出现问题。 这就是为什么在权利的象征性表示中引入了“X”字母。 它代表一种仅适用于目录(而不适用于缺少此权利的文件)的执行权。 因此, chmod -R a+X 目录 只会为所有类别的用户添加执行权限(a) 用于至少一类用户(即使他们的唯一所有者)已经拥有执行权限的所有子目录和文件。
递归操作