03.28 linux系统权限

最新推荐文章于 2025-03-31 22:53:35 发布
最新推荐文章于 2025-03-31 22:53:35 发布
阅读量530 收藏
点赞数 1
分类专栏: Linux高级运维 文章标签: linux 系统权限 suid sgid 粘滞位
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qunchao_Blog/article/details/74790360
版权
本文详细介绍了Linux文件和目录的权限机制,包括权限位的组成、实战案例、Linux普通文件权限总结以及目录权限的测试和总结。特别关注了suid、sgid和粘滞位这三种特殊权限,解释了它们的作用和应用场景,并提供了设置这些权限的chmod命令示例。此外,还讨论了umask在设定默认权限中的作用以及Linux系统中如何查找设置了特殊权限的文件或目录。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

第一章 权限位说明

这里写图片描述
Linux文件或目录的权限位由9个权限位来控制,每三位为一组。
这里写图片描述
Owner的读、写、执行
Group用户组(Group)的读、写、执行
Other其它用户的读、写、执行。
r(read)可读权限,对应数字4
w(write)可写权限,对应数字2
x(Execute)可执行权限,对应数字1
- 没有任何权限,对应数字0
#######################################################################################

第二章 实战案例

添加用户oldboy指定组

[root@Never-downtime ~]# groupadd incahome
[root@Never-downtime ~]# useradd oldboy -g incahome
[root@Never-downtime ~]# useradd oldgirl -g incahome

更改用户组

[root@Never-downtime ~]# usermod -g incahome oldboy
[root@Never-downtime ~]# usermod -g incahome oldgirl

添加其他用户

[root@Never-downtime ~]# useradd test

查看创建不同的用户信息

[root@Never-downtime ~]#  id oldboy
uid=501(oldboy) gid=504(incahome) groups=504(incahome)
[root@Never-downtime ~]# id oldgirl
uid=504(oldgirl) gid=504(incahome) groups=504(incahome)
[root@Never-downtime ~]# id test
uid=503(test) gid=503(test) groups=503(test)

修改文件的权限示例

# chmod 755 test.sh
# chmod 111 test.sh
# chmod u=rx test.sh
# chmod ugo=755 test.s

修改文件的所有者和用户组

# chown oldboy.incahome test.sh
# chown root.root test.sh
# chown oldboy test.sh
# chown .incahome test.sh

oldboy用户无删除test.sh权限,即使有w属性,删除文件和自身属性无关,受上一级目录权限控制。文件名不是文件的属性,文件名在上一级目录的block里面。

test/oldboy用户无执行权限,即使有x权限,普通用户必须还需要有r的权限,文件至少要一个r权限配合
w或x。

第三章 Linux普通文件权限总结

可读r:
表示具有读取、浏览文件内容(block)的权限;

可写w:
(1)表示具有新增、修改文件内容的权限;
(2)如果没有r配合,那么vi编辑文件会提示无法编辑(但可强制编辑),echo可以重定向或追加;

删除文件:
删除文件(修改文件名)或创建文件的权限是受父目录(上一级目录)的权限控制,和文件本身权限无关;

可执行x:

(1)表示具有执行文件的权限。
(2)首先文件的本身要能够执行(命令或脚本)。脚本(一堆的命令的集合,放在了一个文件中)
(3)普通用户同时还需要具备r的权限才能执行。
(4)root用户只要有x的权限就能执行。

这里写图片描述

第四章 Linux目录权限测试

目录r权限测试 目录r的权限需要x的配合

[root@Never-downtime oldboy]# ls -dl /oldboy/
dr--r-xr-x 2 oldboy oldboy 4096 Mar 29 07:06 /oldboy/
[oldboy@Never-downtime oldboy]$ ll -d /oldboy/
dr--r-xr-x 2 oldboy incahome 4096 Mar 29 07:06 /oldboy/
[oldboy@Never-downtime oldboy]$ >>test.sh 
-bash: test.sh: Permission denied
[oldboy@Never-downtime oldboy]$ rm -rf /oldboy/
rm: cannot remove `/oldboy/test.sh': Permission denied

目录w权限测试 目录w的权限也需要x的配合

[root@Never-downtime oldboy]# chmod u=w /oldboy/
[root@Never-downtime oldboy]# ls -ld /oldboy/
d-w-r-xr-x 2 oldboy incahome 4096 Mar 29 07:06 /oldboy/
[oldboy@Never-downtime oldboy]$ touch /oldboy/oldboy.txt
touch: cannot touch `/oldboy/oldboy.txt': Permission denied

目录x权限测试 目录x的权限需要有r的配合否则无意义

[root@Never-downtime oldboy]# chmod u=x /oldboy/
[root@Never-downtime oldboy]# ll -d /oldboy/
d--xr-xr-x 2 oldboy incahome 4096 Mar 29 07:06 /oldboy/
[oldboy@Never-downtime oldboy]$ ls
ls: cannot open directory .: Permission denied
[oldboy@Never-downtime oldboy]$ touch /oldboy/oldboy.txt
touch: cannot touch `/oldboy/oldboy.txt': Permission denied

第五章 linux目录权限总结

可读r
1. 可读r表示具有浏览目录(ls list)下面文件及子目录的权限,即可以执行ls dir如果没有x权限,则不能进到目录里,即无法执行cd dir
2. 如果没有x权限,ls列表是可以看到所有文件名,但是会提示无权访问目录下文件。
3. 如果ls -l列表,所有的属性会带有问号,也会提示无权访问目录下文件,但是可以看到所有文件名。

可写w

  1. 表示具有增加、删除或修改目录内文件名(一般指文件名)的权限,(需要x权限的配合)(Execute执行权限)
  2. 对文件而言,表示具有执行文件的权限。(普通用户同时还需要r的权限,root用户不用r也能执行,文件本身也要能执行才行,否则公鸡不能下蛋)。
  3. 对文件而言,表示具有新增、修改文件内容的权限(注意:删除和移动文件和文件本身属性无关,看上级目录)

可执行x

  1. 可执行x:表示具有进入目录的权限;例如可以执行cd dir。可以访问目录下的文件(属性信息)但是没有r则无法列表文件及目录,没有w无法新建和删除文件名。
  2. 对于目录来说x(可执行权限)是必须的,用它来访问目录下面的文件的inode信息。

- 表示无任何权限
1. 若对应位置权限位为字符“-”,仅与该文件与目录所在的上一层目录权限有关,与该文件本身属性无任何关系。
2. 对于文件来说:写权限是修改文件,而不是删除文件,因此写权限是与该文件的本身属性有关系的。

第六章 文件和目录权限的区别

这里写图片描述

第七章 chmod命令语法

这里写图片描述

第八章 权限临界点

文件默认权限:644 比较安全
目录默认权限:755 比较安全

默认权限是安全权限的临界点,工作中尽量给这个临界点,或者小于临界点,不要大于临界点权限。

为什么默认权限目录755,文件644而不是其他的值呢?

  1. 不管是操作还是网站站点目录,安全权限的临界点:
  2. 目录为755,文件644是相对安全的权限。
  3. 并且用户为root以及用户组root。

Linux系统默认权限的方针:允许浏览,查看,但是禁止创建和修改文件及文件内容以及执行(w,x)

第九章 默认权限分配umask

  1. 在Linux下文件的默认权限是由umask值决定的。
  2. umask是通过八进制的数值来定义用户创建文件或目录的默认权限。
  3. umask对应数值表示的是禁止的权限。具体的细节,文件和目录略有不同。
  4. umask Linux默认权限 最大权限减去umask====Linux默认权限
  5. 如果用户的UID大于199 并且这个用户的所有者与所有属于的组 名字相同则umask的值 002,否则 umask的值 022。
  6. 创建文件默认最大权限为666(-rw-rw-rw),默认创建的文件一般都没有可执行权限x位。对于文件来说,umask的设置是在假定文件拥有八进制666的权限上进行的,文件的权限就是666减去umask。
  7. 创建目录默认最大权限777(-rwxrwxrwx),默认创建的目录属主是有x权限,允许用户进入。对于目录来说,umask的设置是在假定文件拥有八进制777权限上进行,目录八进制权限777减去umask。

umask值的计算

文件umask=022文件最大权限值666减去umask的值022  666-022=644 就是文件默认的权限。
如果umask=025文件最大权限666减去umask025 666-025=641 如果umask值是奇数 结果需要加1。
目录umask=025 目录最大权限777减去umask025 777-025=752 

[root@Never-downtime oldboy]# umask 052
[root@Never-downtime oldboy]# mkdir 3_052
[root@Never-downtime oldboy]# ll
drwx-w-r-x 2 root   root     4096 Mar 30 15:34 3_052

[root@Never-downtime oldboy]# touch 1.txt_052
[root@Never-downtime oldboy]# ll
total 16
-rw--w-r-- 1 root   root        0 Mar 30 15:35 1.txt_052

第十章 linux系统特殊权限

suid
setuid通过S标识,如果用户位对应的x位上有x,则为s标识,对应的数字是4,用户对应的权限位(用户对应的3位上的x位如果有s就表示suid),文件显示白字红底(passwd命令)

[root@Never-downtime oldboy]# chmod 4000 1.txt_052 
[root@Never-downtime oldboy]# ll
total 16
drwxr-xr-x 2 root   root     4096 Mar 30 15:30 1_022
---S------ 1 root   root        0 Mar 30 15:35 1.txt_052

[root@Never-downtime oldboy]# chmod 4111 1.txt_052 
[root@Never-downtime oldboy]# ll
total 16
drwxr-xr-x 2 root   root     4096 Mar 30 15:30 1_022
---s--x--x 1 root   root        0 Mar 30 15:35 1.txt_052
###大S占用的是x的权限位置 当文件/目录没有x权限时 就显示S  如果有x权限时就显示小s


[root@Never-downtime ~]# ll $(which passwd)
-rwsr-xr-x. 1 root root 30768 Nov 24  2015 /usr/bin/passwd
[root@Never-downtime ~]# chmod u-s /usr/bin/passwd
[root@Never-downtime ~]# ll $(which passwd)
-rwxr-xr-x. 1 root root 30768 Nov 24  2015 /usr/bin/passwd
[oldboy@Never-downtime ~]$ passwd 
Changing password for user oldboy.
Changing password for oldboy.
(current) UNIX password: 
New password: 
BAD PASSWORD: it is too simplistic/systematic
New password: 
Retype new password: 
Sorry, passwords do not match.
New password: 
Retype new password: 
passwd: Authentication token manipulation error

[root@Never-downtime ~]# chmod u+s  $(which passwd)
[root@Never-downtime ~]# ll $(which passwd)
-rwsr-xr-x. 1 root root 30768 Nov 24  2015 /usr/bin/passwd
[oldboy@Never-downtime ~]$ passwd 
Changing password for user oldboy.
Changing password for oldboy.
(current) UNIX password: 
New password: 
Retype new password: 
Sorry, passwords do not match.
New password: 
Retype new password: 
passwd: all authentication tokens updated successfully.

[root@Never-downtime ~]# echo 123456 |passwd --stdin oldboy
[root@Never-downtime ~]# echo 123456 |passwd --stdin oldboy
Changing password for user oldboy.
passwd: all authentication tokens updated successfully.

[root@Never-downtime ~]# find / -name "rm"
/usr/share/locale/rm
/bin/rm
[root@Never-downtime ~]# chmod u+s /bin/rm
[root@Never-downtime ~]# ll /bin/rm
-rwsr-xr-x. 1 root root 57440 May 11  2016 /bin/rm
[oldboy@Never-downtime ~]$ rm -rf /var/log/messages
[root@Never-downtime ~]# chmod u-s /bin/rm
##如果passwd命令不添加s权限,则除root用户外无法更改密码,加s权限就相当于使用root的权限,相当于皇帝。

suid总结

  1. suid是针对命令和二进制程序的
  2. 用户或属主对应的前三位权限的x位上如果有s就表示suid权限。
  3. 当x位上没有小写x执行权限的时候,suid的权限显示的就是大S。
  4. suid作用让普通用户可以以root(或其他)的用户角色运行只有root(或其他)账号才能运行的程序和命令,或程序命令对应本来没有权限操作的文件等。
  5. suid为某一个命令设置特殊权限(使用者为所有人)

sgid
setgid通过S标识,如果用户组位对应的x位上有x,则为s标识,对应的数字是2,用户组对应的权限位(用户对应的3位上的x位如果有s就表示sgid)文件显示黑字黄底(locate)

[oldboy@Never-downtime tmp]$ locate oldboy
/oldboy
/etc/oldboy.txt
/home/oldboy
/home/oldboy/.bash_history
/home/oldboy/.bash_logout
/home/oldboy/.bash_profile
/home/oldboy/.bashrc
/oldboy/test.sh
/var/spool/mail/oldboy
[root@Never-downtime ~]# ls -l /var/lib/mlocate/mlocate.db 
-rw-r----- 1 root slocate 1342195 Mar 30 08:48 /var/lib/mlocate/mlocate.db

sgid总结
1. 与suid不同的是,sgid既可以针对文件还可以针对目录设置。
2. sgid是针对用户组权位的。
3. sgid仅对二进制命令程序有效。
4. sgid二进制命令或程序需要有可执行权限x

以上是针对文件的,对于目录(继承目录所属的组):sgid的功能如下:

  1. Linux里默认情况所有用户创建文件,默认用户和组都是自身。
  2. sgid可以让用户再此目录下创建的文件和目录,具有和此目录相同的用户组设置。
  3. setgid位主要在目录中,当为某个目录设置了setgid位以后,在该目录中新创建的文件具有该目录的所属组权限,而不失创建该文件的用户的默认所有者。这样,使得在多个用户之间共享一个目录中的文件变的简单,提示:用八进制数2000表示setgid权限位。

sticky粘滞位
sticky(粘滞位)通过T标识,如果用户组对应的x位上有x,则为t标识,对应数字是1,其他用户位对应的权限位(用户对应的3位上的x位如果有t后T就表示sticky),文件显示黑字绿底。(/tmp)

[root@Never-downtime ~]# ls -ld /tmp/
drwxrwxrwt. 7 root root 4096 Mar 30 14:09 /tmp/
[oldboy@Never-downtime tmp]$ rm -f ett_soft.txt 
rm: cannot remove `ett_soft.txt': Operation not permitted
[root@Never-downtime ~]# chmod o-t /tmp/
[root@Never-downtime ~]# ls -ld /tmp/
drwxrwxrwx. 7 root root 4096 Mar 30 18:42 /tmp/
[oldboy@Never-downtime tmp]$ rm -rf ett_soft.txt
[root@Never-downtime ~]# chmod o+t /tmp/
[root@Never-downtime ~]# ll -d /tmp/
drwxrwxrwt. 7 root root 4096 Mar 30 18:42 /tmp/

第十一章 特殊权限对应的数字小结

  1. suid 4000权限字符s(S),用户位上的u位上设置授权方法chmod 4755 /bin/rm 或chmod u+s /bin/rm
  2. sgid 2000权限字符s(S),用户组位的g位上设置授权方法 chmod 2755 /oldboy.txt 或chmod g+s test
  3. 粘滞位1000 权限字符t(T),其他用户位的x位上设置授权方法 chmod 1777 /tmp 或 chmod o+t /tmp
  4. 如果对应x则字符权限表现为小写,否则表现为大写。
  5. tmp经典的粘滞位目录案例,特点,谁都有写权限,因此安全成问题,尝尝是木马第一首跳板地点。Linux高级优化场景,tmp目录常常是木马第一首跳板地点。

第十二章 实战案例

如何查找系统中设置了suid、sgid和粘滞位的文件或目录?

ls -l $(find / -perm 4755)
LinuxLinux权限
2302_79054145的博客
07-20 4049
根据测试,我们得出以下结论:在Linux中目录的r权限:用户能否查看指定目录内的文件信息目录的w权限:用户能否在指定的目录内新建、修改、删除文件目录的x权限:用户能否进入目录。
03.28Android
03-28
Android涵盖了许多主题,包括但不限于:用户界面设计、活动(Activity)、服务(Service)、广播接收器(Broadcast Receiver)、内容提供者(Content Provider)、Intent、多线程处理、权限管理、SQLite数据库、网络编程、...
详解Linux系统权限
黑马程序员官方博客
04-11 582
一、权限概述 1. 什么是权限 权限:在计算机系统中,权限是指某个计算机用户具有使用软件资源的权利。 软件资源:Linux系统中,一切皆文件!SO,这里的软件资源就是文件资源。 所以,我们今天所讲的权限,指的就是:文件资源所拥有的相关权限,即文件权限。 2. 权限设置目的 文件权限的设置目的:是想让某个用户有权利操作文件. 3. 文件权限的分类 ㈠ 普通权限 用户正常情况去操作文...
Linux系统权限管理
最新发布
xency的博客
03-31 1027
Linux系统的架构里,权限是构建安全堡垒的基石,精准界定了不同用户对文件与目录的操作边界,对系统安全的维护以及数据完整性的保障起着决定性作用。Linux权限归纳为读(r)、写(w)和执行(x)这三种基础类别,它们各司其职,共同守护系统资源。1.对于文件,拥有读权限的用户宛如拥有了一把打开知识宝库的钥匙,能够毫无阻碍地查看文件的具体内容,无论是文本文件中的文字信息,还是配置文件里的参数设置,都能一览无余。
linux系统权限
White_Lee的专栏
11-06 128
1.添加用户:useradd user 2.chmod (-R子文件夹) 修改文件文件夹权限 详见 [url]http://javakill.iteye.com/blog/1967613[/url] 3.修改文件所属用户:chown yoyosys imgInstance_17.img 修改文件所属用户组:chgrp yoyosys imgInstance_17.img 4.p...
linux权限_Linux系统权限
weixin_39760689的博客
12-04 114
Linux系统权限Linux操作系统是基于Unix的多用户以及权限隔离的文件系统,想要掌握Linux,理解Linux操作系统权限管理是非常重要的。准备工作掌握前面终端基础和文件管理基础用户如前面提到的,Linux是一个多用户操作系统。在谈论所有权和权限之前,必须先明白Linux用户和组的基础知识,因为所有权和权限Linux系统的基础。在Linux中,有两种用户类型,包括系统用户和普通用户。系统...
Linux权限
SkinWhite的博客
07-15 824
Linux权限 01.Linux下的权限有哪些呢? 读权限:对于文件来讲就是可以读取其内容的权限,对于目录来讲无法查看目录里面的内容(ls 失败) 写权限:对于文件来讲就是可以向文件写数据,对于目录来讲无法删除目录里面的文件 可执行权限:对于可执行文件来讲无法用行(可以看到颜色都变了),对于目录来讲无法进入目录(cd 失败) 02.Linux权限的表示方法 ...
(03.28)上市公司-技术创新持续性数据(2007-2023年).zip
03-31
数据名称:上市公司-技术创新持续性数据 数据年份:2008-2023年 相关数据及指标 股票代码、年份、IIP、OIP、IIP对数、OIP对数 数据截图 代码.do 研发支出.dta 专利申请和授权数据1990-2023年.dta ...
江苏省南通市天星湖中学2020-2021学年高二下学期3月周练数学试题(03.28) 含答案.docx
09-12
这份资料是江苏省南通市天星湖中学高二年级2020-2021学年下学期3月份的一份周练数学试题,包含了选择题、多项选择题和填空题,涵盖了高中数学的多个核心知识点。以下是这些题目涉及的主要数学概念解析: ...
leetcode2-algorithm-weekly:这是每周被问到一次的算法问题列表。
06-29
03.28 03.20 () 03.14 03.06 02.28 02.21 02.14 02.07 02.01 01.18 01.11 01.04 12.28 12.14 12.07 11.29 11.23 11.16 11.09 () 11.02 10.26 10.19 10.12 10.05 09.28 () ( ) 09.21 09.07 08.30 08.2
leetcode信封-algorithm-weekly:leetcode、程序员、CTCI等算法解决方案库
06-30
03.28 03.20 () 03.14 03.06 -> 重做 02.28 02.21 -> 重做 02.14 02.07 02.01 01.18 01.11 01.04 -> 重做 12.28 12.14 12.07 11.29 11.23 11.16 -> 重做 11.09 () 11.02 10.26 10.19 10.12 10.05 09.28 () ( ) 09.21...
linux系统权限总结
07-18
linux操作系统 文件 权限 总结
Linux权限
学代码的咸鱼的博客
07-14 1202
Linux权限的详细介绍!
Linux——权限
勇气是明知不可为而为之
07-07 4858
Linux权限是指用于限制对文件和目录的访问的安全机制。文件和目录的权限由三个部分组成:所有者权限、同组用户权限和其他用户权限。每个部分又包括读、写、执行三种权限。这些权限决定了用户能否对文件或目录进行读、写、执行等操作。
Linux系统权限详解
pengpeng0121的博客
06-20 5872
权限问题,这一篇就够了
Linux权限设置方法
顺其自然~专栏
09-21 4032
1、举例说明 修改某个目录下的所有文件的权限,包括子目录中的文件,例子如下: chmod 777 /home/user 注:仅把/home/user目录的权限设置为rwxrwxrwx chmod -R 777 /home/user 注:表示将整个/home/user目录与其中的文件和子目录的权限都设置为rwxrwxrwx  其中,参数-R表示启动递归处理 2、chmod命令解析 ch...
k3s 挂载本地目录到pod 报错 SQL Server 2022 will run as non-root by default. This container is running as user mssql. Your master database file is owned by mssql. To learn more visit https://go.microsoft.com/fwlink/?linkid=2099216. 2023-06-07 03:14:03.28 Server Microsoft SQL Server 2022 (RTM-CU4) (KB5026717) - 16.0.4035.4 (X64) May 1 2023 10:34:45 Copyright (C) 2022 Microsoft Corporation Developer Edition (64-bit) on Linux (Ubuntu 20.04.6 LTS) <X64> 03:14:03.29 Server UTC adjustment: 0:00 03:14:03.29 Server (c) Microsoft Corporation. 03:14:03.29 Server All rights reserved. 03:14:03.29 Server Server process ID is 396. 03:14:03.30 Server Logging SQL Server messages in file '/var/opt/mssql/log/errorlog'. 03:14:03.30 Server Registry startup parameters: -d /var/opt/mssql/data/master.mdf -l /var/opt/mssql/data/mastlog.ldf -e /var/opt/mssql/log/errorlog 03:14:03.31 Server Error: 17113, Severity: 16, State: 1. 03:14:03.31 Server Error 5(Access is denied.) occurred while opening file '/var/opt/mssql/data/master.mdf' to obtain configuration information at startup. An invalid startup option might have caused the error. Verify your startup options, and correct or remove them if necessary. 2023-06-07T03:14:03.591017773Z
06-08
你可以尝试修改挂载目录的权限,使其可以被非 root 用户访问。具体操作可以参考以下步骤: 1. 在本地机器上修改挂载目录的权限: ``` sudo chmod -R 777 /path/to/local/dir ``` 2. 在 k3s 集群中,将挂载目录的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值