5-1目

標

學習了本單元后，你應該能夠：解釋Linux的安全模型解釋用戶帳號和組群帳號的目的理解并設置文件權限理解文件的特殊權限和隱藏屬性5-2用戶（賬號）每個用戶都被分配了一個唯一的用戶ID號（UID）用戶名和UID被保存在/etc/passwd這個文件中當用戶登錄成功時，他就登錄到了他的主目錄下面，和一個運行的程序（通常是shell）/etc/passwd和/etc/passwd文件的介紹上面有七個字段，每個字段的含義用戶名:密碼:uid

:gid:用戶描述：主目錄：登陸shell賬號名稱：對應uid.例如root就是系統默認系統管理員賬號。密碼：早期unix的密碼都放在該文件中，由于安全原因，現在將其存于了/etc/shadow中了。現在這個字段是x，表示密碼已經移到了shadow中加密了：如果這個字段為空，表示空密碼可登陸，如果是!或者*表示此用戶不可登陸。Uid：這就是用戶的識別碼，通常uid有如下限制：

0系統管理員。不建議有多個系統管理員1-499保留個系統使用的id。通常1-99保留給系統本身使用，100-499保留給用戶建立系統服務賬號時使用，useradd-r用戶名500以后的就是給一般用戶了

GID:與/etc/group有關，這個系統里的組信息（解讀些文件結構）用戶信息說明欄：這個字段用來對賬戶進行簡單說明，如作用等家目錄：用戶的家目錄，就是用戶登陸后默認進入到的目錄。例如root登陸后就是/root目錄Shell:用于讓你執行命令，如果該字段是/sbin/nologin表示這個賬戶是無法登錄的5-9組每個用戶都被分配給一個組每個組群都被分配了一個獨特的組群ID號碼（gid）groupGID等組信息被保存在/etc/group這個文件中每個用戶都有他們自己的私有組群，但是同時可以被添加到其它組群中來獲得額外的存取權限（復習useradd-g-G的用法）組群中的所有用戶都可以共享屬于該組群的文件，但是要看同組人有什么權限了公共組機制：就是所有人都屬于同一個組在系統中同樣存在/etc/group和/etc/group-文件的內容/etc/group各字段的含義用戶組名稱用戶組密碼gid就是用戶組id支持的賬號名稱系統中出現的/etc/passwd-/etc/shadow-/etc/group-/etc/gshadow-文件，如果添加新用戶新賬戶和組等都不會被更新5-13Linux文件安全性每個文件都屬于一個UID和一個GID每個進程都使用一個UID和一個或多個GID運行三種存取權限類型：進程使用和文件相同的UID的權限來運行（用戶,user）進程使用和文件相同的GID的權限來運行（組群,group）所有其它進程（其它,other）5-14權限的優先順序如果UID匹配，就應用用戶（user）權限否則，如果GID匹配，就應用組群（group）權限如果都不匹配，就應用其它（other）權限/etc/gshadow和/etc/gshadow-查看文件和內容/etc/gshadow各字段的含義用戶組名稱密碼，同樣以!開頭表示不可登陸用戶組管理員賬號該用戶組的所屬賬號與/etc/group內容相同5-17權限類型在顯示權限時，使用了四種符號：r：讀取文件或者列舉目錄內容的權限w：寫入文件或者在目錄中創建、刪除文件的權限x：執行程序或者可cd(切換)目錄中-：無權限（在r、w、或x的位置上）---完全沒有權限executable5-18查看權限文件的權限可以使用ls–l命令來查看$

ls

-l

/bin/login

-rwsr-sr-t

1

root

root

19080

Apr

1

18:26

/bin/login

文件類型和權限被一個10個字符長的字符串代表5-19權限的意義-rwxr-x---

1

andersen

trusted

2948

Oct

11

14:07

myscript所屬用戶andersen具備讀取、寫入、和執行權限組群trusted中的成員具備讀取和執行權限其它用戶沒有任何權限5-20改變文件所有者只有根用戶才能改變文件的所有者只有根用戶才能改變文件的組群chown命令被用來改變所屬用戶：chown[-R]用戶名文件|目錄chown用戶名：組名文件或者目錄chgrp被用來改變所屬組群：chgrp[-R]組群名文件|目錄5-21改變權限–符號式方法要改變存取權限模式：chmod[-R]模式文件這里的模式是：u、g、或o，分別代表用戶、組群和其它用戶=、+或–代表授予或拒絕r、w、或x，分別代表讀取、寫入、或執行例如：chmodu=rwx,g=rwx,o=rwxfile/dirctory：chmodugo+rfile/dirctory：授予所有用戶以讀取權限chmodo-wxfile/directory：拒絕其它用戶的寫入和執行權限如果使用a+或者a-權限，如：chmoda+wfile表示所有的ugo都同時添加w權限5-22改變權限–數字式方法通過把以下數值相加起來，來計算權限：r代表讀取

4w代表寫入

2x代表執行

1－沒有任何權限0使用三個數字模式第一個數字代表所屬用戶的權限第二個數字代表組群權限第三個數字代表其它用戶的權限例如：chmod640myfile5-23改變權限-NautilusNautilus程序也可以被用來設置文件和目錄的權限和組群在Nautilus的窗口中，右擊某個文件從菜單中選擇[屬性]選擇[權限]標簽頁目錄和文件的默認權限隱藏權限文件的默認權限與umask有密切關系umaks就是制定“當前用戶在建立文件或者目錄時的默認的屬性值”依據值一種就是以-S參數，就會以符號的形式顯示出來umask有自四組數據，第一組為特殊權限在默認權限的屬性上，目錄和文件不一樣所以用戶建立文件默認沒有可執行權限，即只有rw權限，這就是最大666，默認屬性-rw-rw-rw-若用戶建立目錄，則由于x是否可以進入此目錄有關，默認所有權限均開放，即為777,默認屬性為drwxrwxrwxumask指定的是該默認值需要屏蔽的權限，因為r,w,x分別是4,2,1，當要去掉寫權限時，就輸入2，要去掉讀權限時，就要輸入4，那么要去掉讀寫權限時，就要輸入6。而要去掉執行和寫權限時，就要輸入3，如上面例子來說明的話,umask為022，所以user并沒有被去掉屬性，不過group和others的屬性去掉了2，也就是w這個屬性，那么當用戶建立目錄時：drwxr-xr-x.2rootroot4096Oct318:41test：即(drwxrwxrwx)–(d----w--w-)或者(0022)-rw-r-xr-x建立文件時：-rw-r--r--.1rootroot0Oct318:42test.txt：默認文件時沒有執行權限的即(-rw-rw-rw-)–(----w--w-)或者(0022)drwxr-xr-x這里遮罩不能用減法來設定，用符號。默認的0022就行了我們把umask修改為000來查看默認文件和目錄的權限我們看見系統默認的就是上面提到的文件-rw-rw-rw即0666目錄-drwxrwxrwx即0777如果為033的話減法就出問題了，所以不能用033。減法的話0666-033=0633是錯誤的，而是0644遮罩時不能用減法來計算的大家要記住驗證建立文件建立目錄默認情況下root的umask會去掉比較多的屬性，root的umask默認為022，這是基于安全考慮，一般用戶的umask為002，同時保留用戶組的寫如權限。使用umask可以對權限進行全局控制文件隱藏屬性文件隱藏屬性，隱藏屬性對系統有很大的幫組，尤其是系統的安全性方面很重要1、chattr設置文件的隱藏屬性+增加某個特隱藏屬性，其他原本的參數不動-刪除某個特殊隱藏屬性，其他原本的參數不動=權限就是后面就是這個參數A：當設置了A屬性時，這個文件或者目錄的訪問時間atime,將不可能修改

S:(大寫的)這個參數類似于sync，就是將數據同步到磁盤中，避免數據丟失a參數，文件只追加數據，而不能刪除數據，只有root才能設置這個屬性。c這個屬性設置后會自動壓縮，在讀取的時候會自動解壓縮d當執行dump程序的時候，設置d屬性將使該文件或者目錄不具有轉存功能i:i的作用很大，就是讓一個文件不能動，什么都不能做j當文件系統是ext3以上時格式時，就是支持了日志功能，設置j屬性將會使該文件在寫入時記錄在journal中，但是當系統的文件系統已經支持了jonrnal功能時，由于設置重復設置了日志，所以該參數無效(data=jounal)s參數，當文件設置了s參數時，如里這個文件被刪除，將不可恢復u參數與s相反，當設置了u參數時，數據其實還保存在磁盤中，可以用來還原刪除下面介紹常用的a和i參數首先介紹-i參數查看一下寫入是有有權限介紹a參數刪除a參數后就可以刪除文件了lsattr顯示特