無論是初學者還是高級用戶,深入理解Linux的權限體系都是必不可少的技能
本文將深入探討Linux 102級別的權限管理,涵蓋文件權限、用戶與組管理、特殊權限位以及權限提升與限制等多個方面,旨在幫助你全面掌握Linux系統的權限控制
一、文件權限基礎 Linux系統中的每個文件和目錄都有其獨特的權限設置,這些權限決定了誰可以讀取(read)、寫入(write)或執行(execute)它們
權限信息通過三組字符表示,分別對應文件的所有者(owner)、所屬組(group)和其他用戶(others)
所有者:文件的創建者或最后修改者
- 所屬組:文件所屬的用戶組,組內成員共享特定的訪問權限
- 其他用戶:系統中不屬于文件所有者或所屬組的所有其他用戶
使用`ls -l`命令可以查看文件或目錄的詳細權限信息
輸出示例如下: -rw-r--r-- 1 user group 1234 Jan 1 12:34 example.txt 這里,`-rw-r--r--`就是權限部分,從左到右依次為: - 第一個字符表示文件類型(-表示普通文件,`d`表示目錄,`l`表示鏈接等)
- 接下來的三個字符`rw-`表示所有者權限(讀、寫,無執行)
- 緊接著的三個字符`r--`表示所屬組權限(僅讀)
- 最后的三個字符`r--`表示其他用戶權限(僅讀)
二、修改文件權限 使用`chmod`命令可以修改文件或目錄的權限
有兩種主要的修改方式:符號模式和八進制模式
- 符號模式:通過u(所有者)、g(所屬組)、`o`(其他用戶)和`a`(所有人)指定權限,結合`+`(添加)、-(移除)、`=`(設置)操作
bash chmod u+x example.txt 為所有者添加執行權限 chmod g-w example.txt 移除所屬組的寫權限 chmod o=r example.txt 設置其他用戶的權限為只讀 - 八進制模式:每個權限位用數字表示(讀=4,寫=2,執行=1),組合這些數字即可設置權限
bash chmod 755 example.txt 所有者:讀寫執行(7=4+2+1),所屬組和其他用戶:讀執行(5=4+1) 三、用戶與組管理 Linux系統的用戶管理通過`/etc/passwd`文件維護,而組信息則存儲在`/etc/group`文件中
添加用戶:使用useradd命令
bash sudo useradd newuser sudo passwd newuser 設置密碼 修改用戶信息:使用usermod命令
bash sudo usermod -aG sudo newuser 將newuser添加到sudo組,賦予管理權限 - 刪除用戶:使用userdel命令,注意`-r`選項會同時刪除用戶的主目錄和郵件池
bash sudo userdel -r newuser - 組管理:類似地,使用groupadd添加組,`groupdel`刪除組,`gpasswd`修改組成員
bash sudo groupadd newgroup sudo gpasswd -a newuser newgroup 將newuser添加到newgroup組 四、特殊權限位 除了基本的讀、寫、執行權限外,Linux還支持一些特殊權限位,用于提供更細粒度的控制
- SUID(Set User ID):當執行該文件時,進程將以文件所有者的身份運行,而不是執行者的身份
bash chmod u+s executable_file - SGID(Set Group ID):對于可執行文件,當執行時,進程將以文件所屬組的身份運行;對于目錄,新創建的文件或目錄將繼承該目錄的組ID
bash chmod g+s directory_or_executable - Sticky Bit(粘滯位):僅對目錄有效,設置后,只有文件的所有者、目錄的所有者或root才能刪除或重命名目錄中的文件
bash chmod +t directory 五、權限提升與限制 在Linux系統中,權限提升與限制是保障系統安全的關鍵
- sudo:允許普通用戶以超級用戶(root)或其他用戶的身份執行命令,通過`/etc/sudoers`文件配置
bash sudosome_command - sudoers文件編輯:使用visudo命令安全地編輯`/etc/sudoers`文件,避免語法錯誤導致sudo失效
bash sudo visudo - AppArmor與SELinux:這兩者是Linux系統中常用的強制訪問控制(MAC)機制,用于限制程序的能力,防止惡意軟件或漏洞被利用
-AppArmor:基于路徑和文件的訪問控制,配置文件位于`/etc/apparmor.d/`
-SELinux:提供更為復雜的策略,包括基于角色的訪問控制(RBAC),配置復雜但功能強大
六、實踐建議 1.最小權限原則:為每個用戶分配最小的必要權限,避免權限濫用
2.定期審計:定期檢查/etc/passwd、`/etc/group`及權限設置,確保沒有不必要的權限授予
3.使用sudo代替直接登錄root:減少誤操作帶來的風險
4.啟用AppAr
