locate与find查找

locate:/var/lib/mlocate/mlocate.db
getfacl 目录

chmod权限管理

  • chmod(英文全拼:change mode)设置用户对文件的权限
  • 命令格式:chmod [-选项] 归属关系+-=权限类别 文件…
  • root用户可以修改任何文件和目录的权限
  • 文件所有者
  • 常用选项:
    • -R 递归修改,包含目录下所有的子文件与子目录
  • 归属关系:u 所有者 g 所属组 o 其他人
  • 权限类别: r 读取 w 写入 x 执行 - 没有权限
  • 操作:+ 添加权限 - 去除权限 = 重新定义权限
  • 权限数字表示:r —— 4 w —— 2 x —— 1 0 没有权限
  1. #查看文件详细属性
  2. [root@localhost ~]# ll hello
  3. -rw-r--r--. 1 root root 426 3  28 15:00 hello
  5. #为文件所有者添加执行权限
  6. [root@localhost ~]# chmod u+x hello
  7. [root@localhost ~]# ll hello
  8. -rwxr--r--. 1 root root 426 3  28 15:00 hello
  10. #为文件所属组添加写权限
  11. [root@localhost ~]# chmod g+w hello
  12. [root@localhost ~]# ll hello
  13. -rwxrw-r--. 1 root root 426 3  28 15:00 hello
  15. #为文件其他人添加写权限
  16. [root@localhost ~]# chmod o+w hello
  17. [root@localhost ~]# ll hello
  18. -rwxrw-rw-. 1 root root 426 3  28 15:00 hello
  20. #使用(逗号)可以同时为多个用户授权
  21. [root@localhost ~]# chmod g+x,o+x hello
  22. [root@localhost ~]# ll hello
  23. -rwxrwxrwx. 1 root root 426 3  28 15:00 hello
  25. #去除所有者执行权限
  26. [root@localhost ~]# chmod u-x hello
  27. [root@localhost ~]# ll hello
  28. -rw-rwxrwx. 1 root root 426 3  28 15:00 hello
  30. #去除所属组执行权限
  31. [root@localhost ~]# chmod g-x hello
  32. [root@localhost ~]# ll hello
  33. -rw-rw-rwx. 1 root root 426 3  28 15:00 hello
  35. #去除其他人执行权限
  36. [root@localhost ~]# chmod o-x hello
  37. [root@localhost ~]# ll hello
  38. -rw-rw-rw-. 1 root root 426 3  28 15:00 hello
  40. #同时去除ugo写权限
  41. [root@localhost ~]# chmod u-w,g-w,o-w hello
  42. [root@localhost ~]# ll hello
  43. -r--r--r--. 1 root root 426 3  28 15:00 hello
  45. #重新定义所有者权限
  46. [root@localhost ~]# chmod u=rwx hello
  47. [root@localhost ~]# ll hello
  48. -rwxr--r--. 1 root root 426 3  28 15:00 hello
  50. #重新定义所属组权限
  51. [root@localhost ~]# chmod g=rwx hello
  52. [root@localhost ~]# ll hello
  53. -rwxrwxr--. 1 root root 426 3  28 15:00 hello
  55. #重新定义其他人权限
  56. [root@localhost ~]# chmod o=rwx hello
  57. [root@localhost ~]# ll hello
  58. -rwxrwxrwx. 1 root root 426 3  28 15:00 hello
  60. #创建目录并设置目录权限
  61. [root@localhost ~]# mkdir /test
  62. [root@localhost ~]# ll -d /test
  63. drwxr-xr-x. 2 root root 6 4  11 14:30 /test
  65. #为目录所属组添加写权限
  66. [root@localhost ~]# chmod g+w /test
  67. [root@localhost ~]# ll -d /test
  68. drwxrwxr-x. 2 root root 6 4  11 14:30 /test
  70. #为目录其他人添加写权限
  71. [root@localhost ~]# chmod o+w /test
  72. [root@localhost ~]# ll -d /test
  73. drwxrwxrwx. 2 root root 6 4  11 14:30 /test
  74. [root@localhost ~]# 
  76. #重新定义所有用户权限
  77. [root@localhost ~]# chmod u=rwx,g=rx,o=rx /test
  78. [root@localhost ~]# ll -d /test
  79. drwxr-xr-x. 2 root root 6 4  11 14:30 /test
  81. #同时为所有用户定义相同权限
  82. [root@localhost ~]# chmod ugo=rwx /test
  83. [root@localhost ~]# ll -d /test
  84. drwxrwxrwx. 2 root root 21 4  11 14:37 /test
  86. #权限数字定义方式
  87. [root@localhost ~]# ll hello
  88. -rwxrwxrwx. 1 root root 426 3  28 15:00 hello
  89. 所有者:rwx   4+2+1=7
  90. 所属组:r     4
  91. 其他人:r     4
  92. [root@localhost ~]# chmod 744 hello
  93. [root@localhost ~]# ll hello
  94. -rwxr--r--. 1 root root 426 3  28 15:00 hello
  96. 所有者:rw 4+2=6
  97. 所属组:rw 4+2=6
  98. 其他人:--- 0
  99. [root@localhost ~]# chmod 660 hello
  100. [root@localhost ~]# ll hello
  101. -rw-rw----. 1 root root 426 3  28 15:00 hello
  103. 所有者:rwx 4+2+1=7
  104. 所属组:wx  2+1=3
  105. 其他人:--- 0
  106. [root@localhost ~]# touch /hello.txt
  107. [root@localhost ~]# ll /hello.txt 
  108. -rw-r--r--. 1 root root 0 4  11 14:45 /hello.txt
  109. [root@localhost ~]# chmod 730 /hello.txt 
  110. [root@localhost ~]# ll /hello.txt 
  111. -rwx-wx---. 1 root root 0 4  11 14:45 /hello.txt
  113. #去除所有用户权限
  114. [root@localhost ~]# chmod 000 /hello.txt 
  115. [root@localhost ~]# ll /hello.txt 
  116. ----------. 1 root student 0 4  11 14:45 /hello.txt
  118. #递归修改目录下所有子文件与子目录权限
  119. [root@localhost ~]# ll -d /test
  120. drwxrwxrwx. 2 root root 21 4  11 14:37 /test
  122. [root@localhost ~]# mkdir /test/xxoo
  123. [root@localhost ~]# ll -d /test/xxoo/
  124. drwxr-xr-x. 2 root root 6 4  11 14:54 /test/xxoo/
  126. [root@localhost ~]# ll /test/abc.txt 
  127. -rw-r--r--. 1 root root 0 4  11 14:37 /test/abc.txt
  128. #默认用户在该目录下创建文件权限与父目录不一致
  130. #递归修改目录下所有子文件与子目录权限
  131. [root@localhost ~]# chmod -R 777 /test
  132. [root@localhost ~]# ll /test/abc.txt 
  133. -rwxrwxrwx. 1 root root 0 4  11 14:37 /test/abc.txt
  134. [root@localhost ~]# ll -d /test/xxoo
  135. drwxrwxrwx. 2 root root 6 4  11 14:54 /test/xxoo
  137. #深入理解权限,
  138. [root@localhost ~]# mkdir /test1
  139. [root@localhost ~]# chmod 777 /test1
  140. [root@localhost ~]# ll -d /test1
  141. drwxrwxrwx. 2 root root 6 4  11 14:57 /test1
  143. #在该目录下创建文件与目录
  144. [root@localhost ~]# touch /test1/root.txt
  145. [root@localhost ~]# mkdir /test1/rootbak
  146. [root@localhost ~]# chmod o=rx /test1
  147. [root@localhost ~]# ll -d /test1
  148. drwxrwxr-x. 2 root root 6 4  11 14:59 /test1
  149. [root@localhost ~]# touch /test1/root.txt
  151. #普通用户对该目录如果拥有rwx权限是可以删除该目录下任何用户创建的文件(包括root)
  152. [user1@localhost ~]$ cd /test1
  153. [user1@localhost test1]$ ls
  154. root.txt
  155. [user1@localhost test1]$ ll root.txt 
  156. -rw-r--r--. 1 root root 0 4  11 14:57 root.txt
  157. [user1@localhost test1]$ rm -rf root.txt 
  158. [user1@localhost test1]$ ls
  159. rootbak
  160. [user1@localhost test1]$ rm -rf rootbak/
  161. [user1@localhost test1]$ ls
  162. [user1@localhost test1]$ ll -d /test1
  163. drwxrwxrwx. 2 root root 6 4  11 14:59 /test1
  165. 总结:
  166. 1.用户对文件拥有写权限可以增加/修改/删除文件里内容,并不能删除文件,删除文件取决于对文件的父目录有没有rwx权限
  167. 2.用户对目录拥有rwx权限可以查看/创建/修改/删除目录下的文件

umask预设权限

  • umask用于显示或设置创建文件的权限掩码
  • 命令格式:umask [-p] [-S] [mode]
  1. root@localhost ~]# mkdir /test2
  2. [root@localhost ~]# ll -d /test2
  3. drwxr-xr-x. 2 root root 6 4  11 15:05 /test2
  4. [root@localhost ~]# umask --help
  5. umask: 用法:umask [-p] [-S] [模式]
  7. #查看目录默认权限掩码,以数字形式显示
  8. [root@localhost ~]# umask -p
  9. umask 0022
  11. #查看目录默认权限掩码,以字母形式显示
  12. [root@localhost ~]# umask -S
  13. u=rwx,g=rx,o=rx
  15. #设置目录默认权限掩码,为所属组添加写权限
  16. [root@localhost ~]# umask g+w 
  17. [root@localhost ~]# mkdir /test3
  18. [root@localhost ~]# ll -d /test3
  19. drwxrwxr-x. 2 root root 6 4  11 15:09 /test3
  21. #去除目录默认权限掩码
  22. [root@localhost ~]# umask g-w 
  23. [root@localhost ~]# mkdir /test4
  24. [root@localhost ~]# ll -d /test4
  25. drwxr-xr-x. 2 root root 6 4  11 15:10 /test4

chown归属关系管理

  • chown(英文全拼:change owner)用于设置文件的所有者和所属组关系
  • 命令格式:
    • chown [-选项] 所有者:所属组 文档 #同时修改所有者和所属组身份
    • chown [-选项] 所有者 文档 #只修改所有者身份
    • chown [-选项] :所属组 文档 #只修改所属组身份
  • 常用选项:
    • -R 递归修改
  1. #创建文件
  2. [root@localhost ~]# chmod 744 /hello.txt 
  3. [root@localhost ~]# ll /hello.txt 
  4. -rwxr--r--. 1 root student 0 4  11 14:45 /hello.txt
  6. #修改文件所有者为user1用户
  7. [root@localhost ~]# chown user1 /hello.txt 
  8. [root@localhost ~]# ll /hello.txt 
  9. -rwxr--r--. 1 user1 student 0 4  11 14:45 /hello.txt
  11. #修改文件所有者与所属组为lisi
  12. [root@localhost ~]# chown lisi:lisi /hello.txt 
  13. [root@localhost ~]# ll /hello.txt 
  14. -rwxr--r--. 1 lisi lisi 4 4  11 15:26 /hello.txt
  16. #创建目录
  17. [root@localhost ~]# mkdir /test5
  18. [root@localhost ~]# ll -d /test5
  19. drwxr-xr-x. 2 root root 6 4  11 15:30 /test5
  21. #修改目录所有者与所属组为lisi
  22. [root@localhost ~]# chown lisi:lisi /test5
  23. [root@localhost ~]# ll -d /test5
  24. drwxr-xr-x. 2 lisi lisi 6 4  11 15:30 /test5
  26. [root@localhost ~]# touch /test5/root.txt
  27. [root@localhost ~]# ll /test5/root.txt 
  28. -rw-r--r--. 1 root root 0 4  11 15:31 /test5/root.txt
  30. #递归修目录下所有子文件与子目录归属关系
  31. [root@localhost ~]# chown -R lisi:lisi /test5
  32. [root@localhost ~]# ll /test5/root.txt 
  33. -rw-r--r--. 1 lisi lisi 0 4  11 15:31 /test5/root.txt

SetUID特殊权限

  • SetUID(SUID):对于一个可执行的文件用了SUID权限后,普通用户在执行该文件后,临时拥有文件所有者的身份,该权限只在程序执行过程中有效,程序执行完毕后用户恢复原有身份
  • SetUID权限会附加在所有者的 x 权限位上,所有者的 x 权限标识会变成 s
  • 设置SetUID命令格式:chmod u+s 文件名
  1. #搜索命令绝对路径
  2. [root@localhost ~]# which passwd
  3. /usr/bin/passwd
  4. [root@localhost ~]# ll /usr/bin/passwd 
  5. -rwsr-xr-x. 1 root root 27832 6  10 2014 /usr/bin/passwd
  7. [root@localhost ~]# which cat
  8. /usr/bin/cat
  9. [root@localhost ~]# ll /usr/bin/cat
  10. -rwxr-xr-x. 1 root root 54160 10 31 2018 /usr/bin/cat
  12. #普通用户使用cat命令是默认无法查看/etc/shadow文件内容
  13. [lisi@localhost ~]$ cat /etc/shadow
  14. cat: /etc/shadow: 权限不够
  16. #设置SUID权限
  17. [root@localhost ~]# chmod u+s /usr/bin/cat
  18. [root@localhost ~]# ll /usr/bin/cat
  19. -rwsr-xr-x. 1 root root 54160 10 31 2018 /usr/bin/cat
  21. #普通用户再次使用cat命令时临时获取文件所有者身份
  22. [lisi@localhost ~]$ cat /etc/shadow
  24. #去除SUID权限
  25. [root@localhost ~]# chmod u-s /usr/bin/cat
  26. [root@localhost ~]# ll /usr/bin/cat
  27. -rwxr-xr-x. 1 root root 54160 10 31 2018 /usr/bin/cat
  29. [root@localhost ~]# which vim
  30. /usr/bin/vim
  32. [root@localhost ~]# ll /usr/bin/vim
  33. -rwxr-xr-x. 1 root root 2294208 10 31 2018 /usr/bin/vim
  35. #为vim设置SUID权限
  36. [root@localhost ~]# chmod u+s /usr/bin/vim
  37. [root@localhost ~]# ll /usr/bin/vim
  38. -rwsr-xr-x. 1 root root 2294208 10 31 2018 /usr/bin/vim
  40. [root@localhost ~]# ll /etc/passwd
  41. -rw-r--r--. 1 root root 2737 4  10 17:26 /etc/passwd
  43. [root@localhost ~]# chmod u-s /usr/bin/vim
  44. [root@localhost ~]# vim /etc/passwd

SetGID特殊权限

  • SetGID(SGID):当对一个可执行的二进制文件设置了SGID后,普通用户在执行该文件时临时拥有其所属组的权限,该权限只在程序执行过程中有效,程序执行完毕后用户恢复原有组身份
  • 当对一个目录作设置了SGID权限后,普通用户在该目录下创建的文件的所属组,均与该目录的所属组相同
  • SetGID权限会附加在所属组的 x 权限位上,所属组的 x 权限标识会变成 s
  • 设置SetGID命令格式:chmod g+s 文件名
  1. [root@localhost ~]# mkdir /test6
  2. [root@localhost ~]# chmod 777 /test6
  3. [root@localhost ~]# ll -d /test6
  4. drwxrwxrwx. 2 root root 6 4  11 15:59 /test6
  6. #为目录设置SGID权限
  7. [root@localhost ~]# chmod g+s /test6
  8. [root@localhost ~]# ll -d /test6
  9. drwxrwsrwx. 2 root root 6 4  11 15:59 /test6
  10. #SGID权限会附加在所属组执行权限位,所属组执行权限变为s
  12. [root@localhost ~]# touch /test6/1.txt
  13. [root@localhost ~]# ll /test6/1.txt 
  14. -rw-r--r--. 1 root root 0 4  11 16:00 /test6/1.txt
  16. #修改目录所属组为lisi组
  17. [root@localhost ~]# chown :lisi /test6
  18. [root@localhost ~]# ll -d /test6
  19. drwxrwsrwx. 2 root lisi 19 4  11 16:00 /test6
  21. #SGID对目录设置后,在该目录下创建的任何文件都会继承父目录的所属组
  22. [root@localhost ~]# touch /test6/2.txt
  23. [root@localhost ~]# ll /test6/2.txt 
  24. -rw-r--r--. 1 root lisi 0 4  11 16:01 /test6/2.txt

Sticky BIT特殊权限

  • Sticky BIT(SBIT):该权限只针对于目录有效,当普通用户对一个目录拥有w和x权限时,普通用户可以在此目录下拥有增删改的权限,应为普通用户对目录拥有w权限时,是可以删除此目录下的所有文件
  • 如果对一个目录设置了SBIT权限,除了root可以删除所有文件以外,普通用户就算对该目录拥有w权限,也只能删除自己建立的文件,不能删除其他用户建立的文件
  • SBIT权限会附加在其他人的 x 权限位上,其他人的 x 权限标识会变成 t
  • 设置SBIT命令格式:chmod o+t 目录名
  1. #为目录设置SBIT
  2. [root@localhost ~]# chmod o+t /test
  3. [root@localhost ~]# ll -d /test
  4. drwxrwxrwt. 2 root root 6 4  11 16:07 /test
  6. [lisi@localhost test]$ ls
  7. kenji.txt  laowang.txt  lisi.txt
  9. [lisi@localhost test]$ rm -rf *
  10. rm: 无法删除"kenji.txt": 不允许的操作
  11. rm: 无法删除"laowang.txt": 不允许的操作

FACL访问控制列表

  • FACL(Filesystemctl Access Control List)文件系统访问控制列表:利用文件扩展属性保存额外的访问控制权限,单独为每一个用户量身定制一个权限
  • 命令格式:setfacl 选项 归属关系:权限 文档
  • 常用选项:
    • -m 设置权限
    • -x 删除指定用户权限
    • -b 删除所有用户权限
  1. #为natasha用户设置ACL权限
  2. [root@localhost ~]# setfacl -m u:natasha:rx /yunwei/
  3. [root@localhost ~]# ll -d /yunwei/
  4. drwxrwx---+ 2 root yunwei 54 4  11 16:43 /yunwei/
  5. [root@localhost ~]# ll -d /test
  6. drwxrwxrwt. 2 root root 42 4  11 16:11 /test
  8. #查看目录ACL权限
  9. [root@localhost ~]# getfacl /yunwei
  10. getfacl: Removing leading '/' from absolute path names
  11. # file: yunwei
  12. # owner: root
  13. # group: yunwei
  14. user::rwx
  15. user:natasha:r-x
  16. group::rwx
  17. mask::rwx
  18. other::---
  20. #用户测试权限
  21. [natasha@localhost ~]$ ls /yunwei/
  22. hell.sh  kenji.txt  lisi.txt
  23. [natasha@localhost yunwei]$ rm -rf kenji.txt 
  24. rm: 无法删除"kenji.txt": 权限不够
  25. [natasha@localhost yunwei]$ touch natasha.txt
  26. touch: 无法创建"natasha.txt": 权限不够
  27. [natasha@localhost yunwei]$ vim kenji.txt 
  30. [root@localhost ~]# setfacl -m u:tom:rx /yunwei
  31. [root@localhost ~]# setfacl -m u:jack:rx /yunwei
  32. [root@localhost ~]# setfacl -m u:hary:rx /yunwei
  33. [root@localhost ~]# getfacl /yunwei
  34. getfacl: Removing leading '/' from absolute path names
  35. # file: yunwei
  36. # owner: root
  37. # group: yunwei
  38. user::rwx
  39. user:hary:r-x
  40. user:tom:r-x
  41. user:natasha:r-x
  42. user:jack:r-x
  43. group::rwx
  44. mask::rwx
  45. other::---
  47. #删除指定用户ACL权限
  48. [root@localhost ~]# setfacl -x u:tom /yunwei
  49. [root@localhost ~]# getfacl /yunwei
  50. getfacl: Removing leading '/' from absolute path names
  51. # file: yunwei
  52. # owner: root
  53. # group: yunwei
  54. user::rwx
  55. user:hary:r-x
  56. user:natasha:r-x
  57. user:jack:r-x
  58. group::rwx
  59. mask::rwx
  60. other::---
  62. #删除所有用户ACL权限
  63. [root@localhost ~]# setfacl -b /yunwei
  64. [root@localhost ~]# getfacl /yunwei
  65. getfacl: Removing leading '/' from absolute path names
  66. # file: yunwei
  67. # owner: root
  68. # group: yunwei
  69. user::rwx
  70. group::rwx
  71. other::---