Linux 파일 시스템 권한 관리 기본 사항

하나.권한 개체

owner: 파일 소유자

group: 사용자 그룹

others: 파일 소유자가 아니거나 사용자 그룹 이외의 사람, 다른 사람.

둘.권한 유형 rwx

[root@xiaoagiao tmp]# ls -l
total 12
-rw-r--r--. 1 root root  886 Mar  1 00:20 ac
-rw-r--r--. 1 root root    0 Mar  7 04:47 file1
-rw-r--r--. 1 root root    0 Mar  7 04:47 file2
-rw-r--r--. 1 root root  886 Mar  1 00:20 fstab
drwx-w-r-x. 3 root root 4096 Mar  9 00:46 log

예를 들어 rw-r–r-r-(총 9위) 세 명당 한 조:

3위: 속주

중간 3위: 속조

하위 3위: 기타

셋.rwx

1. 파일의 경우

r: 파일의 데이터를 가져올 수 있음

w: 파일 수정 가능 데이터

x: 이 파일을 프로세스로 실행할 수 있음

2. 목차의 경우

r: ls 명령을 사용하여 디렉터리에 있는 파일 목록을 얻을 수 있음

w: 이 디렉터리의 파일 목록을 수정할 수 있으며 파일을 만들거나 삭제할 수 있습니다

x: 이 디렉터리에 cd를 사용할 수 있고 ls-l을 사용하여 파일의 상세한 속성 정보를 얻을 수 있습니다

3. rwx 사용 가능한 숫자 대표

r: 4(읽기)

w:2(쓰기)

x: 1(실행)

파일 권한 판단 논리

파일 생성 및 삭제 -> (파일 디렉토리에 W 사용 권한이 있음)

사용자의 신분, 사용자가 어떤 신분으로 파일을 삭제하는지 판단, owner->group->others

디렉터리의 소유자라면 디렉터리 권한 위치의 왼쪽 세 자리는 w 권한이 필요하고 있으면 성공하고 없으면 실패

디렉터리의 소유자가 아닌 그룹이면 디렉터리 권한 위치에서 세 자리는 w 권한이 필요하고 있으면 성공하고 없으면 실패

디렉터리가 다른 사람에게 속하지 않으면 디렉터리 권한 위치의 세 자리는 w 권한이 필요하고 있으면 성공하고 없으면 실패

파일 내용의 증가와 삭제 ->(파일 자체에 w 권한이 필요함)

사용자의 신분을 판단한다.

대응 권한이 있으면 성공하고 없으면 실패합니다.

넷.권한 관리 클래스 명령

1. chmod

세 가지 사용자(자모 u, g o a 대표) u: 주 g: 속 그룹 o: 다른 사람 a: 모두

부권표시법:rwxu=g=o=a=

chmod u=r-x file  // file r-x
chmod g=--x file  // file --x
chmod o=rwx file  // file rwx
chmod a=rwx file  // file rwx

권한 수여 표시법 u+, u-g+, g-o+, o-a+, a-

chmod u+r file  // file r 
chmod g+w file  // file w 
chmod o+x file  // file x 
chmod a+r file  // file r 

-R, 반복 수정

chmod  -R 777 file //file 777。
chmod -R u=rwx file //file rwx。

2. chown 수정 파일의 소유자 또는 그룹

chown owner : group file

chown  owner ： group file //file owner， group。

chown owner file

chown owner file//file owner。

chown :group file

chown ：group file //file group。

chown -R owner : group file

chown -R owner ： group file //file owner， group。

3. chgrp 수정 파일 원본 그룹

chgrp jerry file

chgrp jerry file //file jerry。

관리자만 파일이나 디렉터리의 그룹, 소유자, 다른 사람을 수정할 수 있습니다.

오.프로세스의 보안 컨텍스트

프로세스가 파일 접근 권한에 대한 응용 모델

프로세스의 속주는 파일의 속주와 같은지, 같으면 속주권한도를 적용하고, 그렇지 않으면 프로세스의 속조가 파일의 속조와 같은지, 같으면 속조의 권한을 적용하고,그렇지 않으면other 권한을 사용한다.

파일을 하나의 프로세스로 실행하는 것은 사용자가 이 파일에 x 권한이 있는지, 실행 가능한 권한이 있는지에 달려 있다

6, ALC 액세스 제어 목록

정의: ACL(Access control list), 즉 액세스 제어 목록은 일련의 규칙의 집합으로 ACL은 이러한 규칙을 통해 서로 다른 메시지를 분류하여 서로 다른 메시지를 서로 다른 방식으로 처리합니다.
acl 목록을 보려면: getfacl filename

[root@xiaoagiao file3]# getfacl aa
#file: aa
#owner: root
#group: root
user::rw-
group::r--
other::r--

에 나타난 데이터 앞에 #이 있는 것은 파일의 기본 속성이고 1, 2, 3줄이 이 파일의 기본 속성이다.

네 번째 줄의 사용자 이름 표시줄은 비어 있습니다. 이것은 이 파일 소유자의 권한을 대표합니다.

다섯 번째 줄의 사용자 그룹 표시줄은 비어 있으며 이것은 이 파일의 소속 사용자 그룹의 권한을 대표한다.

여섯 번째 줄은 이 파일의 다른 권한을 나타낸다.

acl 목록 관리

setfacl

옵션:
-m
acl 구성
-x
지정한 일치 규칙 삭제
-b
이 파일에 열린 acl 목록을 닫고 모든 acl 파라미터를 삭제합니다
-R
귀속 조작

-m–>setfacl -m u:user1:rwx file

[root@xiaoagiao file3]# getfacl aa
#file: aa
#owner: root
#group: root
user::rw-
group::r--
other::r--

[root@xiaoagiao file3]# ll -l aa
-rw-r--r--. 1 root root 0 Mar 12 05:00 aa
[root@xiaoagiao file3]# setfacl -m u:user1:rwx aa
[root@xiaoagiao file3]# ll -l aa
-rw-rwxr--+ 1 root root 0 Mar 12 05:00 aa
// ， acl。

[root@xiaoagiao file3]# getfacl aa
#file: aa
#owner: root
#group: root
user::rw-
user:user1:rwx  // user rwx， setfacl    acl  
group::r--
mask::rwx  // ，   mask 
other::r--

setfacl -m g:jerry:rwx file.acl에서 jerry 그룹의 사용자 프로필을 지정합니다.acl 이 파일은 rwx 권한이 있습니다.

setfacl-x u:user1 file -> 지정한 사용자user1의 일치 규칙 삭제

[root@xiaoagiao file3]# getfacl aa
#file: aa
#owner: root
#group: root
user::rw-
user:user1:rwx   // user1  
group::r--
group:jerry:rw-
mask::rwx
other::r--

[root@xiaoagiao file3]# setfacl -x u:user1 aa
[root@xiaoagiao file3]# getfacl aa
#file: aa
#owner: root
#group: root
user::rw-
group::r--
group:jerry:rw-  // 。
mask::rw-
other::r--

setfacl -x g:jerry file.acl -> 지정한 그룹에 대한 acl 일치 규칙을 삭제합니다.

setfacl -b file.cal -> 이 파일에 열린 acl 목록을 닫고 모든 acl 매개 변수를 삭제합니다

[root@xiaoagiao file3]# getfacl aa
#file: aa
#owner: root
group: root
user::rw-
user:user1:rwx
group::r--
group:jerry:rw-
mask::rwx
other::r--

[root@xiaoagiao file3]# setfacl -b aa
[root@xiaoagiao file3]# getfacl aa
#file: aa
#owner: root
#group: root
user::rw-
group::r--
other::r--
// acl ， acl 

setfacl -m d:g:user1 dic.acl -> 디렉터리에 acl을 지정하면 디렉터리에 새로 만든 파일은 디렉터리의 acl 일치 규칙을 계승합니다.

[root@xiaoagiao file3]# setfacl -m d:u:user1:rwx dic
[root@xiaoagiao file3]# getfacl dic
#file: dic
#owner: root
#group: root
user::rwx
group::r-x
other::r-x
default:user::rwx
default:user:user1:rwx
default:group::r-x
default:mask::rwx
default:other::r-x

[root@xiaoagiao file3]# cd dic
[root@xiaoagiao dic]# touch ad
[root@xiaoagiao dic]# getfacl ad
#file: ad
#owner: root
#group: root
user::rw-
user:user1:rwx                  #effective:rw-
group::r-x                      #effective:r--
mask::rw-
other::r--
// acl 。

7, 특수 권한

SUID:

바이너리 프로그램에만 유효합니다.

프로그램은 실행 가능한 권한이 필요합니다.

는 실행 프로그램에서만 유효합니다(프로세스).

집행자는 속주권을 가진다.

표현: 주 권한에 속하는 x가 s로 변경됩니다.

[root@xiaoagiao dic]# ls -l
total 4
-rw-r--r--. 1 root root 0 Mar 12 20:12 ad

[root@xiaoagiao dic]# chmod u+s ad  // ad s 。

[root@xiaoagiao dic]# ll -l
total 4
-rwSr--r--. 1 root root 0 Mar 12 20:12 ad
// 。X s。
// ， 。

SGID

바이너리 프로그램에만 유효합니다.

수행자는 그룹에 속할 수 있는 권한을 가진다.

프로그램은 실행 가능한 권한이 필요하다.

는 주로 디렉터리에 작용하고 디렉터리에 새 파일을 만들며 새 파일 수조는 디렉터리에 속하는 그룹 권한과 같다.

[root@xiaoagiao file3]# ll -l dic
total 4
-rw-r--r--. 1 root root 0 Mar 12 20:12 ad
[root@xiaoagiao file3]# chmod g+s dic
[root@xiaoagiao file3]# ll
total 4
drwxr-sr-x. 2 root root 4096 Mar 12 20:12 dic
// s。

SBIT

디렉토리에만 유효합니다.

사용자가 이 디렉터리에서 만든 파일은 소속 사용자와 루트만 삭제할 수 있습니다.

[root@xiaoagiao file3]# chmod o+t dic
[root@xiaoagiao file3]# ll
total 4
drwxr--r-t. 2 root root 4096 Mar 12 20:49 dic  
// t。
// root 。