Linux系统中的文件或目录的属性主要包括:索引节点(inode)、文件类型、权限属性、硬链接数、所归属的用户和用户组、最近修改时间等内容(文件名严格来说不属于文件的属性):
下面是我们执行ls –lih命令显示的结果:
文字解释 第一列:inode索引节点编号(如人的身份证全国唯一) 系统读取文件是首先通过文件名找到inode(全称:index node),然后才能读取文件到内容 第二列:文件类型及权限 共有10个字符,第一个字符代表为文件类型(-代表file,d代表directory),后九个字符代表为文件的权限(读、写、执行) 第三列:文件的硬链接个数 硬链接的个数好比对源文件的备份,对同一个文件的访问提供多个不同的入口,即使源文件删除了,我们依然可以访问文件本身的内容。 例如:一个超市有多个进出口,即使其中任何一个进出口封闭,我们依然可以去购物买到我们想要得东西 第四列:文件或目录所属的用户 属主,即创建文件的用户(文件的拥有者),当然我们也可以通过chown修改文件的拥有者 第五列:文件或目录所属的组 这里文件的所属用户组不是用户默认的用户组,我们可以授权给不同的用户组使其文件属于其组 第六列:文件或目录的大小 第七、八、九列:文件或目录的修改时间 查看文件属性里面的时间就是文件的修改时间mtime(全称:modify time) 第十列:实际的文件名或目录名 文件名是不属于文件的属性列表,文件名实际是属于它上一级目录的block块的内容硬盘要存储数据(房子住人),首先要分区(隔断),然后要格式化创建文件系统(装修),最后存储数据(住人)。
Inode中文意思是索引节点(全称:index node)。在每个linux存储设备或存储设备的分区(存储设备可以是硬盘、软盘、U盘……)被格式化为ext4(Centos6.7)文件系统后,一般会生成两部分:第一部分是Inode索引节点(很多个),第二部分是Block块(很多个)。
Block是用来存储实际数据用的,例如:照片、视频、音乐等普通文件数据。
Inode是用来存储这些数据的属性信息(也就是ls –l的结果),inode包含的属性信息包括文件的大小、属主、归属的用户组、读写执行权限、文件类型、修改时间,还包含指向文件实体(block块)的指针功能(inode节点—block块的对应关系)等,但inode里面唯独不包含文件名。
Inode除了记录文件属性的信息外,还会为每个文件进行信息索引(指向文件实体的指针),所以就有了inode的数值。Linux操作系统根据指令,即可通过inode的值最快的找到相对应的文件实体。
文件—inode—block之间的关系图:
举例说明: 学校教室门口贴一张纸(inode),上面有学生的位置信息,以及学生的身高,体重等信息,座位就相当于block。当我们使用ls查看某个文件或目录时,如果加上-i参数,就可以看到inode节点了,也可以使用stat查看inode以及其他的文件属性;比如文件—inode—block之间的关系图对应的例子:
方法一:ls –li 查看文件属性 [root@oldboy ~]# ls -li Wolf_File 410472 -rw-r--r-- 1 root root 12 Apr 13 23:08 Wolf_File 方法二:stat查看文件属性: [root@oldboy ~]# stat Wolf_File File: `Wolf_File' Size: 12 Blocks: 8 IO Block: 4096 regular file Device: 803h/2051d Inode: 410472 Links: 1 Access: (0644/-rw-r--r--) Uid: ( 0/ root) Gid: ( 0/ root) Access: 2018-04-13 23:08:56.841301484 +0800 #文件的查看时间 Modify: 2018-04-13 23:08:51.633299332 +0800 #文件的修改时间 Change: 2018-04-13 23:08:51.633299332 +0800 #文件权限改变的时间 [root@oldboy ~]#第一列inode值是410472;查看一个文件或目录的inode,通过ls命令的-i参数即可。
因为inode要存放文件的属性信息及指向文件实体的指针索引信息,所以每个inode本身是有大小的,Centos5 系列inode的默认大小是128字节(byte),
而Centos6系列 inode的默认大小是256字节(byte),inode的大小在分区被格式化创建文件系统之后定下来的,格式化以后就无法更改inode的大小了,格式化前可以通过参数指定inode的大小,
但是一般企业工作环境没有这个需求。
不同Centos版本inode大小不同:
Centos6系列查看inode大小: [root@oldboy ~]# dumpe2fs /dev/sda1 | grep -i "inode size" ##/boot分区默认为128byte dumpe2fs 1.41.12 (17-May-2010) Inode size: 128 [root@oldboy ~]# dumpe2fs /dev/sda3 | grep -i "inode size" dumpe2fs 1.41.12 (17-May-2010) Inode size: 256 Centos5系列查看inode大小: 由于我这里没有Centos5系统版本,想验证的可自行安装Centos5系统,使用dumpe2fs /dev/sda3 | grep -i "inode size"命令去查看。################学会给阶段性的知识做小结是学好linux运维的好习惯################
u 硬盘被分区并格式化为ext4文件系统后会生成一定数量的inode和block
u inode称为索引节点,它的作用是存放文件的属性信息以及作为文件的索引(指向文件的实体)
u ext3/ext4文件系统的block存放的是文件的实际内容
u inode是磁盘上的一块存储空间,Centos6系列版本非启动分区inode默认大小为256byte,Centos5系列版本inode默认大小为128byte
u inode的表现形式是一串数字,不同的文件对应的inode(一串数字)在文件系统里是唯一的
u 在linux文件系统中,inode节点号相同的文件,互为硬链接文件,可以认为是一个文件的不同入口
u ext3/ext4文件系统下,一个文件被创建后至少要占用一个inode和一个block
u ext3/ext4文件系统下,正常情况一个文件占用且只能占用一个inode(人和身份证)
u block是用来存储实际数据的,每个block的大小一般有1k,2k,4k几种;其中引导分区等为1k,其他普通分区多为4k(Centos6)
u 如果一个文件很大(高清大片4G),需要占多个block,如果文件很小(0.01k),至少占一个block,并且这个block的剩余空间就浪费了,即无法再存储其他数据了
u 查看inode大小和总量
[root@oldboy ~]# dumpe2fs /dev/sda3 | grep -iE "block size|inode size" dumpe2fs 1.41.12 (17-May-2010) Block size: 4096 Inode size: 256 [root@oldboy ~]# dumpe2fs /dev/sda3 | grep -iE "block count|inode count" dumpe2fs 1.41.12 (17-May-2010) Inode count: 577088 Block count: 2307840 Reserved block count: 115392 注意:默认block count一般会大于inode count的数量u 查看inode的总量是使用量(df -i)
[root@oldboy ~]# df -i Filesystem Inodes IUsed IFree IUse% Mounted on /dev/sda3 577088 52769 524319 10% / tmpfs 60785 1 60784 1% /dev/shm /dev/sda1 51200 38 51162 1% /boot /dev/sr0 0 0 0 - /mntu 查看文件的inode信息
方法一:ls –li文件inode [root@oldboy ~]# ls -li /etc/hosts 40 -rw-r--r--. 2 root root 158 Jan 12 2010 /etc/hosts 方法二:stat查看文件inode [root@oldboy ~]# stat /etc/hosts File: `/etc/hosts' Size: 158 Blocks: 8 IO Block: 4096 regular file Device: 803h/2051d Inode: 40 Links: 2 Access: (0644/-rw-r--r--) Uid: ( 0/ root) Gid: ( 0/ root) Access: 2018-04-20 00:00:50.701998104 +0800 Modify: 2010-01-12 21:28:22.000000000 +0800 Change: 2018-03-24 22:24:01.221267767 +0800u 如何生成及指定inode大小
格式化/dev/sdb1分区时指定inode大小为256byte,block大小为2048字节即2k: [root@oldboy ~]# mkfs.ext4 -b 2048 -I 256 /dev/sdb1 mke2fs 1.41.12 (17-May-2010) 文件系统标签= 操作系统:Linux 块大小=2048 (log=1) 分块大小=2048 (log=1) Stride=0 blocks, Stripe width=0 blocks 66528 inodes, 530128 blocks 26506 blocks (5.00%) reserved for the super user 第一个数据块=0 Maximum filesystem blocks=537919488 33 block groups 16384 blocks per group, 16384 fragments per group 2016 inodes per group Superblock backups stored on blocks: 16384, 49152, 81920, 114688, 147456, 409600, 442368 正在写入inode表: 完成 Creating journal (16384 blocks): 完成 Writing superblocks and filesystem accounting information: 完成 This filesystem will be automatically checked every 20 mounts or 180 days, whichever comes first. Use tune2fs -c or -i to override. 查看inode和block的大小: [root@oldboy ~]# dumpe2fs /dev/sdb1 | grep -iE "block size|inode size" dumpe2fs 1.41.12 (17-May-2010) Block size: 2048 Inode size: 256 查看inode和block总量: [root@oldboy ~]# dumpe2fs /dev/sdb1 | grep -iE "block count|inode count" dumpe2fs 1.41.12 (17-May-2010) Inode count: 66528 Block count: 530128 Reserved block count: 26506u 磁盘读取数据是按block为单位读取的
u 一个文件可能占用多个block,同时每读取一个block就会消耗一次磁盘I/O
u 如果要提升磁盘I/O性能,那就要尽可能一次性读取数据尽量的多
u 一个block只能存放一个文件的内容,无论内容有多小,如果block默认是4K大小,那么存放一个1K的文件,剩余3K的就不能再存放别的文件,只能浪费了
u Block并非越大越好,block太大对于存放小文件就会浪费磁盘空间,例如:1000K的文件;block大小为4K,占用250个block,如果block默认为1K,则需要占1000个block;
访问效率谁更高?消耗I/O分别250次和1000次;当然是block大小为4K时访问效率更高
u 根据业务需求,确定默认的block大小,如果是大文件(大于16K)一般设置block大一点,小文件(小于1K)一般设置block小一点
u Block太大,例如4K,文件都是0.1K的则会大量浪费磁盘空间,但是访问效率高
u Block太小,例如1K,文件都是1000K的则会消耗大量的磁盘I/O,访问效率比较低
u Block大小设置也是格式化分区时确定的,命令为mkfs.ext4 -b 2048 -I 256 /dev/sdb1
u 企业里文件都会比较大(一般会大于4K),block设置大一些会提升磁盘访问效率
u ext3/ext4文件系统(Centos5和6),一般都设置为4K(Centos7默认文件系统为xfs)
u 磁盘被分区格式化文件系统后,会分为inode和block两部分内容
u Inode存放文件的属性以及指向文件实体的指针,文件名不包含在inode里,一般是存放在上级目录的block里
u 访问文件过程原理:文件名àinodeàblocks
u Inode一般情况默认大小为256byte,block大小为1K,2K,4K,默认为4K,注意:引导分区/boot等特殊分区除外
u 通过df –i查看inode的数量以及使用情况,dumpe2fs /dev/sda3查看inode及block的大小及总数量
u 一个文件至少要占用一个inode和一个block,多个文件可以占用同一个inode(硬链接),即相同文件
u 一个block只能被一个文件使用,如果文件很小block很大,剩余空间浪费,无法继续被其他文件使用
u Block不是越大越好,要根据业务的文件大小进行选择,一般Centos6就是默认4K
u 可以在格式化分区时指定inode和block大小(mkfs.ext4 -b 2048 -I 256 /dev/sdb1)
在linux系统,可以说一切(包括目录、普通文件、设备等)皆文件。文件类型包含有普通文件、目录、字符设备文件、块设备文件、符号链接文件、管道文件等等
图一 文件类型对应说明图
文件类型标识符
文件类型说明
d(directory)
表示这是一个目录
-(regular file)
表示这是一个普通文件
l(link)
表示这个一个符号链接文件,实际上它指向另一个文件,即windows快捷方式
b(block)
表示块设备和其他外围设备,是特殊类型的文件(/dev)
c(character)
表示字符设备文件(/dev)
s (socket)
表示Socket文件,如:网络通信是产生的包
p(named pipe)
表示管道文件
#####通过ls –l显示文件属性后,第一列的第一个字符就是用来区分文件类型的#####
find命令查看文件类型(-type参数)
-type c File is of type c: b block (buffered) special c character (unbuffered) special d directory p named pipe (FIFO) f regular file l symbolic link; s socket D door (Solaris)如上文所示,当我们执行ls –ld 目录名时,可以看到第一列内容为drwxr-xr-x,第一个字符带d的文件就表示是目录,目录在linux系统中是比较特殊的文件
创建目录的命令可以用mkdir命令或者cp命令(带-r or –a参数),cp可以把一个目录复制为另一个目录;删除目录用rm –r或rmdir(删除空目录)命令
区别目录和文件:
ls –F命令在目录后面加/来区分文件和目录: [root@oldboy ~]# ls -F 1.py copied.txt install.log stu1/ teacher1/ Wolf_File copied.txt. install.log.syslog stu2/ teacher2/ anaconda-ks.cfg copied.txt.bak oldboy/ stu3/ tree命令显示当前目录下所有的文件: [root@oldboy ~]# tree . . |-- 1.py |-- Wolf_File |-- anaconda-ks.cfg |-- copied.txt |-- copied.txt. |-- copied.txt.bak |-- install.log |-- install.log.syslog |-- oldboy |-- stu1 |-- stu2 |-- stu3 |-- teacher1 | |-- a | `-- b `-- teacher2 |-- a `-- b 10 directories, 8 files tree命令只显示当前目录下的目录文件: [root@oldboy ~]# tree -d . . |-- oldboy |-- stu1 |-- stu2 |-- stu3 |-- teacher1 | |-- a | `-- b `-- teacher2 |-- a `-- b 10 directories tree命令只显示当前目录下一级目录: [root@oldboy ~]# tree -Ld 1 . . |-- oldboy |-- stu1 |-- stu2 |-- stu3 |-- teacher1 `-- teacher2 6 directoriesLinux中每个文件或者目录都有一组共9个基础权限位,每三位字符被分为一组,他们分别是属主权限位(占三个字符)、用户组权限位(占三个字符)、其他用户权限位(占三个字符);比如rwxr-xr-x,在linux中正是这9个字符权限位来控制文件属主、用户组以及其他用户的权限
文件权限示例图
文字解释: r(read)代表读权限,用数字4表示 w(write)代表写权限,用数字2表示 x(execute)代表执行权限,用数字1表示 -代表没有权限,用数字0表示 前三位:代表文件属主/用户(owner/user) 中三位:代表文件用户组(group) 后三位:代表其他用户(other) 说明:特殊权限位:t T s S x X
如果oldboy用户存在的话就用下面修改用户组的命令进行修改
[root@oldboy home]# usermod -g incahome oldboy模拟演练环境:
打开四个窗口分别用root、oldboy、oldgril、test用户登录
分别测试oldboy、oldgril、test用户对上述test.sh文件的权限
实操一:
[root@oldboy ~]# ls -lh /oldboy/test.sh -rwxr-xr-x 1 root root 17 Apr 27 21:14 /oldboy/test.sh结论1:
oldboy、oldgril、test三个用户拥有同样的其他用户的权限,即读和执行,没有写的权限实操二:
[root@oldboy ~]# chown oldboy.incahome /oldboy/test.sh [root@oldboy ~]# ls -l /oldboy/test.sh -rwxr-xr-x 1 oldboy incahome 17 Apr 27 21:14 /oldboy/test.sh结论2:
oldboy用户拥有对应用户的权限,即读、写和执行的权限 oldgril用户拥有对应用户组(incahome)的权限,即读和执行的权限,没有写的权限 test用户拥有对应其他用户的权限,即读和执行的权限,没有写的权限实操三:
[root@oldboy ~]# chmod g+w,o-x /oldboy/test.sh [root@oldboy ~]# ls -l /oldboy/test.sh -rwxrwxr-- 1 oldboy incahome 25 Apr 27 21:26 /oldboy/test.sh总结文件测试结论:linux普通文件的读、写、执行权限说明:
1. 可读r:表示具有读取\阅读文件内容的权限 2. 可写w:表示具有新增、修改文件内容的权限 如果没有r配合,那么vi编辑文件会提示无法编辑(但可强制编辑),echo可以重定向或追加 特别提示:删除文件(修改文件名等)的权限是受父目录(即上一级目录)的权限控制,和文件本身(即文件名)权限无关 3. 可执行x:表示具有执行文件的权限 文件本身要能够执行 普通用户同时还需要具备r的权限才能执行 root只要有x的权限就能执行 win32下可执行文件:*.exe,*.bat,*.com linux下可执行文件:*.sh,*.py,*.perl等有关文件删除的说明:
Linux中的文件名是存在于父目录的block里面,并指向这个文件的inode节点,这个文件的inode节点再标记指向存放这个文件的block的数据块。我们删除一个文件,实际上并不清楚inode节点和block的数据。只是在这个文件的父目录里面的block中,删除这个文件的名字和这个文件inode的对应关系,使这个文件名消失,并且无法指向这个文件的inode节点,当没有文件名指向这个inode节点的时候,系统会同时释放inode节点和存放这个文件的数据块,并更新inode MAP和block MAP,让这些位置可以用于放置其他新的文件数据。图一 详细描述读取/oldboy/test.sh文件的流程图
因此,修改和删除文件名都是在操作文件的上级目录的block,修改或删除的是文件名和inode的关联数据,所以删除文件是和上级目录权限关联范例:实操体会目录权限
开启两个窗口通过两个用户演示上面的权限。一个是root,一个是oldboy用户,一个是oldgril用户,一个是test用户
演示环境准备:
[root@oldboy ~]# mkdir /oldboy/test -p [root@oldboy ~]# ls -ld /oldboy/test drwxr-xr-x 2 root root 4096 Apr 27 23:39 /oldboy/test测试目录的rwx:
特别是文件的删除总结目录测试结论:linux目录的读、写、执行权限说明:
1、可读r:表示具有浏览目录下面文件及子目录的权限,即ls dir 如果没有x权限,不能进到目录里,即无法(cd dir) 如果没有x权限,ls列表时可以看到所有文件名,但是会提示无权访问目录下文件 如果ls -l列表,所有的属性会带有问号,也会提示无权访问目录下文件,但可以看到所有文件名 2、可写w:表示具有增加、删除或修改目录内文件名(一般指文件名)的权限(需要x权限配合) 3、可执行x:表示具有进入目录的权限,例如:cd dir;但是没有r无法列表文件及目录,没有w无法新建和删除chmod是用来改变文件和目录权限的命令,但只有文件的属主和超级用户root才有这种权限。通过chmod来改变文件或目录的权限有两种方法:一种是通过权限字母和操作符表达式的方法来设置权限;另一种是使用数字方法(常用)来设置权限。
命令格式:
chmod [数字组合] 文件名
chmod [数字组合] 目录名 -R参数可递归生效(该目录下所有文件或子目录一起改变)
数字意义说明:
r 4 w 2 x 1 - 0 rwxr-xr-x 755 目录默认权限 rw-r--r-- 644文件默认权限每个三位的权限代码(分别是属主、属组、其它用户)组合,有8种可能:
八进制 权限 0 --- 1 --x 2 -w- 3 -wx 4 r-- 5 r-x 6 rw- 7 rwx演示实例:
[root@oldboy oldboy]# ls -l test.sh -rw-r--r-- 1 oldboy incahome 29 Apr 27 21:59 test.sh [root@oldboy oldboy]# chmod 665 test.sh [root@oldboy oldboy]# ls -l test.sh -rw-rw-r-x 1 oldboy incahome 29 Apr 27 21:59 test.sh [root@oldboy oldboy]# chmod 715 test.sh [root@oldboy oldboy]# ls -l test.sh -rwx--xr-x 1 oldboy incahome 29 Apr 27 21:59 test.sh命令格式:
Chmod [用户类型] [+ | - | =] [权限字符] 文件名
表一 详细说明表
chmod
用户类型
操作字符
权限字符
文件和目录
U(user)
+(增加)
r
G(group
-
O(others)
-(减少)
w
A(all)
=(设置)
x
文字说明:
+:添加某个权限 -:取消某个权限 =:取消其他所有权限赋予给定的权限演示实例:
[root@oldboy oldboy]# ls -l test.sh -rw-r--r-- 1 oldboy incahome 29 Apr 27 21:59 test.sh [root@oldboy oldboy]# chmod u+x test.sh [root@oldboy oldboy]# ls -l test.sh -rwxr--r-- 1 oldboy incahome 29 Apr 27 21:59 test.sh [root@oldboy oldboy]# chmod g+w test.sh [root@oldboy oldboy]# ls -l test.sh -rwxrw-r-- 1 oldboy incahome 29 Apr 27 21:59 test.sh [root@oldboy oldboy]# chmod u-x,g-w,o-r test.sh [root@oldboy oldboy]# ls -l test.sh -rw-r----- 1 oldboy incahome 29 Apr 27 21:59 test.sh [root@oldboy oldboy]# chmod a=rw test.sh [root@oldboy oldboy]# ls -l test.sh -rw-rw-rw- 1 oldboy incahome 29 Apr 27 21:59 test.sh [root@oldboy oldboy]#创建目录dir与创建文件file实例
[root@oldboy test]# mkdir dir [root@oldboy test]# touch file [root@oldboy test]# ls -lrt total 4 drwxr-xr-x 2 root root 4096 Apr 29 15:12 dir ->创建目录默认权限为755 -rw-r--r-- 1 root root 0 Apr 29 15:12 file –>创建文件默认权限为644 说明:root超级用户创建目录默认权限为755,文件默认权限为644问题:为什么默认权限目录是755,文件是644而不是其他的值呢?
不管是操作系统还是网站站点目录,安全权限的临界点: 1)目录755,文件644是相对安全的权限 2)用户为root,用户组为root 注意:生产工作中一定尽量要文件和目录达到以上默认权限,其用户和属组都是root Linux系统默认权限的方针:允许浏览、查看,但禁止创建文件、修改文件内容以及执行文件实际是由/etc/bashrc文件控制:
[root@oldboy ~]# umask 0022 ->root超级用户系统默认的umask值 [root@oldboy ~]# sed -n '65,69p' /etc/bashrc if [ $UID -gt 199 ] && [ "`id -gn`" = "`id -un`" ]; then umask 002 else umask 022 fi umask值为002,举例: [oldboy@oldboy ~]$ ls -l file1 -rw-rw-r-- 1 oldboy oldboy 0 Apr 29 16:13 file1 [oldboy@oldboy ~]$ id uid=502(oldboy) gid=503(oldboy) groups=503(oldboy) [oldboy@oldboy ~]$ umask 0002 umask值为022,举例: [oldboy@oldboy ~]$ ls -l file -rw-r--r-- 1 oldboy incahome 0 Apr 29 16:07 file [oldboy@oldboy ~]$ id uid=502(oldboy) gid=502(incahome) groups=502(incahome) [oldboy@oldboy ~]$ umask 0022文件权限计算方法:
root用户下默认文件权限计算方法 1)假设umask值为:022(所有位为偶数) 6 6 6 ==>文件的起始权限值 0 2 2 – ==>umask值(采用减法) ---------- 6 4 4 ==>创建文件默认权限值 2)假设umask值为:045(所有是奇数的位要加1) 6 6 6 ==>文件的起始权限值 0 4 5 – ==>umask值(采用减法) ---------- 6 2 1 ==>计算出来的权限值 0 0 1 + ==>由于umask最后一位是5,在其他用户位再加1(采用加法) --------- 6 2 2 ==>真实文件权限(即创建文件默认权限值)特殊权限位基本说明:
Linux系统基本权限位为9位权限,但还有额外3位权限位,共12位权限 suid s(有x) S 4 用户对应的权限位(用户对应的3位上) sgid s(有x) S 2 用户组对应的权限位(用户组对应的3位上) sticky t(有x) T 1 其他用户对应的权限位如何查找系统(/usr/bin)目录中设置suid的命令
方法一: [root@oldboy oldboy]# find /usr/bin -type f -perm 4755 | xargs ls -l -rwsr-xr-x. 1 0 root 54240 Jan 30 2012 /usr/bin/at -rwsr-xr-x. 1 0 root 66352 Dec 8 2011 /usr/bin/chage -rwsr-xr-x. 1 0 root 51784 Nov 23 2013 /usr/bin/crontab -rwsr-xr-x. 1 0 root 71480 Dec 8 2011 /usr/bin/gpasswd -rwsr-xr-x. 1 0 root 36144 Dec 8 2011 /usr/bin/newgrp -rwsr-xr-x. 1 0 root 30768 Feb 22 2012 /usr/bin/passwd -rwsr-xr-x. 1 0 root 27576 Sep 20 2013 /usr/bin/pkexec 方法二: [root@oldboy oldboy]# find /usr/bin -type f -perm 4755 -exec ls -l {} \; 取消suid设置命令: [root@oldboy oldboy]# find /usr/bin -type f -perm 4755 | xargs chmod u-s [root@oldboy oldboy]# find /usr/bin -type f -perm 4755 -exec chmod u-s {} \;如何查找系统(/usr/bin)目录中设置sgid的命令
[root@oldboy oldboy]# find /usr/bin -type f -perm 2755 | xargs ls -l -rwxr-sr-x. 1 0 nobody 125000 Nov 23 2013 /usr/bin/ssh-agent -rwxr-sr-x. 1 0 tty 12016 Nov 22 2013 /usr/bin/write特殊权限对应数字总结:
suid 4000 权限字符s(S),用户位的x位上设置 授权方法:chmod 4755 /bin/rm 或chmod u+s /bin/rm sgid 2000 权限字符s(S),用户组位的x位上设置 授权方法:chmod 2755 /bin/rm 或chmod g+s /bin/rm 粘滞位1000权限字符t(T),其他用户位的x位上设置 授权方法:chmod 1777 /tmp 或chmod o+t /tmp 如果对应位有x则字符权限表现为小写,否则表现为大写 tmp经典的粘滞位目录案例,特点是谁都有写权限,因此安全成问题。常常是木马第一手跳板地点特殊权限总结:
1)suid是什么、作用,passwd命令案例,如何设置使用rm案例 2)sgid是什么、作用,文件locate案例。共享目录用户组案例 3)粘滞位是什么、作用,/tmp目录案例 4)以数字及字符方式更改权限,chmod命令 5)更改文件用户和组,chown命令 6)更改用户组,chgrp命令 7)chattr更改文件属性(linux安全优化) 命令格式: chattr - change file attributes on a Linux file system chattr [ -RVf ] [ -v version ] [ mode ] files... The format of a symbolic mode is +-=[acdeijstuADST]. -R参数代表递归改变目录以及目录下面的文件的属性 mode指定模式 + 代表添加属性到已有其他属性的文件中 - 代表从已有属性文件中删除指定的属性 = 代表取消原有的属性设置成指定的属性 i 代表锁定文件使其不可变(linux安全优化常用模式)[immutable 不可变] a 代表文件只有追加属性(append only) 演示实例: [root@oldboy ~]# chattr +i /etc/{passwd,shadow,group,gshadow,inittab} [root@oldboy ~]# lsattr /etc/{passwd,shadow,group,gshadow,inittab} ----i--------e- /etc/passwd ----i--------e- /etc/shadow ----i--------e- /etc/group ----i--------e- /etc/gshadow ----i--------e- /etc/inittab [root@oldboy ~]# chattr -i /etc/{passwd,shadow,group,gshadow,inittab} [root@oldboy ~]# lsattr /etc/{passwd,shadow,group,gshadow,inittab} -------------e- /etc/passwd -------------e- /etc/shadow -------------e- /etc/group -------------e- /etc/gshadow -------------e- /etc/inittab 8)lsattr查看文件属性 命令格式: lsattr - list file attributes on a Linux second extended file sys-tem lsattr [ -RVadv ] [ files... ] 参数: -R 代表递归列出目录以及目录下面的文件的属性 -a 代表显示目录中所有文件,包含”.”与”..”隐藏文件 -d 代表只显示目录本身的属性,而不显示目录下包含的文件属性 演示实例: [root@oldboy ~]# lsattr /etc/{passwd,shadow,group,gshadow,inittab} -------------e- /etc/passwd -------------e- /etc/shadow -------------e- /etc/group -------------e- /etc/gshadow -------------e- /etc/inittabchown(change owner)
当我们要改变一个文件的属主,我们所使用的用户必须是该文件的属主而且同时是目标属组成员,或超级用户。只有超级用户才能改变文件的属主chown语法:
chown [选项]…[所有者][:[用户组]] 文件……模拟环境:
[root@oldboy oldboy]# ls -l test.sh -rw-rw-rw- 1 oldboy incahome 29 Apr 27 21:59 test.sh常用的更改方法:
chown 用户 文件或目录 <==仅仅授权用户 演示实例: [root@oldboy oldboy]# chown oldgril test.sh [root@oldboy oldboy]# ls -l test.sh -rw-rw-rw- 1 oldgril incahome 29 Apr 27 21:59 test.sh chown :组 文件或目录 <==仅仅授权组 等同于“chgrp 组 文件或目录” 演示实例: [root@oldboy oldboy]# chown :oldboy test.sh [root@oldboy oldboy]# ls -l test.sh -rw-rw-rw- 1 oldgril oldboy 29 Apr 27 21:59 test.sh chown 用户:组 文件或目录 <==表示授权用户和组 演示实例: [root@oldboy oldboy]# chown test:test test.sh [root@oldboy oldboy]# ls -l test.sh -rw-rw-rw- 1 test test 29 Apr 27 21:59 test.sh chgrp 组 文件或目录 演示实例: [root@oldboy oldboy]# chgrp incahome test.sh [root@oldboy oldboy]# ls -l test.sh -rw-rw-rw- 1 test incahome 29 Apr 27 21:59 test.sh强调:
1)其中的冒号”:”可以用点号”.”替代 2)要授权的用户和组名,必须是linux系统中实际存在的在linux系统中,链接可分为两种:一种为硬链接(Hard Link),另一种为软链接或符号链接(Symbolic Link or Soft Link);使用ln命令就是创建链接文件,在默认不带参数的情况下,执行ln命令创建的链接是硬链接
如果使用ln –s创建链接则为软链接,前面文件类型为l(字母L)的是软链接
软硬链接使用语法:
硬链接:ln 源文件 目标文件
软链接:ln –s 源文件 目标文件(目标文件事先不能存在)
硬链接是指通过索引节点(Inode)来进行链接。在linux(ext2,ext3,ext4)文件系统中,保存在磁盘分区中的文件不管是什么类型都会给它分配一个编号,这个编号被称为索引节点编号(Inode index)简称Inode,即在系统中文件的编号。
在linux文件系统中,多个文件指向同一个索引节点(Inode)是正常允许的。这种情况的文件称为硬链接。提示:硬链接文件就相当于文件的另外一个入口。硬链接的作用之一是允许一个文件拥有多个有效路径名(多个入口),这样用户就可以建立硬链接到重要的文件,以防止“误删”源数据(很多硬件存储,如netapp存储中的快照功能就应用了这个原理,增加一个快照就多了一个硬链接)。为什么一个文件建立了硬链接就会防止数据误删呢?
因为文件系统(ext2)的原理是只要文件的索引节点(inode)还有一个以上的硬链接。只删除其中一个硬链接(即仅仅删除了该文件的链接指向)并不影响索引节点本身和其他的链接(即数据文件实体并未被删除),只有当文件的最后一个链接被删除后,此时如果有新数据要存储到硬盘上时或者系统通过类似fsck做磁盘检查的时候。被删除文件的数据块及目录的链接才会被释放,空间被新数据占用并覆盖。此时,数据就再也无法找回了。也就是说,在linux系统中,删除静态文件(没有进程调用)(目录也是文件)的条件是与之相关的所有硬链接文件均被删除
硬链接原理图:
硬链接示意图:
软链接(Soft Link)也称为符号链接(Symbolic link)。Linux里的软链接文件就类似于Windows系统中的快捷方式。Linux里的软链接文件实际上是一个特殊的文件,文件类型为l。软链接文件实际上可以理解为一个文本文件,这个文件中包含有软链接指向另一源文件的位置信息内容,因此,通过访问这个“快捷方式”就可以迅速定位到软链接所指向的源文件实体
软链接原理图:
查看软链接的value(源文件)值的方法:
readlink - print value of a symbolic link or canonical file name ##查看软链接value(源文件) [root@oldboy ~]# ls -ld /application/apache lrwxrwxrwx 1 root root 25 Mar 15 01:02 /application/apache -> /application/apache2.2.17 [root@oldboy ~]# readlink /application/apache /application/apache2.2.17 [root@oldboy ~]#软链接的创建:
执行命令“ln –s 源文件 软链接文件”,即可完成软链接的创建
误区:创建软链接源文件是需要存在的,要创建的软链接文件是不能事先存在的
1) 软链接类似windows系统的快捷方式(readlink查看其指向)
2) 软链接类似一个文本文件,里面存放的是源文件的路径,指向源文件实体
3) 删除源文件,软链接文件依然存在,但是无法访问指向的源文件路径内容了
4) 失效的时候一般是白字红底闪烁提示soft_link_c -> a
5) 执行命令“ln –s 源文件 软链接文件”,即可完成创建(目标文件不能存在)
6) 软链接和源文件是不同类型的文件,也是不同的文件,inode也不相同
7) 软链接文件的文件类型为(l),是普通文件,可以使用rm命令删除
文件示例(创建软硬链接)
[root@oldboy ~]# mkdir /test/oldboy -p [root@oldboy ~]# cd /test/oldboy/ [root@oldboy oldboy]# touch oldboyfile #创建一个测试文件oldboyfile [root@oldboy oldboy]# ln oldboyfile oldboyfile_hard_link #创建硬链接 [root@oldboy oldboy]# ln -s oldboyfile oldboyfile_soft_link #创建软链接 [root@oldboy oldboy]# ls -li total 0 142211 -rw-r--r-- 2 root root 0 Apr 16 05:36 oldboyfile 142211 -rw-r--r-- 2 root root 0 Apr 16 05:36 oldboyfile_hard_link 142212 lrwxrwxrwx 1 root root 10 Apr 16 05:37 oldboyfile_soft_link -> oldboyfile [root@oldboy oldboy]# readlink oldboyfile_soft_link #查看软链接value oldboyfile目录示例(软硬链接)
[root@oldboy oldboy]# mkdir oldboydir #创建一个测试文件oldboydir [root@oldboy oldboy]# ln oldboydir oldboydir_hard_link ln: `oldboydir': hard link not allowed for directory #为什么目录不允许创建硬链接?原因是创建目录硬链接不能够跨文件系统,如果不同的分区上面有相同的inode所以节点导致系统数据存储混乱,故不能创建硬链接(目录) [root@oldboy oldboy]# ln -s oldboydir oldboydir_soft_link #创建软链接,目录软链接在生产环境经常用到,硬链接用的不多 [root@oldboy oldboy]# ls -litr total 4 142211 -rw-r--r-- 2 root root 0 Apr 16 05:36 oldboyfile_hard_link 142211 -rw-r--r-- 2 root root 0 Apr 16 05:36 oldboyfile 142212 lrwxrwxrwx 1 root root 10 Apr 16 05:37 oldboyfile_soft_link -> oldboyfile 142215 drwxr-xr-x 2 root root 4096 Apr 16 05:43 oldboydir 142216 lrwxrwxrwx 1 root root 9 Apr 16 05:44 oldboydir_soft_link -> oldboydir删除实例(软硬链接)
[root@oldboy oldboy]# echo "this is oldboyfile" >> oldboyfile #往创建的测试文件源文件 [root@oldboy oldboy]# cat oldboyfile this is oldboyfile [root@oldboy oldboy]# cat oldboyfile_hard_link this is oldboyfile [root@oldboy oldboy]# cat oldboyfile_soft_link this is oldboyfile [root@oldboy oldboy]# 结论:往源文件oldboyfile里写入内容后,它的软硬链接文件同样都有相同的内容通过以上测试,我们可以得出以下几个结论:
删除软链接文件,对源文件和硬链接文件无任何影响删除硬链接文件,对源文件和软链接文件无任何影响删除源文件,对硬链接文件没有影响,但是会导致软链接文件失效,白字红底闪烁同时删除源文件和硬链接文件,整个文件会真正的被删除源文件和硬链接文件具有相同的索引节点号(inode),可以认为是同一个文件或一个文件的多个入口源文件和软链接文件索引节点号(inode)不同,是不同的文件,软链接相当于源文件的快捷方式,包含源文件的位置指向请问下面的目录(oldboy)的链接数为什么为3?
[root@oldboy oldboy]# ls -lid ../oldboy/ -a 410473 drwxr-xr-x 3 root root 4096 4月 15 01:01 ../oldboy/ 原因如下:(oldboy目录本身,oldboy目录下的“.”,oldboy目录下test子目录的“..”) [root@oldboy oldboy]# ls -lid ../oldboy/ 410473 drwxr-xr-x 3 root root 4096 4月 15 01:01 ../oldboy/ [root@oldboy oldboy]# ls -lid ../oldboy/. 410473 drwxr-xr-x 3 root root 4096 4月 15 01:01 ../oldboy/. [root@oldboy oldboy]# ls -lid ../oldboy/test/.. 410473 drwxr-xr-x 3 root root 4096 4月 15 01:01 ../oldboy/test/.. [root@oldboy oldboy]#首先,我们先说明Linux系统是一个多用户、多任务的操作系统。在linux系统中,由于角色的不同,权限和所完成的任务也是不同的;对于linux系统来说,用户的角色是通过UID和GID识别的:特别是UID,在linux系统运维工作中,一个UID是唯一标识一个系统的用户账号(相当于我们的身份证),linux系统仅能够识别的是UID和GID这样的数字。
用户的UID就相当于我们的身份证一样,用户名就相当于我们的名字。
UID(User Identify)中文用户ID,相当于各位的身份证,在系统中是唯一的
GID(Group Identify)中文用户组ID,相当于各位的家庭或者学校ID
Linux系统中用户角色划分为:超级用户(root)、普通用户(自建的用户,UID在500之后,如日常ssh远程登录管理linux操作系统)、虚拟用户(供系统服务进程调用的,如ngnix、apache、ntp等)
有关UID限制说明类比表
UID整数范围
UID用户角色
具备UID用户特性
0
超级用户(root皇帝)
当用户的UID为0时,表示这个账号为超级管理员账号,如果要增加一个系统管理员账号的话,只需将该账号的UID改成0即可。生产环境不建议这么做,使用sudo替代即可。
1-499
虚拟用户(傀儡)
这个范围是保留给系统使用的UID,之所以这样划分,是为了防止人为简历账户的UID和系统的UID之间冲突。并没有其他特殊的含义。在/etc/passwd文件中的虚拟用户的UID都会在这个范围内。除了0之外,所有的UID在使用上没有任何区别。安装系统后默认就会存在,且默认情况大多数不能登录系统shell为/sbin/nologin
满足条件:每个文件和进程,都需要对应一个用户和用户组
500-65535
普通用户(百姓)
普通账户UID,当使用useradd gandalf建立账户时,默认情况下UID就是从500开始的。当然,我们也可以指定UID来创建或修改账户的UID
文字说明:
1) 一对一:即一个用户可以存在一个组中,也可以是组中唯一的成员。如:root 2) 一对多:即一个用户可以存在于多个用户组中。比如,上图中普通用户oldboy可以是sa组成员,也可以是java用户组成员,还可以是tech用户组成员,这里的oldboy用户具有sa、java、tech多个组的共同权限 3) 多对一:即多个用户可以存在于一个组中,这些用户具有和组相同的权限 4) 多对多:即多个用户可以存在多个组中,并且几个用户可以归属相同的组;其实多对多的关系是前面三条的扩展新用户创建涉及到四个配置文件包括:/etc/passwd,/etc/shadow,/etc/group,/etc/gshadow,每创建一个新用户都会向这四个配置文件中追加一行用户内容信息
用户/etc/passwd配置文件7列说明:
root
:x
:0
:0
:root
:/root
:/bin/bash
账户名称
:账户密码
:账户UID
:账号组GID
:用户说明
:用户家目录
:shell解释器
用户密码/etc/shadow配置文件说明:
小结论
useradd创建用户会更改/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow passwd设置用户密码会更改/etc/shadow用户组/etc/group配置文件说明
字段名称
注释说明
用户组名
该组的名称
用户组密码
通常不需要设置该密码,由于安全原因,该密码被记录在/etc/gshadow中,因此显示为“x”,类似用户密码被记录在/etc/shadow
GID
用户组ID
用户组成员
加入这个组的所有用户账号
[root@oldboy ~]# grep "wheel" /etc/group
wheel:x:10:gandalf
转载于:https://www.cnblogs.com/Wolf-Dreams/p/10692835.html
