关于chmod的那些事儿

Posted by 琉璃康康 on August 24, 2017

今天讨论了一个比较有意思的话题——买房。

可能在当下华夏大地上,这个话题已经被翻来覆去咀嚼了无数遍,也是聚餐或者会面的同学朋友间会永远吐槽活着分析不完的话题。

有在北京上海房价暴涨中获利的,也有在暴涨中看空而频频错过最后叹息不止的,也有平平庸庸后知后觉的。

然后时间就推向了2016-17年,在一线城市的房价已定到达了又一个高点之后,全国都开始推出各种政策想要抑制房价,其实怎么说呢,就如同一个蓄水池一样,现在就是建立了又一个大坝做了截流,那么在下一次的泄洪过程中,下游必然要水势上涨。

所以,嗯,跟党走,啥都有;没事儿就要多读书多看报天天都要新闻联播!


言归正传。

这几天在做RHOSP的时候需要将stack用户加到sudo列表中,需要修改对应的文件权限如下:

[root@director ~]# chmod 0440 /etc/sudoers.d/stack

平常使用 chmod 命令,更多接触的是 chmod 777 file 这样的三个digits的权限修改,在看到0440这样的四digits的时候突然有点而懵。

所以今天就对 chmod 这个命令在一个详细的记录。

先来看看文件权限的那些事儿

ls -l 的一个printout为例: ls-l

1
2
3
4
5
6
7
8
9
10
11
12
13
14
1、 区域1代表了文件类型,主要有:
    d  目录文件,类似Win下的文件夹。
    l  符号链接,指向另一个文件,类似于Win下的的快捷方式。
    s  套接字文件。
    b  块设备文件,二进制文件。
    c  字符设备文件。
    p  命名管道文件。
    -  普通文件,也就是不属于以上几种类型的文件。
2、区域2表示了当前文件所属的用户,也称之为属主。
3、区域3表示了当前文件所属的用户组,也称之为属组,同时一个文件所属主可以不在其所属组里。
   2和3可以通过chown命令修改,如chown coreuser:root file1。
4、区域4表示了属主a对此文件的操作权限。
5、区域5表示了属组g对此文件的操作权限。
6、区域6表示了其他用户o对此文件的操作权限,其他用户包括除了属主和属组内的用户以外的所有用户。

再来说说其中的r、w、x:

1
2
3
4
r代表了可读权限;
w代表了可写权限;
x代表了可执行权限。
所以rwx也就是我们常说的可读可写可执行。

文件的s权限

s权限是设置SetUID和SetGID的权限,也就是让其他用户临时获取当前文件所属主或者所属组的权限,一个很好的例子就是 passwd 这个修改用户密码的命令。

在设置s权限时文件所属主、组必须先设置了相应的x权限,否则s权限并不能真正生效,因为chmod命令不进行必要的完整性检查,即使不设置x权限就设置s权限,chmod也不会报错,当我们ls -l时看到S,大写S说明s权限未生效。

我们知道在修改密码的时候是要去修改 /etc/shadow 文件的,那么我们来看看他的权限如下,也就是说只有root这个超级用户才有读写权限(虽然看不到rw等, 但是linux就是酱紫,看不明白的就是厉害的)

1
2
3
[coreuser@HK-CentOS ~]$ ls -l /etc/shadow
----------. 1 root root 885 Aug  4 12:28 /etc/shadow
[coreuser@HK-CentOS ~]$

那么问题来了,普通用户没有读取权限怎么修改自己的名字呢?我们来看一下 passwd 权限:

1
2
3
[coreuser@HK-CentOS ~]$ ls -l /usr/bin/passwd
-rwsr-xr-x. 1 root root 27832 Jun 10  2014 /usr/bin/passwd
[coreuser@HK-CentOS ~]$

可以看到在第二区域也就是所属主权限的区域内不再是rwx,而是rws,这个小s是一个非比寻常的小s,她以其妙曼的身材高速了我们这个命令是有SetUID权限了,也就是说当其他用户在运行passwd的时候临时具有了root权限,那么也可以读写 /etc/shadow 文件了。

如下,是一个在具有s的时候和取消s权限时coreuser修改自己密码的过程,可以看到当passwd没有s权限的时候,修改密码失败:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
[coreuser@HK-CentOS ~]$ ls -l /usr/bin/passwd
-rwsr-xr-x. 1 root root 27832 Jun 10  2014 /usr/bin/passwd
[coreuser@HK-CentOS ~]$ passwd
Changing password for user coreuser.
Changing password for coreuser.
(current) UNIX password:
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
[coreuser@HK-CentOS ~]$
[coreuser@HK-CentOS ~]$ su -
Password:
Last login: Fri Aug  4 16:15:20 EDT 2017 on pts/0
[root@HK-CentOS ~]# chmod 0755 /usr/bin/passwd
[root@HK-CentOS ~]# exit
logout
[coreuser@HK-CentOS ~]$ ls -l /usr/bin/passwd
-rwxr-xr-x. 1 root root 27832 Jun 10  2014 /usr/bin/passwd
[coreuser@HK-CentOS ~]$ passwd
Changing password for user coreuser.
Changing password for coreuser.
(current) UNIX password:
New password:
Retype new password:
passwd: Authentication token manipulation error
[coreuser@HK-CentOS ~]$

文件的t权限

t权限在CentOS里的解释为RESTRICTED DELETION FLAG OR STICKY BIT,简单理解就是设置了t权限的文件,只有root和所属主有权利删除此文件,那么其他用户不管是否有读写权限,都不能删除此用户。

与s权限一样,在设置t权限时文件其他用户必须先设置了相应的x权限,否则t权限也不能真正生效,因此即使不设置其他用户的x权限就设置t权限,chmod也不会报错,当我们ls -l时看到T,大写T说明t权限未生效。

比如 **/tmp* 文件:

1
2
3
[coreuser@HK-CentOS /]$ ll | grep tmp
drwxrwxrwt.   7 root root   88 Aug  4 16:59 tmp
[coreuser@HK-CentOS /]$

我们来做一个例子,在tmp下用coreuser创建一个用户,并尝试用其他用户如om_admin删除,可以看到即使使用了变态的 rm -rf 都不能将coreuser创建的文件删除:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
[coreuser@HK-CentOS /]$ cd tmp/
[coreuser@HK-CentOS tmp]$ touch stick_file_coreuser
[coreuser@HK-CentOS tmp]$ ll
total 0
-rw-rw-r--. 1 coreuser coreuser 0 Aug  4 17:04 stick_file_coreuser
[coreuser@HK-CentOS tmp]$ su om_admin
Password:
[om_admin@HK-CentOS tmp]$ ll
total 0
-rw-rw-r--. 1 coreuser coreuser 0 Aug  4 17:04 stick_file_coreuser
[om_admin@HK-CentOS tmp]$ rm stick_file_coreuser
rm: remove write-protected regular empty file ‘stick_file_coreuser’? y
rm: cannot remove ‘stick_file_coreuser’: Operation not permitted
[om_admin@HK-CentOS tmp]$ ll
total 0
-rw-rw-r--. 1 coreuser coreuser 0 Aug  4 17:04 stick_file_coreuser
[om_admin@HK-CentOS tmp]$ rm -rf stick_file_coreuser
rm: cannot remove ‘stick_file_coreuser’: Operation not permitted
[om_admin@HK-CentOS tmp]$ exit
exit
[coreuser@HK-CentOS tmp]$ rm stick_file_coreuser
[coreuser@HK-CentOS tmp]$ ll
total 0
[coreuser@HK-CentOS tmp]$

如何修改文件权限呢?

文件基本的一些权限说完了,那么如何修改权限呢?命令就是 chmod,我自己总结了如下的一张表来诠释一下chmod的多方位立体化的操作过程 chmod

1、第一种就是记住所有的字母,然后使用代表所属用户a、所属组g和其他用户o,+某种权限字母来添加权限,-某种权限字母来取消权限,比如给file1文件添加t和x权限:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
[coreuser@HK-CentOS ~]$ ll
otal 4
rwsrw-rw-. 1 coreuser coreuser  0 Aug  4 12:20 file1
rw-rw-r--. 1 coreuser coreuser 31 Aug  2 20:59 sname
rwxrwxr-x. 2 coreuser coreuser 48 Feb 24 09:58 sship
coreuser@HK-CentOS ~]$ chmod o+t file1
coreuser@HK-CentOS ~]$ ll
otal 4
rwsrw-rwT. 1 coreuser coreuser  0 Aug  4 12:20 file1
rw-rw-r--. 1 coreuser coreuser 31 Aug  2 20:59 sname
rwxrwxr-x. 2 coreuser coreuser 48 Feb 24 09:58 sship
coreuser@HK-CentOS ~]$ chmod o+x file1
coreuser@HK-CentOS ~]$ ll
otal 4
rwsrw-rwt. 1 coreuser coreuser  0 Aug  4 12:20 file1
rw-rw-r--. 1 coreuser coreuser 31 Aug  2 20:59 sname
rwxrwxr-x. 2 coreuser coreuser 48 Feb 24 09:58 sship
coreuser@HK-CentOS ~]$

2、第二种就是通过数字来直接修改,数字修改就设计到chmod里的四个区域,如下图: chmod-digits

如下,我给sname文的所属主、属组、其他用户添加了可读可写可执行权限,然后又再次设置了其s和t权限,且s包括SetUID和SetGID:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
[coreuser@HK-CentOS ~]$ ll
total 4
-rwsrw-rwt. 1 coreuser coreuser  0 Aug  4 12:20 file1
-rw-rw-r--. 1 coreuser coreuser 31 Aug  2 20:59 sname
drwxrwxr-x. 2 coreuser coreuser 48 Feb 24 09:58 sship
[coreuser@HK-CentOS ~]$ chmod 777 sname
[coreuser@HK-CentOS ~]$ ll
total 4
-rwsrw-rwt. 1 coreuser coreuser  0 Aug  4 12:20 file1
-rwxrwxrwx. 1 coreuser coreuser 31 Aug  2 20:59 sname
drwxrwxr-x. 2 coreuser coreuser 48 Feb 24 09:58 sship
[coreuser@HK-CentOS ~]$ chmod 7777 sname
[coreuser@HK-CentOS ~]$ ll
total 4
-rwsrw-rwt. 1 coreuser coreuser  0 Aug  4 12:20 file1
-rwsrwsrwt. 1 coreuser coreuser 31 Aug  2 20:59 sname
drwxrwxr-x. 2 coreuser coreuser 48 Feb 24 09:58 sship
[coreuser@HK-CentOS ~]$

以上就是根据自己的理解和实践所作的总结整理的 chmod 的全部内容。

以上实验操作全部基于CentOS 7。


欢迎关注公众号:七禾页话(qiheyehk),旅行、摄影。。。