重生之我要当云原生大师(五)控制对文件的访问
目录
一、解释一下Linux中的文件权限是如何工作的?
二、什么是rwx权限,他们分别代表什么?
三、如何递归的修改一个目录及其子目录的权限?
四、如何将一个新用户添加到某个组?为什么要这样做?
五、简述umask的作用。
六、如何创建一个新用户并为其分配特定的文件访问权限?
七、什么是SUID、SGID、Sticky Bit,他们分别有什么作用?
八、当你发现某个用户无法访问某个文件,你会如何排查和解决问题?
九、如何查看某个文件的权限?
解答:
一、解释一下Linux中的文件权限是如何工作的?
1. 文件权限的底层存储
在 Linux 中,每个文件或目录的权限信息都存储在其 inode 中。inode 是文件系统中的一个数据结构,用于存储文件的元数据(metadata),包括:
- 文件类型(普通文件、目录、符号链接等)。
- 文件权限(rwx 权限、特殊权限等)。
- 文件所有者(UID)和所属组(GID)。
- 文件大小、时间戳(创建时间、修改时间等)。
- 文件数据块的存储位置。
当你使用 ls -l 查看文件权限时,实际上是从文件的 inode 中读取这些信息。
2. 权限检查的流程
当用户尝试访问一个文件或目录时,Linux 内核会按照以下步骤检查权限:
步骤 1:确定用户身份
- 内核会检查当前进程的用户 ID(UID)和组 ID(GID)。
- 如果用户是 root(UID 为 0),则默认拥有所有权限(除非受到 SELinux 或 AppArmor 等安全模块的限制)。
步骤 2:匹配权限层次
内核会依次检查文件的权限层次,按照以下顺序:
- 文件所有者:
- 如果当前用户的 UID 与文件所有者的 UID 匹配,则应用文件所有者的权限。
- 文件所属组:
- 如果当前用户的 GID 与文件所属组的 GID 匹配,则应用文件所属组的权限。
- 其他用户:
- 如果当前用户既不是文件所有者,也不在文件所属组中,则应用其他用户的权限。
步骤 3:检查具体权限
- 根据匹配的权限层次,内核会检查用户是否具有所需的权限(读、写、执行)。
- 如果权限不足,内核会拒绝访问,并返回 Permission denied 错误。
3. 权限的实际作用
对文件:
- 读(r):
- 允许用户读取文件内容。
- 底层实现:内核会检查用户是否有读权限,如果有,则允许用户调用 read() 系统调用读取文件内容。
- 写(w):
- 允许用户修改文件内容。
- 底层实现:内核会检查用户是否有写权限,如果有,则允许用户调用 write() 系统调用修改文件内容。
- 执行(x):
- 允许用户将文件作为程序或脚本执行。
- 底层实现:内核会检查用户是否有执行权限,如果有,则允许用户调用 execve() 系统调用执行文件。
对目录:
- 读(r):
- 允许用户列出目录中的文件。
- 底层实现:内核会检查用户是否有读权限,如果有,则允许用户调用 getdents() 系统调用读取目录内容。
- 写(w):
- 允许用户在目录中创建、删除或重命名文件。
- 底层实现:内核会检查用户是否有写权限,如果有,则允许用户调用 unlink()、rename() 等系统调用修改目录内容。
- 执行(x):
- 允许用户进入目录或访问目录中的文件。
- 底层实现:内核会检查用户是否有执行权限,如果有,则允许用户调用 open() 系统调用访问目录中的文件。
4. 特殊权限的工作原理
SUID(Set User ID):
- 当文件设置了 SUID 位时,无论谁执行该文件,进程都会以文件所有者的权限运行。
- 底层实现:内核在执行文件时,会将进程的 有效用户 ID(EUID) 设置为文件所有者的 UID。
- 示例:/usr/bin/passwd 文件通常设置了 SUID 位,以便普通用户可以修改自己的密码(需要访问 /etc/shadow 文件)。
SGID(Set Group ID):
- 当文件设置了 SGID 位时,无论谁执行该文件,进程都会以文件所属组的权限运行。
- 对于目录,新创建的文件会继承目录的组。
- 底层实现:内核在执行文件时,会将进程的 有效组 ID(EGID) 设置为文件所属组的 GID。
Sticky Bit:
- 当目录设置了 Sticky Bit 时,只有文件所有者或 root 用户可以删除或重命名目录中的文件。
- 底层实现:内核在检查删除或重命名操作时,会额外验证用户是否是文件所有者或 root。
5. 权限与文件系统的关系
文件权限的实现依赖于文件系统的支持。常见的 Linux 文件系统(如 ext4、XFS、Btrfs 等)都支持标准的 Unix 文件权限机制。此外,一些高级文件系统(如 ZFS)还支持更细粒度的访问控制列表(ACL)。
6. 权限与安全模块的关系
Linux 内核还支持一些安全模块(如 SELinux、AppArmor),它们可以在标准文件权限的基础上提供更细粒度的访问控制。例如:
- SELinux 可以为每个文件和进程定义安全上下文,进一步限制访问。
- AppArmor 可以为每个应用程序定义访问规则,限制其可以访问的文件和资源。
总结
Linux 文件权限的工作原理可以概括为:
- 权限信息存储在文件的 inode 中。
- 内核根据用户的 UID 和 GID 匹配权限层次(所有者、组、其他用户)。
- 内核检查用户是否具有所需的权限(读、写、执行)。
- 特殊权限(SUID、SGID、Sticky Bit)会修改进程的权限或限制操作。
- 文件系统和安全模块可以进一步增强权限控制。
通过这种机制,Linux 实现了灵活而强大的文件访问控制。
二、什么是rwx权限,他们分别代表什么?
文件权限的表示
文件权限由三组权限组成,每组权限包含三个字符,分别表示读(r)、**写(w)和执行(x)**权限。权限可以用两种方式表示:
1.符号表示法:例如 rwxr-xr—
2.数字表示法:例如755
1. 符号表示法
- 每组权限由三个字符组成,顺序为:rwx(读、写、执行)。
- 如果某个权限被禁用,则用 - 表示。
- 例如:rwxr-xr-- 表示:
- 文件所有者:rwx(读、写、执行)。
- 文件所属组:r-x(读、执行)。
- 其他用户:r--(仅读)。
2. 数字表示法
- 每组权限用一个数字表示,数字的值是以下权限值的和:
- 4:读权限(r)。
- 2:写权限(w)。
- 1:执行权限(x)。
- 例如:
- 7 = 4 + 2 + 1,表示 rwx。
- 5 = 4 + 1,表示 r-x。
- 0 表示没有任何权限(---)。
- 例如:755 表示:
- 文件所有者:7(rwx)。
-
- 文件所属组:5(r-x)。
- 其他用户:5(r-x)。
文件权限的作用
- 对文件的权限:
读(r):允许用户查看文件内容。
写(w):允许用户修改文件内容
执行(x):允许用户将文件作为程序或脚本执行。
2.对目录的权限:
读(r):允许用户列出目录中的内容(ll或ls)
写(w):允许用户在目录中创建、删除或重命名文件
执行(x):允许用户进入目录(如cd)
三、如何递归的修改一个目录及其子目录的权限?
使用 chmod -R 权限 目录名
-R递归的修改权限 权限可以是符号也可以是数字
目录名:要修改的目标目录。
例如:递归设置目录及其内容的权限为 755
chmod -R 755 /path/to/directory四、如何将一个新用户添加到某个组?为什么要这样做?
1. 如何将用户添加到组
方法 1:使用 usermod 命令
usermod 命令用于修改用户属性,包括将用户添加到组。
语法:
sudo usermod -aG 组名 用户名
- -a:表示追加(append),确保用户被添加到组而不影响其现有的其他组。
- -G:指定要添加的组。
- 组名:目标组的名称。
- 用户名:要添加到组的用户名。
示例:
将用户 john 添加到组 developers:
sudo usermod -aG developers john方法 2:使用 gpasswd 命令
gpasswd 命令用于管理组,可以将用户添加到组或从组中移除。
语法:
sudo gpasswd -a 用户名 组名- -a:表示添加用户到组。
示例:
将用户 john 添加到组 developers:
sudo gpasswd -a john developers方法 3:直接编辑 /etc/group 文件
你可以手动编辑 /etc/group 文件来将用户添加到组。
- 打开 /etc/group 文件:
sudo vim /etc/group- 找到目标组,例如:
developers:x:1001:
- 在组行的末尾添加用户名,例如:
developers:x:1001:john
- 保存并退出。
2. 为什么要将用户添加到组
原因 1:管理文件访问权限
- 在 Linux 中,文件和目录的权限分为三类:所有者、组和其他用户。
- 通过将用户添加到组,可以更方便地管理用户对共享资源的访问权限。
- 例如,如果一个目录的权限设置为 770(所有者:rwx,组:rwx,其他用户:---),只有目录的所有者和组成员可以访问该目录。
原因 2:简化权限管理
- 当多个用户需要访问相同的资源时,可以将这些用户添加到同一个组,然后为组设置权限,而不需要为每个用户单独设置权限。
- 例如,在一个开发团队中,所有开发者可能需要访问同一个项目目录。将开发者添加到 developers 组,然后为组设置权限,可以简化权限管理。
原因 3:支持特殊权限
- 某些特殊权限(如 SGID)依赖于组权限。
- 当目录设置了 SGID 位时,新创建的文件会继承目录的组。
- 如果用户不在组中,则无法利用这些特殊权限。
原因 4:支持共享资源
- 在共享环境中(如服务器或开发环境),组可以用于管理共享资源(如数据库、应用程序、文件等)。
- 例如,将用户添加到 www-data 组,可以允许用户访问 Web 服务器的文件。
原因 5:符合最小权限原则
- 将用户添加到组可以确保用户仅获得必要的权限,而不是过度授权。
- 这符合安全最佳实践中的最小权限原则,有助于减少安全风险。
五、讲述umask的作用。
1.什么是umask?
unask是一个掩码,用于屏蔽新创建的文件或目录的权限
他是一个8进制的值,通常用三位数字表示
会影响文件或目录的最终权限
2.umask的工作原理?
在设置umask后,相当与屏蔽默认权限中对应的权限位。
2.umask 的作用
1. 控制文件权限
- umask 决定了新创建文件的默认权限。
- 例如,如果 umask 是 022,则新创建的文件权限为 644(rw-r--r--),即所有者可以读写,组和其他用户只能读。
2. 控制目录权限
- umask 也决定了新创建目录的默认权限。
- 例如,如果 umask 是 022,则新创建的目录权限为 755(rwxr-xr-x),即所有者可以读、写、执行,组和其他用户可以读和执行。
3. 增强安全性
- 通过设置合理的 umask 值,可以防止新创建的文件或目录被未授权的用户访问或修改。
- 例如,设置 umask 为 077 可以确保新创建的文件和目录只能由所有者访问。
4. 适应多用户环境
- 在多用户环境中,umask 可以帮助管理员控制用户创建文件或目录的权限,避免权限过于宽松导致的安全问题。
六、如何创建一个新用户并为其分配特定的文件访问权限?
1.创建新用户
使用useradd或adduser命令创建新用户
方法 1:使用 useradd 命令
sudo useradd -m 用户名- -m:创建用户的主目录(通常位于 /home/用户名)。
- 示例:
sudo useradd -m john方法 2:使用 adduser 命令(交互式)
sudo adduser 用户名- adduser 是一个交互式工具,会提示你设置密码和其他信息。
- 示例:
sudo adduser john2. 为用户设置密码
使用 passwd 命令为新用户设置密码:
sudo passwd 用户名
- 示例:
sudo passwd john3.为用户分配特定的文件访问权限:
方法:1.直接修改文件或目录的权限
2.将用户添加到组,然后为组设置权限
总结
- 使用 useradd 或 adduser 创建新用户。
- 使用 passwd 为用户设置密码。
- 通过直接修改权限或将用户添加到组的方式,为用户分配文件访问权限。
- 使用 chmod、chown 和 usermod 等命令管理权限。
- 验证权限设置是否正确。
七、什么是SUID、SGID、Sticky Bit,他们分别有什么作用?
特殊权限是除了用户、组和其他类型之外的第四种权限类型。特殊权限提供额外的访问功能,超出了基本权限的范畴。
| 权限 |
对文件的影响 |
对目录的影响 |
| u+s(suid) |
以拥有的文件的用户身份,而不是以运行文件的用户执行文件 |
无影响 |
| g+s(sgid) |
以拥有文件的组的身份执行文件 |
目录中创建的文件的组的所有者与目录的组的所有者相匹配 |
| O+t(sticky) |
无影响 |
对目录具有写入访问权限的用户仅可删除其所有的文件,而无法删除或强制保存其他用户所拥有的文件。 |
八、当你发现某个用户无法访问某个文件,你会如何排查和解决问题?
1. 确认问题
- 与用户确认具体的错误信息(如 Permission denied)。
- 确认用户尝试的操作(读取、写入、执行等)。
2. 检查文件权限
使用 ls -l 命令查看文件的权限、所有者和所属组:
ls -l 文件名
输出示例:
-rw-r--r-- 1 root root 4096 Oct 10 12:34 文件名
- 第一列 -rw-r--r-- 表示文件权限。
- root root 表示文件的所有者和所属组。
分析权限:
- 所有者权限:文件所有者(root)可以读写文件。
- 组权限:组成员(root)可以读文件。
- 其他用户权限:其他用户(包括当前用户)只能读文件。
如果用户没有访问权限,可能是因为:
- 用户不是文件的所有者。
- 用户不在文件的所属组中。
- 文件的权限没有为其他用户开放。
3. 检查用户身份
使用 id 命令查看用户的 UID、GID 和所属组:
id 用户名
输出示例:
uid=1001(john) gid=1001(john) groups=1001(john),1002(developers)
- 确认用户是否属于文件的所属组。
- 如果用户不在组中,可以将其添加到组(见下文)。
4. 检查文件所有权
如果文件的所有者或所属组不正确,可以使用 chown 和 chgrp 命令修改:
- 修改文件所有者:
sudo chown 新所有者 文件名
- 修改文件所属组:
sudo chgrp 新组 文件名
- 同时修改所有者和组:
sudo chown 新所有者:新组 文件名
5. 检查文件权限
如果文件的权限不足,可以使用 chmod 命令修改权限:
- 为所有者、组或其他用户添加权限:
sudo chmod u+rw 文件名 # 为所有者添加读写权限
sudo chmod g+r 文件名 # 为组添加读权限
sudo chmod o+r 文件名 # 为其他用户添加读权限
- 使用数字模式设置权限:
sudo chmod 644 文件名 # 所有者:读写,组和其他用户:只读
6. 检查父目录权限
如果用户无法访问文件所在的目录,也会导致无法访问文件。使用 ls -ld 检查目录权限:
ls -ld 目录名
输出示例:
drwxr-xr-x 2 root root 4096 Oct 10 12:34 目录名
- 确保用户对目录有执行权限(x),否则无法进入目录。
- 如果需要,使用 chmod 修改目录权限:
sudo chmod o+x 目录名 # 为其他用户添加执行权限
7. 检查文件系统挂载选项
如果文件位于特殊挂载的文件系统(如 NFS、tmpfs 等),可能需要检查挂载选项:
- 使用 mount 命令查看挂载选项:
mount | grep 挂载点
- 确保挂载选项没有限制用户访问(如 noexec、nosuid、ro 等)。
8. 检查 SELinux 或 AppArmor
如果系统启用了 SELinux 或 AppArmor,可能会限制用户访问文件。
检查 SELinux:
- 使用 ls -Z 查看文件的 SELinux 上下文:
ls -Z 文件名
输出示例:
-rw-r--r--. root root system_u:object_r:httpd_sys_content_t:s0 文件名
- 如果 SELinux 限制了访问,可以使用 chcon 修改上下文:
sudo chcon -t 上下文 文件名
- 如果需要临时禁用 SELinux,可以修改 /etc/selinux/config 文件,将 SELINUX 设置为 permissive 或 disabled。
检查 AppArmor:
- 使用 aa-status 查看 AppArmor 的状态:
sudo aa-status
- 如果 AppArmor 限制了访问,可以调整配置文件或禁用相关规则。
9. 检查磁盘配额
如果用户的磁盘配额已满,可能会导致无法创建或修改文件。使用 quota 命令检查配额:
quota -u 用户名
10. 检查文件是否被锁定
如果文件被其他进程锁定,可能会导致无法访问。使用 lsof 命令检查文件是否被占用:
sudo lsof 文件名
11. 总结排查步骤
- 确认用户的操作和错误信息。
- 检查文件的权限、所有者和所属组。
- 检查用户的身份和所属组。
- 检查父目录的权限。
- 检查文件系统挂载选项。
- 检查 SELinux 或 AppArmor 的限制。
- 检查磁盘配额和文件锁定情况。
九、如何查看某个文件的权限?
使用ls -l命令
若要查看目录的权限:使用ls -ld命令
后续问题将在SELinux给出