由Linux 警告:Permison denied引发的思考

2020-03-19  本文已影响0人  Megatron7

在使用Linux中,我们经常遇到Permisson denied错误。是不是一股脑的加上sudo或者切换root用户继续执行,没有理解背后的逻辑。今天就来掰扯掰扯Linux的DAC(Discretionary Access Control,自主访问控制)。

Tips:本文所引用的关键性名词、内容归类可能会与标准所不同。请灵活理解

在Nginx的使用过程中或执行某些命令(rm -f),经常性的遇见Permisson denied。这让我很苦恼,就算我把默认rwx普通权限弄明白,还是会遇到这类问题。那就是问题已经超出的我的认知了,需要我进一步探究了。

普通权限

普通权限划分为:rwx,分别用421表示。4对应r(可读),2对应w(写入),1对应x(执行)。rwx共有3组。第一组表示:所属者的权限。第二组表示:所属组的权限。第三组表示:其它用户的权限。
rwx作用于文件和文件夹的效果是不一样的。

r w x
文件 表示可以读取文件的内容 表示可以新增、修改文件的内容 表示文件可以被执行
文件夹 可以查看文件夹下的目录结构 可以新增、修改、移动、删除其中的文件和文件夹 表示用户可以进入文件夹

举个例子:

[root@VM_0_10_centos ~]# su work
bash-4.1$ ll
bash: ll: command not found
bash-4.1$ ls
ls: 无法打开目录.: 权限不够
bash-4.1$ pwd
/root
bash-4.1$ ls -ahld /root
dr-xr-x---. 18 root root 4.0K 3月  19 13:39 /root

这里/root目录显示的
所属者为:root,权限为:r-x,
所属组为: root, 权限为:r-x,
其它者权限为:---

可以理解成:
(当然root超级管理员可以无视权限,它是在DAC之上)

改变目录、文件权限。

命令 含义 示例
chown 主要用户修改文件、目录的所属者 chown [-R] work /home/work/test
chgrp 用来修改文件、目录的所属组 chgrp [-R] work /home/work/demo
chmod 可以修改权限范围 chmod [-R] 755 /home/work/temp

默认权限

在新建文件、目录的时候,是不是系统都会赋予该文件、目录一定的权限。这里就是默认权限在起作用。

新建的文件权限 = 666(文件的最大默认权限)- umask
新建的目录权限 = 777(目录的最大默认权限)- umask

[root@VM_0_10_centos test]# umask
0022
# 第一个0表示特殊权限(接下来会讲),022代表基础权限。用上面的知识来套
[root@VM_0_10_centos test]# touch demo.txt # 新建文件
[root@VM_0_10_centos test]# mkdir temp # 新建目录
[root@VM_0_10_centos test]# ls -al
总用量 4
-rw-r--r-- 1 root root    0 3月  19 14:05 demo.txt
drwxr-xr-x 2 root root 4096 3月  19 14:05 temp
demo.txt = 666 - 022 => rw-rw-rw- - ----w--w- => rw-r--r--
temp     = 777 - 022 => rwxrwxrwx - ----w--w- => rwxr-xr-x

Tips:

特殊权限

为什么/etc/passwd文件其它用户没有写的权利,却可以通过passwd命令来操作里面的数据呢

SUID

[root@VM_0_10_centos test]# ll /usr/bin/passwd
-rwsr-xr-x. 1 root root 30768 2月  22 2012 /usr/bin/passwd
[root@VM_0_10_centos test]# ll /etc/passwd
-rw-r--r-- 1 root root 1191 12月 23 13:32 /etc/passwd

这是因为/usr/bin/passwd 有特殊权限,rwsr-xr-x。

SGID


[root@VM_0_10_centos test]# chmod g+s temp
[root@VM_0_10_centos test]# ll
总用量 4
-rw-r--r-- 1 root root    0 3月  19 14:05 demo.txt
drwxr-sr-x 2 root root 4096 3月  19 14:05 temp

rwxr-sr-x,

SBIT

bash-4.1$ ls -ahl /tmp
总用量 52K
drwxrwxrwt.  9 root     root     4.0K 3月  19 13:35 .
dr-xr-xr-x. 24 root     root     4.0K 3月  19 14:44 ..
srwxrwxrwx   1 root     root        0 12月  4 2015 agent_cmd.sock
drwxr-xr-x   3 root     root     4.0K 4月   3 2019 falcon-plus
drwxr-xr-x   2 logstash logstash 4.0K 3月  13 10:33 hsperfdata_logstash
drwxrwxrwt   2 root     root     4.0K 3月  12 10:25 .ICE-unix
drwxrwxrwx   2 logstash logstash 4.0K 3月  13 10:29 jruby-24492
drwxr-xr-x   2 logstash logstash 4.0K 3月  13 10:29 jruby-24573
drwxr-xr-x   2 logstash logstash 4.0K 3月  13 10:30 jruby-24708
drwxr-xr-x   2 logstash logstash 4.0K 3月  13 10:30 jruby-24828
srwxrwxrwx   1 mysql    mysql       0 3月  12 10:25 mysql.sock
-rw-r--r--   1 root     root      140 3月  12 10:25 net_affinity.log
-rw-r--r--   1 root     root       14 3月  19 14:44 .PATH
-rw-r--r--   1 root     root      178 3月  12 10:25 setRps.log
bash-4.1$ rm -rf /tmp/jruby-24492/
rm: 无法删除"/tmp/jruby-24492": 不允许的操作

仔细看.目录(当前目录)的权限是:rwxrwxrwt,表示只有该文件的所属用户才能对该文件、文件夹进行删除、修改
所以哪怕/tmp/jruby-24492文件的权限为rwxrwxrwx(777),都是没法删除的

扩展阅读:

上一篇 下一篇

猜你喜欢

热点阅读