2.用户,用户组,权限和ACL

ACL访问控制列表
误点：u:root:rwx与u::rwx的区别。 （1）u:root:rwx是设置对一个名叫root的普通用户（其实没有这个用户 但是系统会默认能够设置）设置的权限； （2）u::rwx是设置文件拥有者root（试验中我们的拥有者是root用户） 的权限
ACL访问控制列表
设置ACL递归（用于目录）：使用-R选项可执行该操作， X（大写X）权限通常以递归的方式使用。我们将-R和X一起 使用，这样，设置了执行权限的文件会保留该设置，而且目 录会设置执行权限，以允许进行目录搜索。
数字：r=4，w=2，x=1。
用户，用户组，普通权限
更改文件(夹)拥有者：chown username file/dir； 更改文件(夹)所属组：chgrp groupname file/dir;
可以只用chown一个命令同时更改拥有者和所属组： chown username.(:)groupname file/dir
则无法删除)； 将用户添加到组里：gpasswd –a username groupname； 将用户从组里删除：gpasswd –d username groupname； 查看用户的组信息：id username ->格式：
【UID；GID(主要组)；groups(主要组和 附加组)】
用户，用户组，普通权限
SUID，SGID，SBIT
设置文件(夹)的特殊权限：SUID=4，SGID=2，SBIT=1， 用数值法，在普通权限的3个数字前面加一个数字： 例： chmod 6777 /test：文件夹/test拥有SUID，SGID权限和普通的777权限； Chmod 7666/test1：文件夹拥有SUID，SGID，SBIT权限和普通的666权限； 观察不同点。
用户，用户组，普通权限
用户命令： 新增用户：useradd (-d 指定家目录) (-u指定UID) (-g指定主要
组，该组必须存在) (-G指定次要组/附加组) (-M不创建 家目录)(-e临时账户以小时计算）
username； 重置密码：passwd username;(新添加用户必须要设置密码，
/etc/group：存放了组的一些基本信息，格式： 【组名：组密码(-p)：GID：用户列表】
/etc/gshadow:参考/etc/shadow; 组（针对用户）分成主要组和次要组：
主要组：又叫私有组，当创建用户的时候如果没有指明用户 组，系统会在用户的家目录下自动创建一个同名的组。每个用户 只能属于一个主要组。
X权限：当我们在使用递归设置ACL的时候，X可用于表 示：如果文件还木有相关的执行权限，则只应设置目录（非 常规文件）的执行权限。
再来看下命令：serfacl –R –m u:username:rX dir 该操作会将用户名添加到该目录和该目录下所有现有文件和 子目录中，从而授予只读和条件执行权限。
setfacl：让natasha对/test文件夹能读，harry对/test文件夹能读写 getfacl：查看权限。
ACL访问控制列表
mask码：此文件（夹）的默认权限。 设置mask码： setfacl –m m:权限 file/dir。
ACL访问控制列表
误点：ls –ld /test与getfacl的区别。
当我们使用acl之后用ll查看时，为什么是原来所属组的地方的权限 发生了改变，那是因为这个地方已经不是原来的所属组的权限了，而是 mask的权限了，系统在拥有者后面加入了mask权限，这样的话所属组的 权限就被往后推了一格，others也被推了一格，但是系统只显示3个权限， 所以在最后多出一个+号来表示后面还有权限没有显示出来，这就是原因。
ACຫໍສະໝຸດ Baidu访问控制列表
ACL:允许向文件分配细化权限，除标准的文件所有者(u)， 所属组(g)和其他(o)权限外，还可以指定”特定用户或特定 组，以及由UID或GID确定的用户和组”权限，权限标志一样 都是rwx。说白了就提供传统的user、group、other的read、 write、execute权限之外的，其他的具体权限设置。
用户，用户组，权限，ACL，特 殊权限
用户，用户组，普通权限
用户：user->UID（身份证号，唯一）->id username查看 用户类型：管理员root：UID为0；
系统用户：UID为1-999； 普通用户：UID为1000+； 与用户相关的文件：/etc/passwd和/etc/shadow /etc/passwd：存放用户的基本属性，可以从该文件查 看Linux的所有用户，格式为： 【用户名：密码：UID：GID：说明：用户家目录：shell】 /etc/shadow：存放用户的密码的一些策略。
例如我们的/etc/shadow文件夹，权限是000，我们换成普通用户看 看能不能读取它：
SUID，SGID，SBIT
提问：那我们执行passwd命令是针对/etc/shadow文件进行 修改，但是按照原理我们是没有权限进行修改的，那为什么 现在可以？
解答：问题就出现在我们的/bin/passwd的权限上。因为拥 有者的权限x位上是s，说明我们在使用这条命令的时候会暂 时获得拥有者的权限，而/bin/passwd的拥有者是root，也 就是说我们在执行passwd的命令是暂时获得root的权限，而 root的权限是rwx，所以我们可以修改密码。这就是SUID的 原理。
等下来做实验。
SBIT：出现在其他权限的x位置上（唯一），仅仅用于目录； 作用：任何一个在该目录下建立文件的用户，他创建的文件（夹）只 能被自己和root用户删除，其他用户全都不行。 例子：ll –d /tmp（供临时文件使用的可写空间）
SUID，SGID，SBIT
试验：切换到natasha在/tmp下创建文件txt1，然后切换到 harry用户删除txt1.
usermod有一个独有的参数-a，但是只能与-G 一起使用，表示“追加”的意思。
-G是将用户添加到附加组，但是想将用户同时 添加到两个附加组就必须使用-aG选项，否则连续两 次直接使用-G，第二次添加的附加组会覆盖掉第一 次添加的附加组。
用户，用户组，普通权限
用户组：group->GID(唯一) 用户组是用户的容器，用户可以从用户组继承权限 与用户组相关的文件：/etc/group和/etc/gshadow
大写代表木有x权限，小写代表有x权限。
组继承
组继承：出现在目录上的SGID，就是在一个目录下创建一个 新的文件（夹），新创建出来的文件（夹）的所属组和父级 目录的所属组是一样的。
权限有木有继承？
组继承
所以没有继承权限
本次课程结束，谢谢收听
RED HAT
如果我们仅仅想更改所属组，用“空格”代替上面 的username，这样我们就只要记住一个chown就可以 了。
ACL访问控制列表
提问：现在假如有一个文件夹/test，权限为755。我现在有两个用户 natasha和harry，然后我想让natasha对/test文件夹能读，harry对 /test文件夹能读写，请问该怎么办？
用户，用户组，普通权限
修改文件权限：符号法和数值法 符号法：chmod whowhatwhich file/dir
who: user/group/other/all； what：+/-/=; which：r/w/x; (可简写：例chmod u+rwx /test) 数值法：chmod ***(三个数字) file/dir
注意：SUID仅仅对文件有效，对目录无效
SUID，SGID，SBIT
SGID：Set GID，出现在文件所属组权限的x位置上（唯一）； 作用：1、出现在文件类似SUID，暂时获得该文件所属组的权限；
2、出现在目录上，若使用者在此目录下具有w权限，则使用者所 创建的新文件的所属组与目录的所属组一样。
ACL访问控制列表
试验：
ACL访问控制列表
删除ACL：setfacl –x u:username flie/dir 删除文件（夹）所有ACL：setfacl –b filre/dir
SUID，SGID，SBIT
SUID：Set UID，出现在文件拥有者的x权限位置上(唯一)。 作用：使调用者暂时获得该文件拥有者的权限。例如：/bin/passwd。
ACL命令： 设置：setfacl -m(修改) u:username:r/w/x/
file/dir 这条命令就指定了某个人对于某个文件的权限。
（误点：u:root:rwx与u::rwx的区别。） 查看：getfacl file/dir （误点：ls –ld /test与getfacl的区别）
ACL访问控制列表
普通权限：r-读-4，w-写-2，x-执行(文件)/cd(目 录)-1；
命令ls->list，ls (-a显示所有文件)(-l列出文件 的详细信息)(-d显示目录本身) 文件夹/文件；
查看权限ls –l(d)可以简写成ll (-d);
ls –l(d)格式： 【文件类型和权限；硬链接数；文件所有者；文件 所属用户组(附加组)；大小；最近修改时间；文件 (夹)名】
否则无法登陆)； 删除用户：userdel (-r删除主目录及里面所有文件) username; 查看用户：查看单个用户：id username;
查看系统的所有用户：cat /etc/passwd;
用户，用户组，普通权限
usermod： 用法参考useradd，所有参数几乎一样，区别仅
仅是useradd是在添加用户时使用，而usermod是对 已经存在的用户进行设置。
次要组：又叫附加组，用户可以同时加入零个或多个附加组， 就相当于你即属于A组又属于B组，这里的AB组就是附加组。 特别注意：一个用户只能属于一个主要组，但是可以同时属于多
个附加组。
用户，用户组，普通权限
组命令： 新增组：groupadd (-g指定GID)groupname (如果不
指定系统会自动生成)； 删除组：groupdel groupname(如果组内还有用户，