Fork me on GitHub

老男孩37期-第7节课-系统权限

字数统计: 2.7k字   |   阅读时长≈ 11分

本节课上午的重点是对正则新增了awk和sed用法

下午重点是精讲了系统权限剩余部分

sed与awk提取权限

sed、awk提取文件权限
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
##sed提取/etc/hosts权限
[root@oldboy202 ~]# stat /etc/hosts |sed -n '4p' |sed -r 's#^.*\(0(.*)/-.*$#\1#g'
644 

sed -n '4p' 取第4行
其中(.*)是我要提取的内容,所以需要括起来,后面使用\1提取


##awk提取/etc/hosts权限
[root@oldboy202 ~]# stat /etc/hosts |awk 'NR==4'|awk -F "[(/]" '{print $1}'
Access: 


#以(或/来切割,然后使用{print $n} 提取对应列
[root@oldboy202 ~]# stat /etc/hosts |awk 'NR==4'|awk -F "[(/]" '{print $2}'
0644
#以0或/来切割,然后使用{print $n} 提取对应列
[root@oldboy202 ~]# stat /etc/hosts |awk 'NR==4' |awk -F "[0/]" '{print $2}'
644

awk 'NR==4' 取第4行
awk -F 切割


[root@oldboyedu37-nb ~]# stat -c %a /etc/hosts 
644
[root@oldboyedu37-nb ~]# stat -c%a /etc/hosts 
644
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
sed 使用-n参数来过滤出某行
[root@oldboyedu37-nb ~]# stat /etc/hosts |sed -n '4p'
Access: (0644/-rw-r--r--)  Uid: (    0/    root)   Gid: (    0/    root)

使用cut来提取并显示/etc/hosts权限
[root@oldboyedu37-nb ~]# stat /etc/hosts |sed -n '4p'|cut -d "(" -f2
0644/-rw-r--r--)  Uid: 
cut使用-d参数以“(” 分割,提取第二列

[root@oldboyedu37-nb ~]# stat /etc/hosts |sed -n '4p'|cut -d "(" -f2|cut -d "/" -f1
0644
再以“/”作为分割,使用-f参数提取第1列

cut 切割
    -d 指定一把菜刀
    -f1 取第一列
    -f1,5 取第一列和第五列
    -f2-6 取第2列到第6列
硬链接数-问题
1
2
3
4
5
6
7
8
9
10
问:新建一个目录ett,目录下无任何内容,请问为什么硬链接数是2 ?
ls -lid ett ett/.
143560 drwxr-xr-x 2 root root 4096 Jun  3 19:36 ett
143560 drwxr-xr-x 2 root root 4096 Jun  3 19:36 ett/.

在上面的目录基础上,再创建一个ett/test为什么硬链接数成了3?
[root@oldboyedu37-nb oldboy]# ls -lid ett ett/. ett/test/..
143560 drwxr-xr-x 3 root root 4096 Jun  3 19:39 ett
143560 drwxr-xr-x 3 root root 4096 Jun  3 19:39 ett/.
143560 drwxr-xr-x 3 root root 4096 Jun  3 19:39 ett/test/..
AWK提取IP地址
1
2
3
4
5
6
[root@oldboy202 ~]# ifconfig eth0|awk 'NR==2'|awk -F "[ :]+" '{print $4}'
10.0.0.202

NR==2 提取第二行
AWK -F 切割
我们要提取IP地址,所以以空格和冒号作为切割条件,最后打印输出$4的内容
命令复习
1
2
3
4
5
6
7
8
9
查找目录下的所有文件并进行字符串替换
方法一
find /oldboy -type f|xargs sed 's#www.etiantian.org#www.oldboyedu.com#g' 

方法二
sed 's#www.etiantian.org#www.oldboyedu.com#g' $(find /oldboy -type f ) 

方法三
find /oldboy -type f -exec sed 's#www.etiantian.org#www.oldboyedu.com#g'  {} \;
【了解】如何知道系统某些命令被修改?
1
2
3
给重要的文件或目录做指纹
[root@oldboyedu37-nb oldboy]# md5sum /bin/ls
8b57585ec1d53e855c4e72edc4146213  /bin/ls
echo 命令技巧
1
2
3
4
5
6
7
8
9
10
11
12
13
echo -n "oldboy";echo "oldboy" 
-n参数:内容显示在1行中

面试题:https://wenku.baidu.com/view/ebd66638b9f3f90f77c61bc6.html

echo -e 处理特殊字符
[root@oldboy202 oldboy]# echo -e "oldboy\noldboy\toldgirl"
oldboy
oldboy	oldgirl

-e 开启了转义字符的支持。
\n 换行
\t 插入tab
日期
1
2
3
4
5
6
7
8
date +%F  当前日期
date +%F -d "-1 day"  显示昨天日期
[root@oldboy202 ~]# date +%F -d "+1 day"  显示明天日期
2017-05-22

工作常用
touch access-$(date +%F).log      创建文件加入时间
tar zcf /tmp/etc-$(date +%F).tar.gz /etc 压缩时给压缩包加入时间
环境变量-复习
1
2
3
4
5
6
7
如何修改PATH环境变量
1. 临时修改
   export PATH=/usr/local/sbin:/usr/local/bin
2. 永久修改
   修改/etc/profile
   添加export PATH=/usr/local/sbin:/usr/local/bin
   source /etc/profile
文件作用
1
2
3
4
5
6
7
8
9
/var/log/message   系统日志文件
/var/log/secure    用户登录日志(大量passwd失败记录可能意味着密码被破解)
/etc/fstab         开机磁盘挂载配置文件
/etc/profile        环境变量配置文件

命令
which   在PATH里面查找命令的全路径
whereis  找到命令位置及命令相关的帮助文档
find    从指定位置查找文件,例如:find / -type f -name "ls"

常用命令

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
shutdown -h now   立刻关机 ,
shutdown -h 10    10分钟后立即关机,可按“Ctrl+C”键取消关机
halt   立即停止系统,需要人工关闭电源(生产环境常用)

reboot 重启
shutdown -r  10   10分钟后立即重启
chmod  修改权限(-R参数,递归修改文件权限)

“Ctrl+D”组合键,退出当前用户  [作用等同于logout]
“Ctrl+L” 清屏,功能等于clear
"Ctrl+a" 把光标移到行首
"Ctrl+e" 把光标移到行尾
“Ctrl+u” 剪切光标之前的内容
“Ctrl+y” 粘贴

"Ctrl+左方向键" 
“Ctrl+右方向键”  命令光标左右切换

“Ctrl+r”    //快速搜索history历史命令,然后输入命令关键字即可。
              如果命令不是自己想要的,继续按“Ctrl+r”    //[生产环境常用]
              
ESC + .   引用上一个命令的最后一个参数

系统权限

环境创建
1
2
3
4
5
6
7
8
9
10
11
12
13
groupadd incahome
useradd oldboy  -g incahome   创建用户的时候同时加入组
useradd oldgirl -g incahome
useradd test
id oldboy      查看用户信息
id oldgirl
id test

//更改用户属组信息
usermod -g incahome oldboy 
usermod -g incahome oldgirl 
userdel -r username  删用户的时候同时删除家目录
chmod  u=rx  filename  修改文件属主的权限为读执行
1
2
3
4
5
6
文件权限
结论1:如果oldboy用户对于一个脚本只有执行(x)权限,这个脚本也无法正常运行,因为其不清楚里面脚本的具体内容。一般至少需要读(r)和执行(x)权限一起使用

结论2:w可以修改文件内容(也需要r配合)

文件访问过程:访问一个文件时,系统根据文件名与inode对应关系查找到block的位置,同时根据文件权限控制(文件权限是限制你是否能访问到block的关键),最后到达block存储的实体数据。这个文件实际存储在上级目录的block里面。
1
2
3
4
5
6
7
8
9
10
目录权限
结论1:对于目录来说,读(r)权限需要与执行权限(x)配合,否则会出现权限错误。

对目录来说,r权限就是读目录内容
对目录来说,x权限表示可以进入目录,比如cd oldboydir/。x权限也可以表示可以看到目录下面文件的属性。
目录的w权限,表示可以在目录里面创建、删除、修改文件名。

结论2:对于目录来说,w权限需要x权限配合,才可以在此目录下创建文件。

结论3:删除或创建文件,需要上级目录具有有wx或rwx权限
删除文件原理:
1
2
硬链接数为0 :删除文件需要看上级目录是否有w权限
进程调用数为0: 通过lsof命令查找文件被哪个程序占用,然后重启服务即可取消进程占用
添加权限
1
chmod +x test.sh   ===== chmod ugo+x test.sh
网站权限-如何才能更安全
1
2
3
对于文件或目录来说,什么权限比较好?
文件: rw-r--r--  即,644
目录: rwxr-xr-x  即,755
1
2
3
4
5
步骤1: 文件权限:644 ;目录权限:755;文件或目录的所有者都是root,一般企业中会单独创建一个普通用户(即傀儡用户),比如:www用户和www组

步骤2: 与用户有关的网站子目录,文件权限644,目录权限755,属主属组改为www

其他:开发人员配合,比如:限制上传压缩文件后缀、指定目录禁止PHP解析等;
默认权限控制命令umask
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
umask能控制Linux里面创建文件或目录的默认权限

[root@oldboy202 oldboy]# umask
0022

umask是怎么计算的?
文件最大权限=666 - umask值022=644(文件默认权限)
目录最大权限=777 - umask值022=755(目录默认权限)

[root@oldboy202 oldboy]# umask 023    修改umask值
对文件来说。如果文件权限哪一位出现基数时,文件最终权限在原权限上+1

测试:umask 035     //临时修改umask权限为035
创建一个文件和一个目录,计算下权限值。file=? dir=?
file=666-035
dirc=777-035
了解特殊权限
1
2
3
4
5
6
7
8
9
10
11
12
suid作用:运行某个命令的时候,相当于是命令的所有者。

[root@oldboy202 ~]# ls -l /usr/bin/passwd
-rwsr-xr-x. 1 root root 30768 Nov 24  2015 /usr/bin/passwd
[root@oldboy202 ~]# ls -l /bin/rm
-rwxr-xr-x. 1 root root 53592 Mar 23 02:52 /bin/rm
[root@oldboy202 ~]# chmod u+s /bin/rm                   //或chmod 4755 /bin/rm
[root@oldboy202 ~]# ls -l /bin/rm
-rwsr-xr-x. 1 root root 53592 Mar 23 02:52 /bin/rm

sgid作用:运行命令的时候,临时属于命令的所有者的组中。

【了解】Linux系统经典文件-passwd
1
2
3
4
普通用户使用passwd修改密码,密码需要写入到/etc/shadow里面
为了解决这个问题,/usr/bin/passwd 文件默认具有Suid特殊权限,所以普通用户才可以像root一样自行修改密码。
-rwsr-xr-x. 1 root root 30768 Nov 24  2015 /usr/bin/passwd

【了解】经典目录:/tmp
1
2
3
4
5
[root@oldboy202 oldboy]# ls -ld /tmp
drwxrwxrwt. 4 root root 4096 May 22 03:29 /tmp       //权限表示777,t表示黏滞位。

特点:任何人都可以在/tmp目录创建文件,但每个人只能修改、删除自己文件,即黏滞位特点
chmod 1777 /tmp  或 chmod 0+t /tmp
文件系统权限 - chattr lsattr
1
2
3
4
5
6
7
8
9
10
11
12
13
14
a(append) 如果设置了这个权限,只能对文件进行追加操作。不能删除,不能修改
[root@oldboy202 oldboy]# chattr +a kkk.txt   //修改文件只追加权限
[root@oldboy202 oldboy]# lsattr kkk.txt      //查看文件只追加权限  
[root@oldboy202 oldboy]# chattr -a garywu.txt //取消文件只追加权限


i(immutable 无敌) 无法修改、无法删除

场景:用chattr命令防止系统中某个关键文件被修改:chattr +i /etc/resolv.conf

测试:
用mv /etc/resolv.conf等命令操作于该文件,都是得到Operation not permitted 的结果。
vim编辑该文件时会提示W10: Warning: Changing a readonly file错误。
要想修改此文件就要把i属性去掉: chattr -i /etc/resolv.conf

常用工具-Xshell上传下载lrzsz

1
2
3
4
yum install -y lrzsz   //安装lrzsz

rz 上传文件到Linux
sz 下载Linux文件到Windows

扫一扫,分享到微信

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia-plus根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true


不论我写了什么...
其实都是错的......