chmod是Linux下设置文件权限的命令,后面的数字表示不同用户或用户组的权限。
一般是三个数字:
第一个数字表示文件所有者的权限
第二个数字表示与文件所有者同属一个用户组的其他用户的权限
第三个数字表示其它用户组的权限。
权限分为三种:读(r=4),写(w=2),执行(x=1)。综合起来还有可读可执行(rx=5=4+1)、可读可写(rw=6=4+2)、可读可写可执行(rwx=7=4+2+1)。
所以,chmod 755 设置用户的权限为:
1文件所有者可读可写可执行
2与文件所有者同属一个用户组的其他用户可读可执行
3其它用户组可读可执行
chmod 4755与chmod 755 的区别在于开头多了一位,这个4表示其他用户执行文件时,具有与所有者相当的权限。
例如:root用户创建了一个上网认证程序netlogin,如果其他用户要上网也要用到这个程序,那就需要root用户运行chmod 755 netlogin命令使其他用户也能运行netlogin。
但是netlogin执行时可能需要访问一些只有root用户才有权访问的文件,那么其他用户执行netlogin时可能因为权限不够还是不能上网。
这种情况下,就可以用 chmod 4755 netlogin 设置其他用户在执行netlogin也有root用户的权限,从而顺利上网。
777就是rwxrwxrwx,意思是该登录用户(可以用命令id查看)、他所在的组和其他人都有最高权限
指令名称 : chmod
使用权限 : 所有使用者
使用方式 : chmod [-cfvR] [--help] [--version] mode file
说明 : Linux/Unix 的档案存取权限分为三级 : 档案拥有者、群组、其他。利用 chmod 可以藉以控制档案如何被他人所存取。
参数格式 :
mode : 权限设定字串,格式如下 : [ugoa][[+-=][rwxX]][,],其中
u : 表示该档案的拥有者,g 表示与该档案的拥有者属于同一个群体(group)者,o 表示其他以外的人,a 表示这三者皆是。
+ : 表示增加权限、- 表示取消权限、= 表示唯一设定权限。
r : 表示可读取,w 表示可写入,x 表示可执行,X 表示只有当该档案是个子目录或者该档案已经被设定过为可执行。
-c : 若该档案权限确实已经更改,才显示其更改动作
-f : 若该档案权限无法被更改也不要显示错误讯息
-v : 显示权限变更的详细资料
-R : 对目前目录下的所有档案与子目录进行相同的权限变更(即以递回的方式逐个变更)
--help : 显示辅助说明
--version : 显示版本
范例 :将档案 file1txt 设为所有人皆可读取 :
chmod ugo+r file1txt
将档案 file1txt 设为所有人皆可读取 :
chmod a+r file1txt
将档案 file1txt 与 file2txt 设为该档案拥有者,与其所属同一个群体者可写入,但其他以外的人则不可写入 :
chmod ug+w,o-w file1txt file2txt
将 ex1py 设定为只有该档案拥有者可以执行 :
chmod u+x ex1py
将目前目录下的所有档案与子目录皆设为任何人可读取 :
chmod -R a+r
此外chmod也可以用数字来表示权限如 chmod 777 file
语法为:chmod abc file
其中a,b,c各为一个数字,分别表示User、Group、及Other的权限。
r=4,w=2,x=1
若要rwx属性则4+2+1=7;
若要rw-属性则4+2=6;
若要r-x属性则4+1=7。
范例: kua0com
chmod a=rwx file 和chmod 777 file效果相同
chmod ug=rwx,o=x file和chmod 771 file效果相同
若用chmod 4755 filename可使此程式具有root的权限因为文件服务器可以在一个统一的平台上对企业的重要文件进行备份、访问控制、权限管理等等,从而可以全方位的提高企业数据的安全性。所以,文件服务器在企业信息化办公中的影响已经越来越大。 不过,说实话,文件服务器要在企业中开花结果,重要的是权限设计。如果,权限设计的不合理的话,则文件服务器会变成企业的鸡肋,食之无味,弃之可惜。 笔者帮助多个企业部署过文件服务器,在这方面还是有点心得。在这里笔者就把他总结一下,或许能够给大家带来一点帮助。 一、 利用组或者角色来进行权限管理 在文件服务器的权限设置过程中,笔者不建议网络管理员直接对用户进行授权。若直接对用户进行授权的话,则权限管理的工作量会很大。如一个采购部门,有十几位甚至更多的员工。则要对他们进行分别的授权,那么,这个维护的工作量就可想而知了。而且,这工作量一大的话,就难免为出现纰漏。 所以,我一般在选择文件服务器软件的时候,一般都要求文件服务器能够根据组或者角色来进行授权。也就是说,现在网络管理员先建立一个组,如采购组。然后给这个组赋予相关的文件夹访问权限。其次,把采购员用户加入到这个组中,采购员就自动继承了采购组的相关文件夹访问权限。如此的话,就可以避免给所有的采购员用户进行授权,就可以提高权限管理的效率。同时,采购员的相关权限只要赋予一次,则可以提高权限管理的准确率。这些优势,都是笔者倾向采用组或者角色进行权限管理的重要原因。 另外,除了可以让用户继承某个组的权限之外,我们可以设置用户特殊的权限。如在企业文件服务器上,有一个文件夹,存放着各个供应商的应付帐款明细表。作为普通采购员来说,只能够查看这些文件,而不能够进行修改。这些文件一般都是财务根据付款条件等内容整理出来的。但是,作为采购经理来说,则可以对其中相关的内容,如付款日期等等进行必要的维护。为此,采购经理需要对这些文件具有读写的权限,而其他采购员对于这些文件只具有只读的权限。为此,我们不必要再为采购经理去建立一个组。我们只需要把他加入到采购员组,让其具有采购员组的相关权限。然后,再给这个采购经理用户,赋予这些文件写的权限。也就是说,不仅可以对组或者角色进行权限的赋予,而且,在必要的时候,我们还可以给用户进行授权。如此的话,这个特定的用户除了组继承下来的权限之外,还具有一些自身的特殊权限。 二、 一个部门不要使用一个账户 据笔者的了解,有不少企业在部署文件服务器的使用,常常会采用一些简单的权限控制。如对于一个部门就建立一个账户,然后这个部门中的所有员工都采用这个账户进行文件服务器的访问。如笔者以前碰到过一个企业,他们就是如此处理的。如一个采购部门,就一个账号。网络管理员给这个账号进行授权,然后所有的采购部门员工都使用这个账号。笔者对这种做法不敢苟同。 一是无法对用户访问文件服务器上的文件进行稽核。如当文件被意外修改或者文件服务器日至显示有非法用户多次试图访问未经授权的机密文件的时候,在文件服务器的日志中只能够显示某个部门,如采购部门的员工做的。但是,具体是哪个员工做的呢,则无从查起。可见,若一个部门共享一个账户名的话,会使得文件服务器的安全性大打折扣。 二是权限无法进行更细的控制。如有时会我们之允许用户更改删除自己的文件,而对于其他员工,即使是同一个部门的员工所创建的文件或者文件夹,也不具有修改的权限的时候,若采用这种权限控制的原则,就不能够实现。 三是普通员工跟部门管理员的权限无法分开,降低了文件服务器上文件的安全性。一般来说,部门管理员比普通员工具有更高的权限。如部门管理员可以访问自己部门下面各个小组的相关文件;还可以访问企业管理层的相关数据。若给一个部门共享一个账户的话,则部门普通员工跟部门管理员的权限就无法进行区分。要么部门管理员迁就普通员工,只具有普通员工的文件服务器访问权限;要么就是牺牲文件服务器的安全性,让普通员工具有更高的文件访问权限。 所以,一个部门共享一个账户的话,会降低文件服务器的安全性;同时,也会减低灵活性。故,笔者对于这种权限管理的方法,是比较反对的。特别是企业对于安全性要求比较高的话,还是不要采用这种权限管理方法为好。不然很可能会搬起石头,砸自己的脚。 三、 用户级别的三个排除原则 有时候,就算是同一个组的员工,也有权限上的差异。如有些企业,可能不允许其他用户修改自己的文件,而只能看;再严格一点的话,其他用户连阅读的权限都没有;但是,可能部门的负责人可以查看自己的文件,等等。这就是权限管理中的排除原则。 这虽然可以通过对用户进行权限的设置来实现,但是,这么处理的话工作量特别的大,;维护起来也是困难重重。所以,一般情况下,笔者是不建议手工的去进行维护。笔者在考虑文件服务器选型的时候,若企业现在或者未来有这种需求的话,则笔者会评估文件服务器软件中有否现成的解决方案。 第一个排除原则:其他用户只能够查询自己的文件而不能够进行修改。 也就是说,采购员A建立的文件,即使是同一个部门的采购员B,也只能对其进行查看,而不能够进行修改或者删除的 *** 作。这主要是为了保障数据的统一性。如我们在用户信息设置出,可以选中“不允许他人修改我的文件”,则其他用户,即使是同一个部门或者是系统管理员,也不能够对自己的文件进行修改或者删除动作。 第二个排除原则:其他用户只能够看到文件的名字,但是不能够打开或者删除。 有些企业的话,安全要求比较高。如笔者以前遇到过化工企业的采购部门,他们要求各个采购员相互之间的采购单要保密。因为若采购内容知道了,则可以知道具体的产品配方信息。为此,其他员工不仅不能够修改彼此的文件,即使查看也不行。为此,就需要在用户建立的时候,选中“不允许他人阅读自己的文件 ”。通过这种方式,系统就会自动进行控制。 第三个排除原则:特定的人可以突破以上两种限制。 有时会,一些具有特殊权限的人,可以突破这种限制。如采购经理可以修改或者删除采购员的任何文件,即使他们做了如上的排除原则。若不经过特殊处理的话,采购经理也受到上面两个原则的限制。但是,我们在采购经理用户设置的时候,若选中“突破个人限制”选型的话,则采购经理就不受上面两种限制的约束,可以没有任何限制的访问自己手下的文件;并且在必要的时候还可以进行修改。 所以,以上的三个排除选择,只需要选中某个选项,就可以实现了。而不需要再对用户进行复杂的权限设计。故对于用户权限的例外,我是希望在系统中能够具有比较成熟的现成解决方案。这可以节省我们网路管理员维护的工作量;而且,其准确性也会大大的提高。从而增强文件服务器的安全性。 四、 开启访问日志稽核功能 某个用户在什么时候访问了什么文件,是修改呢还只是阅读;哪个用户多次试图访问未经授权的文件,等等。这些信息,企业网络管理员若能够及时了解的话,则对于提高文件服务器的安全性是非常必要的,也是权限管理中的一个重要举措。无论对于事先控制,还是对于事后追踪都具有非常关键的作用。 所以,我们在选择文件服务器系统的时候,需要关注一下,系统是否有这方面的功能。如系统能否自动记录某个用户的访问文件记录;如系统当用户多次试图访问未经授权的信息时,能否记录他们访问失败的历史。建议使用win2003 server 安装域服务器
磁盘格式用NTFS
一:把几个部分的电脑统一加入域 (建议使用域管理)
二:关于文件使用共享文件夹(设置共享权限,设置文件夹权限,一个部门的设置一个组权限)
如果还有问题可以拨打我的电话:0519-868862551
在开始菜单中依次单击管理工具→文件服务器管理菜单项,打开“文件服务器管理”窗口。在右窗格中选中需要设置访问权限的共享名"共享;,并单击更改共享文件夹属性按钮
2
打开“共享
属性”对话框,切换到共享权限选项卡,并单击添加按钮
3
在打开的“选择用户和组”对话框中依次单击高级→立即查找按钮,然后在“搜索结果”列表框中选择用户或组(如conglingkaishi
)。并依次单击确定→确定按钮
4
返回“共享
属性”对话框,在共享权限选项卡中选中刚刚添加的用户(如“从零开始”)。然后在“从零开始
的权限”列表中选中完全控制
允许复选框,并单击应用按钮
5
切换到安全选项卡,单击添加按钮查找并添加Step3中添加的用户或组。然后选中完全控制
允许复选框,并单击确定按钮
6
重复上述步骤设置其他文件夹的共享权限和安全权限如果是linux系统的话,创建各个员工的用户名A\B\C,然后将一个创建一个文件夹,权限设为777,在里面以各个员工的用户名密码登录,创建文件夹,设立权限700(只有拥有着可以读写运行),然后给经理root权限。
如果是windows的话,改装win7,然后设置文件夹为共享,在每个文件夹上,详细设置用户权限(当然,前提你必须创建需要的用户employeeA\B\C and managerA),可以给每个文件夹设置employee A 和managerA有读写权限,everyone禁止。现在越来越多的用户使用NTFS文件系统来增强Windows系统的安全性。通常是在图形用户界面(GUI)的“安全”选项卡中对文件或目录访问控制权限进行设置。还有一种设置方式大家可能很少使用,这就是Cacls命令。
虽然它是一个基于命令行的命令,使用起来有点繁琐,但只要你合理利用,也会在提高系统安全性方面起到很好的效果。Cacls命令使用格式如下:
Cacls
filename
[/T]
[/E]
[/C]
[/G
user:perm]
[/R
user
[]]
[/P
user:perm
[]]
[/D
user
[]]
Filename——显示访问控制列表(以下简称ACL);
/T——更改当前目录及其所有子目录中指定文件的
ACL;
/E——
编辑
ACL
而不替换;
/C——在出现拒绝访问错误时继续;
/G
user:perm——赋予指定用户访问权限。Perm
可以是R(读取)、W(写入)、C(更改,写入)、F
(完全控制);
/R
user——撤销指定用户的访问权限(仅在与
/E
一起使用);
/P
user:perm——替换指定用户的访问权限;
/D
user——拒绝指定用户的访问。
1.查看目录和ACL
以Windows
XP系统为例,笔者使用Cacls命令查看E盘CCE目录访问控制权限。点击“开始→运行”,在运行对话框中输入“CMD”命令,d出命令提示符对话框,在“E:\>”提示符下输入“Cacls
CCE”命令,接着就会列出Windows
XP系统中用户组和用户对CCE目录的访问控制权限项目。如果想查看CCE目录中所有文件访问控制权限,输入“Cacls
cce\
”命令即可。
2.修改目录和ACL
设置用户访问权限:我们经常要修改目录和文件的访问权限,使用Cacls命令就很容易做到。下面要赋予本机用户Chenfeng对E盘下CCE目录及其所有子目录中的文件有完全控制权限。在命令提示符对话框中输入“Cacls
CCE
/t
/e
/c
/g
Chenfeng:f
”命令即可。
替换用户访问权限:将本机用户Chenfeng的完全控制权限替换为只读权限。在命令提示符对话框中输入“
Cacls
CCE
/t
/e
/c
/p
Chenfeng:r
”命令即可。
撤销用户访问权限:要想撤销本机用户Chenfeng对该目录的完全控制权限也很容易,在命令提示符中运行“Cacls
CCE
/t
/e
/c
/r
Chenfeng
”即可。
拒绝用户访问:要想拒绝用户Chenfeng访问CCE目录及其所有子目录中的文件,运行“Cacls
CCE
/t
/e
/c
/d
Chenfeng”即可。
以上只是简单介绍Cacls命令的使用,建议大家亲自尝试一下,你会发现它还有很多奇妙的功能。很复杂,大致在有users、everyone等帐户写和执行的目录。
以及c:\windows\system32下的一些exe只允许administrators和system访问。
你可以到护卫神V课堂看下视频教程。为了保证windows系统的安全稳定,很多用户都是使用ntfs文件系统,因此共享文件夹的访问权限不但受到“共享权限”限制,还受到ntfs文件系统的acl(访问控制列表)包含的访问权限的制约。下面笔者就以“cce”共享文件夹为例,介绍如何合理设置“cceuser”用户对“cce”共享文件夹的访问权限,以此来增强共享文件夹的安全。
1
共享权限设置
在资源管理器中,右键点击“cce”共享文件夹,选择“属性”,切换到“共享”标签页,点击“权限”按钮,d出“cce的权限”设置对话框,点击“添加”按钮,将“cceuser
”账号添加到“组或用户名称”列表框内,这里“cceuser”账号对“cce”共享文件夹要有读取和写入权限,因此笔者要给该账号赋予“完全控制”权限,最后点击“确定”按钮,完成共享权限设置。
2
ntfs访问权限设置
以上只是设置了“cce”共享文件夹的共享访问权限,毕竟“cce”共享文件夹是受“共享访问权限”和“ntfs访问权限”双重制约的,如果ntfs文件系统不允许“cceuser”用户访问共享,也是不行的,并且还要给该账号设置合理的ntfs访问权限。
在“cce”共享文件属性对话框中切换到“安全”标签页后,首先将“cceuser”账号添加到“组或用户名称”列表框中,接下来还要为该账号设置访问权限。选中“cceuser”账号后,在“cceuser的权限”列表框中选中“读取和运行、列出文件夹目录、读取、修改和写入”项目,最后点击“确定”按钮。
经过以上 *** 作后,就完成了“cce”共享文件夹的“cceuser”用户的访问权限设置,其它用户的共享文件夹访问权限设置方法是相同的,就不再赘述。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)