linux文件目录权限探究

本文探究linux中目录和文件设置不同权限位的作用

一、实验环境与前提
账号1:root
账号2:git(普通用户,非root组)
root账号可以无视文件目录权限,故此处只用于更改权限,git账号为普通账号,可以验证被root更改文件权限时的表现。文中所有创建的目录、文件均由root账号操作,故文件主为root、文件组为root。git账号属于其他用户,故只考虑权限位的后三位,文件主及其所属用户组的权限设为0,对其他用户的权限进行修改实验。

公共目录:/share,目录权限:drwxrwxrwx 2 root root
实验以/share目录为根目录,所有实验均在/share目录下进行,实验按顺序进行,每个实验是在上一个实验的基础上进行操作。

提示符$为普通用户(即git)、#为root账户,下面不再说明使用哪个账户进行操作,请根据提示符区分。

各操作使用的命令:
1.列目录(ll test, ll=ls -l –color=auto)
2.进目录(cd test)
3.删目录(rm -rf test)
4.创建文件(touch test/file)
5.删除文件(rm -rf test/006)
6.修改文件(echo test > test/006)
7.查看文件(cat test/006)
test目录下的文件及权限如下:

--------w- 1 root root 0 1月  1 00:00 002
-------r-- 1 root root 0 1月  1 00:00 004
-------rw- 1 root root 0 1月  1 00:00 006
drwxr-xr-x 2 root root 4096 1月  1 00:00 dir

二、实验一 目录的r权限(目录权限004)
1. 更改目录权限为r,并查看目录权限

/share# chmod 004 test && ll -d test
d------r-- 2 root root 4096 1月  1 00:00 test

2. 测试能否进入目录
/share$ cd test
结果无法进入,提示权限不足
3. 测试能否显示目录内容
/share$ ll test
结果如下:

ls: 无法访问test/002: 权限不够
ls: 无法访问test/004: 权限不够
ls: 无法访问test/006: 权限不够
ls: 无法访问test/dir: 权限不够
总用量 0
-????????? ? ? ? ?            ? 002
-????????? ? ? ? ?            ? 004
-????????? ? ? ? ?            ? 006
d????????? ? ? ? ?            ? dir

4. 测试普通用户是否能在test目录下创建文件
/share$ touch test/file
提示权限不足
5. 测试普通用户是否可以对目录下的文件内容进行操作
/share$ cat test/006
/share$ echo test > test/006
以上均无权限
6. 删除目录
/share$ rm -rf test
结果分两种情况:如果test目录是空的,可以删除,如果test目录不为空,不能删除。因为删除命令必须保证命令不为空,rm -rf会删除掉test目录下的文件,而test目录只有r权限,不能删除里面的文件,所以无法删除目录

结论:
目录的r权限表示用户可以读取目录的内容,但不能获取详细的信息,只能知道目录下有哪些文件,也不能进入目录,以及修改目录中的文件

三、实验二 目录的w权限(目录权限002)
1. 修改目录权限为002

/share# chmod 002 test && ll -d test
d-------w- 2 root root 4096 1月  00 00:00 test

2. 测试列目录权限
/share$ ll test
提示无权限
3. 测试进目录权限
/share$ cd test
提示无权限
4. 测试创建删除文件
/share$ touch test/file
提示无权限(删除test目录下的文件也无权限,命令略)
5. 删除目录
/share$ rm -rf test
同r权限结果
6. 查看文件
/share$ cat test/file
提示无权限

结论:
仅有w权限的目录无法进行任何操作,即使目录里面的文件为可读写也不能对该目录下的文件进行操作

四、实验三 目录的x权限(目录权限001)
1. 修改目录权限为001
2. 权限:
列目录:NO
进目录:YES
创建文件:NO
删除文件:NO
读写文件:依赖文件本身权限,文件有读权限即可
删除目录本身:同r和w权限

结论:
仅拥有目录x权限,只能进入目录,不能在目录中创建、删除文件,可以读取、修改其中的文件(取决于文件的权限)

五、目录权限及组合测试表

权限位\操作 列目录 进目录 删目录 创建文件 删除文件 修改文件 查看文件
N N 空可删 N N N N
r 无法显示详细信息 N 空可删 N N N N
w N N 空可删 N N N N
x N Y 空可删 N N Y Y
rw 无法显示详细信息 N 空可删 N N N N
rx Y Y 空可删 N N Y Y
wx N Y 空可删 Y Y Y Y
rwx Y Y Y Y Y Y Y

注:无法显示详细信息指,可以知道目录下有哪些文件,但不知道文件大小、权限、修改时间等信息

结论:
1. r权限用于查看目录下都有哪些文件和目录
2. x权限用于查看目录下各目录和文件的详情(权限码、修改时间等),且可以进入目录
3. 只要有x权限就可以进入目录,但查看目录下的详细信息,需要有r和x权限,可理解为:要想知道目录的详情,得先通过r权限知道目录下有哪些文件,之后才能用x权限查这些文件的信息
4. 有目录的x权限是对目录下的文件进行增删改查操作的必要条件,可理解为:如果连文件的最基本的信息都不知道,就没法判断是否可以对目录下的文件有读写权限,所以不能读写文件,而创建文件需要更改目录下文件详情的信息,没有目录x权限也不行,删除文件同样的道理,也需要修改目录下文件的详情。
5. 想要在目录中创建、删除文件,必须要有目录的wx权限,可理解为:创建、删除都需要改变目录索引中的文件详情信息,所以需要w和x权限。rwx三个权限中x为是否有能力接触目录索引中的详情,r和w表示对目录索引的详情有怎样的能力,rx可读,wx可写
6. 目录本身的删除权限,与目录的权限关系不大,主要看上级目录的权限。实验中对于非空目录,只有rwx权限可删,对于空目录,由于上级目录/share是777权限所以可以删。非空目录删除时需要递归删除目录下的文件,根据第5点结论只少要有wx权限,而删除目录下的所有文件,首先得知道都有哪些文件,这就需要r权限,所以rwx权限缺一不可。
实际上,本实验中,如果test目录有wx权限,是有办法不修改权限删除test目录,即先使用rm命令将test目录下的文件一一删除,然后再删test目录,这里我们知道test目录中都有哪些文件,所以可以这么操作,但一般情况下,如果没有r权限,无法得知目录下的文件情况。

六、不同权限的适用场景
r: 只需要看目录下有哪些内容
w: 无法使用
x: 做中间目录使用,有如下目录结构:/documents/<username>/file,documents权限为x,每个用户拥有一个以用户名命名的目录,下面存放各种私人文档,此时可以设置<username>目录为700,属主为用户名的账户,这样每个用户都可以cd到自己的用户名目录下进行各种操作,并且他们看不到documents下有哪些目录,即不知道服务器上为哪些账号开放了此服务(虽然这么做没有什么实质意义)。
rx: 最常用的权限组合,可以进目录看到里面的内容详情,但不能对里面的文件进行新增、删除操作,如/home目录,home目录结构跟上面例子中documents目录极为相似,区别就是我们可以在home目录中通过ls -l查看有哪些子目录,进而推断出服务器上有哪些账号(不考虑无home的用户以及设置非同名用户目录的情况)
wx: 很少用到,对于某些程序,只负责读写指定文件,文件路径已知。但由于w权限通常高于r权限(业务意义上,都可以增加文件,还不允许读取当前目录有哪些文件,这种场景很少),一般很少使用。
rwx: 对目录拥有绝对的权限,可以删除目录下任意文件(无论文件权限如何,即使没有读写文件的权限),一般只对属主的权限设置成rwx,这样比较安全,所以一般默认目录的权限为rwxr-xr-x,目录的属主完全控制,其他人不能删除、新增文件(至于修改文件操作属于文件本身的权限,不在目录权限里考虑)

MySQL8.0.12设置主主同步

配置MySQL主主同步,可以做到在A服务器上修改数据同步到B服务器上,同样,在B服务器上修改数据同步到服务器A上。主主同步与主从同步类似,只不过主主同步,两个服务器同时具有主、从服务器的身份,互相同步数据。
本文中,MySQL服务器版本为8.0.12,所有数据库的引擎均为InnoDB。为保证同步成功,两个服务器需使用同一个版本的MySQL。

一、环境描述

数据库版本:8.0.12,系统版本CentOS 7
服务器A:192.168.100.1,开放端口3306,同步账号repl
服务器B:192.168.100.2,开放端口3306,同步账号repl

二、my.cnf配置文件

[mysqld]
user				= mysql #mysql使用的用户名
basedir				= /usr/local/mysql #mysql安装目录
datadir				= /usr/local/mysql/data #mysql数据目录
port				= 3306 #监听端口
socket				= /usr/local/mysql/mysql.sock #sock文件位置
bind_address			= 0.0.0.0 #监听IP,此处不能用127.0.0.1因为需要外部机器访问
default_authentication_plugin 	= mysql_native_password

server-id = 2 #server-id,必须是大于0的一个整数,两台服务器不能设置一样,一般一个设1,另一个设2就可以
log_bin				= mysql-bin #二进制日志名,最终会在/usr/local/mysql/data/中以mysql-bin.000001这种文件名形式存在,扩展名是一个编号
binlog_format			= mixed #混合型日志格式,具体含义可自行查询
binlog_expire_logs_seconds	= 604800 #日志过期时间
sync-binlog			= 1
innodb_flush_log_at_trx_commit	= 1

# Master DB #
#需要同步的数据库用多个binlog-do-db,不要写在一行用逗号分隔,这种情况可能会导致数据库同步状态一切正常,就是同步不了,日志也没有任何问题,根据实验发现,如果写成binlog-do-db = database1,database2在使用show master status以及show slave status时与下面设置方式完全一样,但就是无法同步
binlog-do-db			= database1 #需要同步的数据库
binlog-do-db			= database2 #需要同步的数据库
#由于两个服务器都可以写数据,为了防止自增的key冲突,需要设置下面两个,increment是每次增长数,两台服务器设为2即可,offset是起始偏移,一个服务器设置为1,另一个设置为2,这样自增id在服务器A上是1、3、5这样,在服务器B上就是2、4、6不会产生冲突
auto-increment-increment	= 2
auto-increment-offset		= 2

# Slave DB #
replicate-do-db			= database1 #需要从其他服务器同步过来的数据库名
replicate-do-db			= database2
relay_log			= relay-bin #中继日志名称

配置完两个服务器后,分别用service mysql restart重启服务器

三、新增同步账号

这一步不是必须的,但建议为同步数据库的账号启用一个专门的账号,这里使用repl
首先在A服务器上创建账号并添加权限:

mysql> CREATE USER 'repl'@'192.168.100.2' IDENTIFIED BY 'password';
mysql> GRANT REPLICATION SLAVE ON *.* TO 'repl'@'192.168.100.2';

B服务器上类似,只是ip不同:

mysql> CREATE USER 'repl'@'192.168.100.1' IDENTIFIED BY 'password';
mysql> GRANT REPLICATION SLAVE ON *.* TO 'repl'@'192.168.100.1';

四、添加iptables规则
服务器A:

iptables -A INPUT -s 192.168.100.2/32 -p tcp -m tcp --dport 3306 -j ACCEPT

服务器B:

iptables -A INPUT -s 192.168.100.1/32 -p tcp -m tcp --dport 3306 -j ACCEPT

五、配置主从服务器信息

服务器A中执行:

mysql> FLUSH TABLES WITH READ LOCK;
mysql> SHOW MASTER STATUS\G

结果类似下面:

*********************** 1. row ***************************
             File: mysql-bin.000001
         Position: 64353552
     Binlog_Do_DB: database1,database2
 Binlog_Ignore_DB: 
Executed_Gtid_Set: 
1 row in set (0.00 sec)

记下结果中的file和position,到服务器B上设置:

mysql> CHANGE MASTER TO MASTER_HOST='192.168.100.1',MASTER_USER='repl',MASTER_PASSWORD='password',MASTER_LOG_FILE='mysql-bin.000001',MASTER_LOG_POS=64353552;

其中MASTER为主服务器的IP,这里就是对方服务器的IP,MASTER_USER和MASTER_PASSWORD为刚刚创建的同步账号用户名和密码,MASTER_LOG_FILE为对方服务器上查到的日志文件名,MASTER_LOG_POS为对方服务器上查到的日志位置。
同理,在B服务器上执行 SHOW MASTER STATUS 将查询结果中的文件名,和当前位置信息配置到服务器A上

六、同步初始化数据库

假设服务器A是原始服务器,一般在双向同步前,会将两个数据库手动复制一次,否则两个库会出现不一致。

服务器A上执行导出操作,以下是导出所有的数据库,导出单个库将–all-databases改为–databases 数据库1 数据库2 …

mysqldump -p --all-databases > backup.sql

将backup.sql复制到服务器B上,并执行:

mysql -p < backup.sql

输入B服务器的数据库root账户的密码后即可导入备份的数据库

七、开启slave
两个服务器分别执行:

mysql> start slave;

八、测试开启状态
两服务器分别执行:

mysql> show slave status\G

观察以下两个值是否为Yes:Slave_IO_Running Slave_SQL_Running
在服务器A的指定数据库内,更改数据观察服务器B上是否同步;同理,B上更改数据也会同步到A上

九、注意事项
1. 注意需要开放防火墙,以免服务器无法互相通信,建议只为对应的服务器IP开放端口访问,以提高安全性
2. 需要同步多个数据库,请设置多个binlog-do-db,否则可能会出现数据库日志已同步,但数据库内容不同步的问题(之前遇到过多个库用逗号分隔,写在一个binlog-do-db字段中,结果既没有报错也不会同步的问题,怀疑是将一行当做了一个整体)
3. 处于安全考虑,建议为同步账号创建独立的账号,并使用不同的密码,因为同步账号的密码会以明文的形式保存在mysql数据库的slave_master_info表中

官方文档:https://dev.mysql.com/doc/refman/8.0/en/replication.html