(八)权限管理

第一节 ACL权限的简介与开启

1.ACL权限简介

解决用户身份不足的情况下,文件对用户的权限无法分配的问题

2.查看分区ACL权限是否开启

dumpe2fs -h /dev/sda3

#dumpe2fs命令是查询指定分区详细文件系统信息的命令,查看Default_mount_options选项后是否指定开启ACL权限

选项:

-h      仅显示超级块中信息,而不显示磁盘块组的详细信息

注意:是否支持ACL权限取决于文件所在的分区

3.临时开启分区ACL权限

mount -o remount,acl /

#重新挂载根分区,并挂载加入acl权限

4.永久开启分区ACL权限

vi /etc/fstab

UUID=c2ca6f57-b15c-43ea-bca0-f239083d8bd2    /    ext4    defaults,acl      1 1

#加入acl

mount -o remount /

#重新挂载文件系统或重启系统,使修改生效


第二节 查看与设定ACL权限

1.查看ACL权限的命令

getfacl 文件名        #查看acl权限

2.设定ACL权限的命令

setfacl 选项 文件名

选项:

-m      设定ACL权限

-x      删除指定的ACL权限

-b      删除所有的ACL权限

-d      设定默认的ACL权限

-k      删除默认的ACL权限

-R      递归设定ACL权限

3.给用户设定ACL权限

实例命令 给用户st赋予r-x权限使用"u:用户名:权限"格式

useradd zhangsan

useradd lisi

useradd st

groupadd tgroup

mkdir /project

chown root:tgroup /project/

chmod 770 /project

setfacl -m u:st:rx /project

4.给用户组设定ACL权限

groupadd tgroup2

setfacl -m g:tgroup2:rwx project/

为组tgroup2分配ACL权限,使用"g:组名:权限"格式


第三节 最大有效权限和删除ACL权限

1.最大有效权限mask

mask是用来指定最大有效权限的。如果我给用户赋予了ACL权限,是需要和mask的权限"相与"才能得到用户的真正权限

修改最大有效权限

setfacl -m m:rx 文件名

#设定mask权限为r-x,使用"m:权限"格式

2.删除ACL权限

setfacl -x u:用户名 文件名    删除指定用户的ACL权限

setfacl -x g:组名 文件名      删除指定用户组的ACL权限

setfacl -b 文件名            会删除文件的所有ACL权限


第四节 默认的ACL权限和递归ACL权限

1.递归ACL权限

递归是父目录在设定ACL权限时,所有的子文件和子目录也会拥有相同的ACL权限

setfacl -m u:用户名:权限 -R 文件名

2.默认ACL权限

默认ACL权限的作用是如果给父目录设定了默认的ACL权限,那么父目录中所有的新建的子文件都会继承父目录的ACL权限

setfacl -m d:u:用户名:权限 文件名

注意:递归的ACL权限和默认的ACL权限只能针对目录进行设定


第五节 文件特殊权限

1.SetUID的功能与条件

1)只有可以执行的二进制程序才能设定SUID权限

2)命令执行者要对该程序拥有x(执行)权限

3)命令执行者在执行改程序时获得改程序文件属主的身份(在执行程序的过程中灵魂附体为文件属主)

4)SetUID权限只在该程序执行过程中有效,也就是说身份改变只在程序执行过程中有效

实例应用

passwd命令拥有SetUID权限,所以普通用户可以修改自己的密码

ll /usr/bin/passwd

-rwsr-xr-x 1 root root 258980 2月 22 2012 /usr/bin/passwd

cat命令没有SetUID权限,所以普通用户不能查看/etc/shadow文件内容

ll /bin/cat

-rwxr-xr-x 1 root root 47976 6月 22 2012 /bin/cat

2.设定SetUID的方法

4代表SUID

chmod 4755 文件名

chmod u+s 文件名

3.取消SetUID的方法

chmod 755 文件名

chmod u-s 文件名

4.危险的SetUID

关键目录应严格控制写权限,比如"/" "/usr"等

用户的密码设置要严格遵守密码三原则

减水剂

对系统中默认应该具有SetUID权限的文件作一列表,定时检查有没有这之外的文件被设置了SetUID权限

5.SetGID针对文件的作用

只有可执行的二进制文件程序才能设置SGID权限

命令执行者要对改程序拥有x(执行)权限

命令在执行程序的时候,组身份升级为该程序文件的属组

SetGID权限同样只在该程序执行过程中有效,也就是说组身份改变只在程序执行过程中有效

ll /usr/bin/locate

-rwx--s--x 1 root slocate 35612 8月 24 2010 /usr/bin/locate

ll /var/lib/mlocate/locate.db

-rwx-r---- 1 root slocate 1838850 1月 20 0429 /var/lib/locate/locate.db

#/usr/bin/locate是可执行二进制程序,可以赋予SGID

#执行用户lamp对/usr/bin/lamp命令拥有执行权限

#执行/usr/bin/locate命令时,组身份会升级为slocate组,而slocate组对/var/lib/locate/locate.db数据库拥有r权限,所以普通用户可以使用locate命令查询mlocate.db数据库

#命令结束,lamp用户的组身份返回为lamp组

6.SetGID针对目录的作用

普通用户必须对此目录拥有r和x权限,才能进入此目录

普通用户在此目录中的有效组会变成此目录的属组

若普通用户对此目录拥有w权限时,新建的文件的默认属组是这个目录的属组

7.设定SetGID

2代表SGID

chmod 2755 文件名

chmod g+s 文件名

命令实例

cd /tmp/

mkdir dtest

chmod g+s dtest

ll -d dtest/

chmod 777 dtest

su - lamp

cd /tmp/dtest

touch abc

ll

8.取消SetGID

chmod 755 文件名

chmod g-s 文件名

9.SBIT粘着位作用

粘着位目前只针对目录有效

普通用户对该目录拥有w和x权限,即普通用户可以在此目录拥有写入权限

如果没有粘着位,因为普通用户拥有w权限,所以可以删除此目录下所有文件,包括其他用户创建的文件。一旦赋予了粘着位,除了root可以删除所有文件,普通用户就算拥有w权限也只能删除自己建立的文档,但是不能删除其他用户建立的文件

注意:一般不会将三个权限同时赋予一个文件或目录,因为这样将有权限分配未被实现。

命令实例

ll /tmp/

drwxrwxrwt 3 root root 4096 12月 13 11:22 /tmp/

/tmp目录拥有SBIT权限,因此一个普通用户在该目录下的文件不能被其他普通用户删除

10.设置与取消粘着位

设置粘着位

chmod 1755 目录名

chmod o+t 目录名

取消粘着位

chmod 777 目录名

chmod o-t 目录名


第六节 文件系统属性权限chattr权限

1.chattr命令格式

chattr [+-=] [选项] 文件或目录名

+:增加权限

-:删除权限

=:等于某权限

选项:

i:如果对文件设置i属性,那么不允许对文件进行删除,改名,也不能添加和修改数据,如果对目录设置i属性,那么只能修改目录下文件的数据,但是不允许建立和删除文件(相当于锁定了文件,而且对root用户也生效)

a:如果对文件设置a属性,那么只能在文件中增加数据,但是不能删除也不能修改数据,如果对目录设置a属性,那么只允许在目录中建立和修改文件,但是不允许删除(相当于锁定了原有数据,允许新添加数据)

i属性和a属性可以避免误操作,i属性相对于a属性更加严格。

2.查看文件系统属性

lsattr 选项 文件名

选项:

-a 显示所有文件和目录

-d 若目标是目录,仅列出目录本身的属性,而不是子文件的


第七节 系统命令sudo权限

1.sudo权限

root把本来只能超级用户执行的命令赋予普通用户执行

sudo的操作对象是系统命令

2.sudo使用

visudo

实际修改的是/etc/sudoers文件

root  ALL=(ALL)  ALL

用户名 被管理主机的地址= (可使用的身份) 授权命令 (绝对路径)

%wheel ALL=(ALL) ALL

%组名 被管理主机的地址= (可使用的身份) 授权命令 (绝对路径)

注意:这里的第二个字段是被管理的主机的ip地址,写ALL代表本机

3.授权sc用户可以重启服务器

visudo

sc ALL= /sbin/shutdown -r now

被授予的命令写的越详细被赋予的权限就越小,这样做越安全

4.普通用户执行sudo赋予的命令

su - sc

sudo -l    查看可用的sudo命令

sudo /sbin/shutdown -r now      普通用户执行sudo赋予的命令

注意:不要将类似于vim的命令通过sudo赋予普通用户,这样普通用户将可以修改任何文件,这样做是及其危险的

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,482评论 6 481
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,377评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 152,762评论 0 342
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,273评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,289评论 5 373
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,046评论 1 285
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,351评论 3 400
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,988评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,476评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,948评论 2 324
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,064评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,712评论 4 323
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,261评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,264评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,486评论 1 262
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,511评论 2 354
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,802评论 2 345

推荐阅读更多精彩内容