• Linux学习笔记(13)权限管理


    1 ACL权限

    (1)简介和开启方式

    ACL(Access Control List)权限的目的是在提供传统的owner、group、others的read、write、execute权限之外的局部权限设定。ACL可以针对单个用户,单个文件或目录进行r、w、x的权限设定。特别适用于需要特殊权限的使用。

    1)查看分区的ACL权限是否开启

    查看指定分区详细文件系统信息的命令为:

    dumpe2fs –h 指定分区

    其中,-h选项表示只显示超级块中的信息,而不显示磁盘块组的详细信息

    例:查看根分区是否开启ACL权限:

    [root@localhost ~]# dump2fs -h /dev/sda5
    
    ……
    
    Default mount options:    user_xattr acl

    可以看到,sda5分区的ACL权限默认开启。

    2)临时开启分区ACL权限

    如果分区的ACL权限尚未开启,可以采用重新挂载根分区,同时加入ACL权限,其命令如下所示:

    mount –o remount,acl /

    3)永久开启分区ACL权限

    可以通过修改/etc/fstab配置文件来永久开启ACL权限。具体方法如下:

    [root@localhost ~]# vim /etc/fstab
    
    #然后将UUID=9288c490-0161-471c-b63a-6e56699065d5 / ext4  defaults 1 1中的defaults后加上",acl",即:
    
    UUID=9288c490-0161-471c-b63a-6e56699065d5  /  ext4  defaults,acl  1 1

    (2)查看和设定ACL权限

    1)设定ACL权限,其命令格式为:

    setfacl [选项] 文件名

    其中,选项-m表示修改ACL权限,-x表示删除指定ACL权限,-b表示删除所有的ACL权限,-d表示设定默认ACL权限,-k表示删除默认ACL权限,-R表示递归设定ACL权限。

    2)查看ACL命令,其命令格式为:

    getfacl 文件名

    3)给用户设定ACL权限。

    例:新建一个目录project,用户名和所属组分别为root,tgrp。新建一个用户ws,现在想要对project目录具有r、x权限,且其所属组和所属用户均为默认创建的ws。可以通过如下方法对ws用户设定ACL权限:

    [root@localhost tmp]# mkdir project
    
    [root@localhost tmp]# groupadd tgrp
    
    [root@localhost tmp]# chown root:tgrp project/
    
    [root@localhost tmp]# chmod 770 project/
    
    [root@localhost tmp]# useradd ws
    
    [root@localhost tmp]# passwd
    
    更改用户 root 的密码 。
    
    新的 密码:
    
    无效的密码: WAY 过短
    
    无效的密码: 过于简单
    
    重新输入新的 密码:
    
    passwd: 所有的身份验证令牌已经成功更新。
    
    [root@localhost tmp]# setfacl -m u:ws:rx project/

    注意给用户ws赋予r-x权限,使用“u:用户名:权限”格式。

    使用getfacl命令查看ACL权限:

    [root@localhost tmp]# getfacl project/
    
    # file: project/
    
    # owner: root
    
    # group: tgrp
    
    user::rwx
    
    user:ws:r-x
    
    group::rwx
    
    mask::rwx
    
    other::---

    随后使用ws用户登录,尝试在project目录下新建文件,则会出现如下错误:

    [root@localhost tmp]# su - ws
    
    [ws@localhost ~]$ cd /tmp/project/
    
    [ws@localhost project]$ touch file
    
    touch: 无法创建"file": 权限不够

    4)给用户组设定ACL权限

    为组分配ACL权限时,使用“g:组名:权限”格式。

    例:新建tgrp2组,并为该组分配ACL权限r、w、x。

    [root@localhost tmp]# groupadd tgrp2
    
    [root@localhost tmp]# setfacl -m g:tgrp2:rwx project/
    
    [root@localhost tmp]# getfacl project/    #使用getfacl查看project目录的ACL权限:
    # file: project/ # owner: root # group: tgrp user::rwx user:ws:r-x group::rwx group:tgrp2:rwx mask::rwx other::---

    (3)最大有效权限与删除ACL权限

    1)观察getfacl命令查询ACL权限后的结果可以看到有mask字段。mask是用来指定最大有效权限的,如果给用户赋予了ACL权限,是需要和mask的权限“相与”才能得到用户的真正权限。因此可以修改最大有效权限,其命令格式为:

    setfacl –m m:权限 文件名

    注意,设定mask权限时,使用“m:权限”格式

    例:将mask的权限修改为r-x,然后修改ws的ACL权限为rwx,然后查询ACL权限:

    [root@localhost tmp]# setfacl -m m:rx project/
    
    [root@localhost tmp]# getfacl project/
    
    # file: project/
    
    # owner: root
    
    # group: tgrp1
    
    user::rwx
    
    user:ws:rwx                     #effective:r-x
    
    group::rwx                      #effective:r-x
    
    mask::r-x
    
    other::---

    2)删除ACL权限

    删除指定用户的ACL权限,其命令格式为:

    setfacl –x u:用户名 文件名

    删除指定用户组的ACL权限,其命令格式为:

    setfacl –x g:组名 文件名

    删除文件所有的ACL权限,其命令格式为:

    setfacl –b 文件名

    (4)递归ACL权限与默认ACL权限

    1)递归ACL权限是父目录在设定ACL权限时,所有的子文件和子目录也会拥有相同的ACL权限,其命令格式为:

    setfacl –m u:用户名:权限 –R 文件名

    2)默认ACL权限的作用是:如果给父目录设定了默认ACL权限,那么父目录中所有新建的子文件都会继承父目录的权限,其命令格式为:

    setfacl –m d:u:用户名:权限 文件名

    2 文件特殊权限

    (1)SetUID

    1)SetUID需要注意的地方有:只有可以执行的二进制程序才能设定SUID权限;命令执行者(一般为普通用户)要对该程序拥有x(执行)权限;命令执行者在执行该程序时获得该程序文件属主的身份;SetUID权限只在该程序执行过程中有效,也就是说身份改变只在程序过程中有效。

    例:passwd命令拥有SetUID权限,所以普通用户可以修改自己的密码。

    [root@localhost tmp]# ll /usr/bin/passwd
    
    -rwsr-xr-x. 1 root root 25980 2月  22 2012 /usr/bin/passwd

    其中的s表示具有SUID权限。

    cat命令没有SetUID权限,所以普通用户不能查看/etc/shadow文件内容。如使用ws登陆。

    [ws@localhost ~]$ ll /bin/cat
    
    -rwxr-xr-x. 1 root root 47976 11月 22 2013 /bin/cat
    
    [ws@localhost ~]$ cat /etc/shadow
    
    cat: /etc/shadow: 权限不够

    2)设定SetUID的方法,其命令格式为:

    chmod 4755 文件名              或          chmod u+s 文件名

    其中数字4代表SUID

    例:新建文件file,然后将其权限设定为SUID:

    [root@localhost ~]# touch file
    
    [root@localhost ~]# chmod 644 file
    
    [root@localhost ~]# chmod u+s file
    
    [root@localhost ~]# ls -l file
    
    -rwSr--r--. 1 root root 0 1月  28 23:01 file

    其中的大写字母S表示该命令无法正确执行

    3)取消SetUID的方法,其命令格式为:

    chmod 755 文件名         或          chmod u-s 文件名

    4)SetUID的设定是很危险的,需要注意:关键目录应严格控制写权限,如”/“,”/usr“等;用户的密码设置要严格遵守密码的三原则;对系统中默认的应该具有SetUID权限的文件做一列表,定时检查有没有除此之外的文件被设置了SetUID权限

    (2)SetGID

    1)SetGID可作用于文件和目录。针对文件的作用是:只有可执行的二进制程序才能设置SGID权限;命令执行者要对该程序拥有x(执行)权限;命令执行者在执行程序时,组身份升级为该程序文件的属组;SetGID权限同样只在该程序执行过程中有效,也就是说,组身份改变只是在程序执行过程中有效。

    例:locate具有SGID权限:

    [ws@localhost ~]$ ll /usr/bin/locate
    
    -rwx--s--x. 1 root slocate 35548 10月 10 2012 /usr/bin/locate
    
    [root@localhost ~]# ll /var/lib/mlocate/mlocate.db
    
    -rw-r-----. 1 root slocate 1531226 1月  28 19:40 /var/lib/mlocate/mlocate.db

    其主要过程是:/usr/bin/locate是可执行的二进制程序,可以赋予SGID,执行用户ws对/usr/bin/locate命令具有执行权限。执行/usr/bin/locate命令时,组身份会升级为slocate组,而slocate组对/var/lib/mlocate/mlocate.db数据库拥有r权限,所以普通用户ws可以使用locate命令查询mlocate.db数据库。命令结束,ws用户的组身份返回ws组。

    针对目录的作用是:普通用户必须对此目录拥有r和x权限,才能进入此目录;普通用户在此目录中的有效组会变成此目录的属组;若普通用户对此目录拥有w权限时,新建文件的默认属组是这个目录的属组。

    2)设定SetGID,其命令格式为:

    chmod 2755 文件名              或          chmod g+s 文件名

    其中2代表SGID。

    例:在/tmp目录下新建test目录,然后对其设置SGID权限。然后以ws用户登录系统,并在test目录下新建文件test1,然后查看test1的权限:

    [root@localhost tmp]# mkdir test
    
    [root@localhost tmp]# chmod 2757 test/
    
    [root@localhost tmp]# ll -d test/
    
    drwxr-srwx. 2 root root 4096 1月  29 02:43 test/
    
    [root@localhost tmp]# su - ws
    
    [ws@localhost ~]$ cd /tmp/test/
    
    [ws@localhost test]$ touch test1
    
    [ws@localhost test]$ ll test1
    
    -rw-rw-r--. 1 ws root 0 1月  29 02:44 test1

    可以看到,ws用户创建的test的属组变为了test目录下的数组root了。

    3)取消SetGID,其命令格式为:

    chmod 755 文件名         或          chmod g-s 文件名

    (3)stick BIT

    1)SBIT粘着位目前只对目录有效:普通用户对该目录拥有w和x权限,即普通用户可以在此目录拥有写入权限;如果没有粘着位,因为普通用户拥有w权限,所以可以删除此目录下的所有文件,包括其他用户创建的文件。一旦赋予了粘着位,除了root可以删除所有文件,普通用户就算拥有w权限,也只能删除自己创建的文件,不能删除其他用户创建的文件。

    例:将/tmp设定粘着位,使用ws用户登录,然后尝试删除其中的文件:

    [root@localhost tmp]# chmod 1777 test/
    
    [root@localhost tmp]# ll -d test/
    
    drwxrwsrwt. 2 root root 4096 1月  29 02:56 test/
    
    [root@localhost tmp]# touch /tmp/test/file1
    
    [root@localhost tmp]# su - ws
    
    [ws@localhost ~]$ cd /tmp/test/
    
    [ws@localhost test]$ ls
    
    file1  test1
    
    [ws@localhost test]$ rm -f file1
    
    rm: 无法删除"file1": 不允许的操作

    2)设置和取消粘着位

    设置粘着位的命令格式为:chmod 1777 目录名 或   chmod o+t 目录名;

    取消粘着位的命令格式为:chmod 777 目录名   或   chmod o-t 目录名

        注:每一种特殊权限针对的操作对象不同,因此一般不会赋予文件或目录7777权限的。

    3 文件系统属性chattr权限

    1)命令格式:

    chattr [+-=] [选项] 文件或目录名

    其中,“+”表示增加权限,“-”表示删除权限,“=”表示等于某权限。

    选项i的含义是:如果对文件设置i属性,那么不允许对文件进行删除、改名,也不能添加和修改数据;如果对目录设置i属性,那么只能修改目录下文件的数据,但不允许建立和删除文件(此限制也适用于root)。

    选项a的含义是:如果对文件设置a属性,那么只能在文件中增加数据,但不能删除,也不能修改数据;如果对目录设置a属性,那么只允许在目录中建立和修改文件,但是不允许删除。

    2)查看文件系统属性,其命令格式为:

    lsattr [选项] 文件名

    其中,-a选项表示显示所有文件和目录,-d选项表示目标是目录,仅列出目录本身的属性,而不是子文件的。

    4 系统命令sudo权限

    1)sudo权限:root把本来只能超级用户执行的命令赋予普通用户执行,sudo的操作对象是系统命令。

    2)sudo的使用

    visudo命令实际修改的是/etc/sudoers文件。其中:

    root          ALL=(ALL)           ALL

    其中,root表示用户名,等号左边的ALL表示被管理主机的地址,等号右边括号的ALL表示可使用的身份,最后一个ALL表示授权命令(绝对路径)。

    %wheel    ALL=(ALL)            ALL

    其中wheel是组名,第一个ALL是被管理主机的地址,第二个ALL表示可使用的身份,第三个ALL表示授权命令(绝对路径)。

    3)授权ws用户可以重启服务器

    方法为:visudo,然后添加:ws     ALL=/sbin/shutdown –r now,注意命令写的越细致,表示赋予ws用户的权限越小。

    4)普通用户执行sudo赋予的命令,注意普通用户不能直接执行shutdown –r now,而应该是:sudo /sbin/shutdown –r now

    如果普通用户想要查看sudo赋予的命令,可以执行sudo –l命令。

  • 相关阅读:
    deepin linux 安装 mysql
    Django根据现有数据库建立model
    轻松学习正则表达式
    ubuntu 下安装 wxpython2.8
    Robot framework + appium环境搭建
    使用 robotframework 自动化测试系列 二 -----环境搭建
    使用 robotframework 自动化测试系列 一 -----简介
    执行robot framework 的测试用例 命令行pybot使用方式
    SQLAlchemy的使用---外键ForeignKey数据库创建与连接
    SQLAlchemy的使用---增删改查
  • 原文地址:https://www.cnblogs.com/mengrennwpu/p/4257244.html
Copyright © 2020-2023  润新知