CenOS6.6常用命令《五》

权限管理
5.1ACL权限
5.1.1ACL权限简介
CenOS6.6常用命令《五》_第1张图片
5.1.2查看分区ACL权限是否开启
 
   
[root@localhost ~]# dumpe2fs -h /dev/sda1
~dumpe2fs 命令是查询指定分区详细文件系统的命令
选项:
-h 仅显示超级块中信息,而不显示磁盘块组的详细信息
 
   
 
   
 
   
 
   
 
   
 
   
 
   
 
   
 
  
先看一下你的系统有哪些分区 用 df -h命令
[root@localhost ~]# df -h

Filesystem            Size  Used Avail Use% Mounted on

/dev/mapper/VolGroup-lv_root 18G 3.8G 13G 24% /tmpfs 503M 72K 503M 1% /dev/shm/dev/sda1 477M 27M 426M 6% /boot

然后你可以使用上面的命令查看状态

 
   
 
   
 
   
 
   
 
  
5.1.3临时开启分区ACL权限
[root@localhost ~]# mount -o remount,acl/
~重新挂载根分区,并且挂载加入acl权限

 mount 挂载命令,只是命令生效,临时的关机重启就没了 
   
 
   
 
  
5.1.4永久开启分区ACL权限
[root@localhost ~]# vi  /etc/fstab
UUID=16fabb09-945f-4819-a98b-a3f108cbaaa4 /boot                   ext4    defaults,acl        1 2
~加入acl
[root@localhost ~]# mount -o remount/
~重启挂载文件系统或重启系统,是修改生效

 这是系统开机自动挂载文件 
   
5.1.5查看与设定acl权限
查看acl命令
[root@localhost ~]# getfacle 文件名
~查看acl权限

 设定acl权限的命令 
 
 
[root@localhost ~]# setfac 选项l 文件名
选项:
-m		设定acl权限
-x		删除指定的acl权限
-b		删除所有的acl权限
-d		设定默认acl权限
-k		删除默认acl权限
-r		递归设定acl权限

 
   给用户设定acl权限 
   CenOS6.6常用命令《五》_第2张图片 
   
 
   
 
  
CenOS6.6常用命令《五》_第3张图片
给用户组设定acl权限
 
   
[root@localhost ~]#  groupadd tgroup2
[root@localhost ~]# setfacl -m g:tgroup2:rwx progect/
~为组tgroup2分配acl权限。使用“g:组名:权限”格式

 
   
 
   
 
   
 
   
 
   
 
   
 
   
 
   
 
  
最大有效权限mask
~mask 是用来指定最大有效权限的。如果给用户赋予了ACL权限,是需要和mask的权限“相与”才能得到用户的真正权限
修改最大有效权限
[root@localhost ~]#setfacl -m m:rx 文件名
~设定mask权限为r-x.使用“m:权限”格式

 
   删除acl权限 
   
 
   
 
  
 
   
[root@localhost ~]#setfacl -x u:用户名 文件名
~删除指定用户的acl权限
[root@localhost ~]#setfacl -x g:组名 文件名 
~删除指定用户组的acl权限
[root@localhost ~]#setfacl -b 文件名
~删除文件的所有acl权限

 
   
 
   递归acl权限 
   
 
   
 
   
 
   
 
   
 
   
 
   
 
  
~递归是父目录再说设定acl权限是,所有文件和子目录也会拥有相同的acl权限。
~setfacl -m u: 用户名:权限 -R 文件名
CenOS6.6常用命令《五》_第4张图片
这样会有一个问题,在你执行这个递归命令之前在目录下的文件会被赋予权限,那你执行完之后在重新创建的文件怎么办,它不肯能会有相应的权限吧。
默认acl权限
~默认acl权限的作用是如果给父目录设定了默认acl权限,那么父目录中所有新建的子文件都会继承父目录的acl权限
~setfacl -m d:u:用户名:权限 文件名
CenOS6.6常用命令《五》_第5张图片
这个默认的只有新的文件有用,原来有的还是需要用递归。
5.2文件特除权限
5.2.1SetUID
~只有可以执行的二进制程序才能设定SUID权限
~命令执行者要对该程序拥有x(执行)权限
~命令执行者在执行该程序是获得该程序文件属主身份(在程序执行的过程中灵魂附体为文件的属主)
~SetUID权限只在改程序执行过程中有效,也就是说省份改变只在程序执行过程中有效
 
   
~passwd命令拥有SetUID权限,所有普通可修改自己的密码

[root@localhost ~]# ll /usr/bin/passwd
-rwsr-xr-x. 1 root root 25980 2月  22 2012 /usr/bin/passwd

~cat 命令没有SetUID权限,所以普通用户不能查看/etc/shadow文件内容[root@localhost ~]# ll /bin/cat
-rwxr-xr-x. 1 root root 47976 10月 15 2014 /bin/cat

 
   CenOS6.6常用命令《五》_第6张图片 
   
 
   
 
   
 
   
 
   
 
   
 
   
 
   
 
   
 
  
设定SetUID方法
~4代表SUID
~chmod 4755文件名
~chmod u+s 文件名
取消SetUID的方法
~chmod 755文件名
~chmod u-s 文件名
危险的SetUID
~关键目录应严格控制写权限。比如“/”、“/usr”登
~用户的密码设置要严格遵循密码三原则
~对系统中默认应该具有SetUID权限的文件作一列表,定时检查有没有这之外的文件被设置了SetUID权限
5.2.2SetGID
SetGID针对目录的作用
~普通用户必须对此目录拥有r和x权限,才能进入此目录
~普通用户在此目录中的有效组会变成此目录的属组
~若普通用户对此目录拥有w权限时,新建的文件是默认属组是这个目录的属组
[root@localhost ~]# ll /usr/bin/locate
-rwx--s--x. 1 root slocate 35548 10月 10 2012 /usr/bin/locate
[root@localhost ~]# ll /var/lib/mlocate/mlocate.db 
-rw-r-----. 1 root slocate 3235865 2月   6 03:16 /var/lib/mlocate/mlocate.db

 
   CenOS6.6常用命令《五》_第7张图片 
   
设定SetGID的方法
~2代表SGID
~chmod 2755文件名
~chmod g+s 文件名
取消SetGID的方法
~chmod 755文件名
~chmod g-s 文件名
 
   
 
  
5.2.3Sicky BIT
SBIT黏着位作用
~黏着位目前只针对目录有效
~普通用户对改目录拥有w和x权限,普通用户可以在此目录拥有写入权限
~如果没有黏着位,因为普通用户拥有w权限,所以可以删除此目录下所有文件,包括其他用户建立的文件。一但赋予了黏着位,除了root可以删除所有文件,普通用户就算有w权限,也只能删除自己建立的文件,但是不能删除其他用户建立的文件

设定黏着位
~1代表SBID
~chmod 1755文件名
~chmod o+t 文件名
取消黏着位
~chmod 777文件名
~chmod o-t 文件名
5.3文件系统属性chattr权限
chattr命令格式
[root@localhost ~]# chattr[+-=][选项]文件或目录名
+:曾经权限
-:删除权限

=:等于某个权限

选项:
~i:如果对文件属性设置i属性,那么不允许对文件进行删除,修改名称,也不能添加和修改数据;如果对目录设置i属性,那么只能修改目录选文件的数据,但不允许建立和删除文件。
~a:如果对文件设置a属性,那么只能在文件中增加数据,但是不能删除也不能修改数据;如果对目录设置a属性,那么只允许在目录中建立和修改文件,但不允许删除。

查看文件系统属性

[root@localhost ~]#lsattr选项 文件名
选项:
-a显示所有文件和目录
-d若目标是目录,仅列出目录本身的属性,而不是子文件的

5.4系统命令sudo权限
sudo权限
~root把本来只能超级用户执行的命令赋予普通用户执行
~sudo的cozy对象是系统命令
sudo的使用

[root@localhost ~]# visudo
~实际修改的是/etc/sudoers文件
root          ALL=(ALL)                              ALL
~用户名       被管理主机的地址=(可使用的身份)      授权命苦(绝对路径)

#%wheel         ALL=(ALL)                              ALL
~#%组名         被管理主机的地址=(可使用的身份)      授权命苦(绝对路径)

 
   
 
   
 
   
 
   
 
   
 
   
 
   
 
  

你可能感兴趣的:(Linux)