实验二:高级权限控制之su、sudo、特殊权限s及t位、facl
1)su切换用户
a.su的基本用法:
su - u01 ##root-->u01,不需要密码
su - 或su - root ##u01-->root,需要提供root密码
su - u02 ##u01-->u02,需要密码
su root ##u01-->root,保留部分的环境变量如PWD,-/-l/--login是登录的意思
b.设置特定用户能使用su进入root
vi /etc/pam.d/su
删除第六行的注释:如下
auth required pam_wheel.so use_uid
:wq
gpasswd -a u01 wheel
grep wheel /etc/group ##验证
u01登录
su - ##成功
u02登录
su - ##提示密码错误
注意修改/etc/pam.d/su时切忌删除第四行的注释。
2.sudo提升权限
a.sudo命令的文件
/etc/sudoers ##sudo的配置文件,使用visudo打开,别使用vi编辑
rpm -qf $(which sudo)
rpm -qc sudo ##查看帮助,尽量都学习
b.sudo基本使用
visudo ##添加如下行
u01 localhost=/sbin/fdisk
:wq
su - u01 ##root-->u01
sudo -l ##列出所有可用命令,首次使用sudo时需要提供u01密码
sudo /sbin/fdisk -l ##验证sudo
fdisk -l ##无法使用
exit
c.sudo的别名的使用
主机别名:Host_Alias 别名名称(大写) = 主机名1, 主机名2
用户别名:User_Alias 别名名称(大写) = u01, u02
命令的别名:Cmnd_Alias 别名名称(大写) = 命令(使用绝对路径),
用户别名 主机别名=命令别名
推荐:定义用户别名,取消命令别名注释,主机别一般不用
d.特殊sudo的使用,*,!,NOPASSWD
visudo
u02 localhost=/sbin/* ##将/sbin/所有命令给u02使用
u02 localhost=/sbin/*, !/sbin/mkfs, !/sbin/fdisk -l ##!取反,禁用必须放在最后
u02 localhost=NOPASSWD:/sbin/*, !/sbin/fdisk -l ##NOPASSWD首次使用sudo时不需要密码
Defaults logfile = "/var/log/sudo.log" ##定义sudo执行记录日志
:wq
tial -f /var/log/sudo.log ##在其他终端执行sudo验证
3.SUID,SGID,粘滞位权限
a.SUID:给用户设置set位权限,普通用户执行该命令时,身份切换到root;SGID:给组设置set权限,作用与suid相同。
注意:SUID只对二进制命令有效,并且需要x的权限,如果没有x,设置后使用ls -l查看时是大写的s位。系统中suid的命令是特定的,不要轻易修改。
b.管理suid、sgid、粘滞位
suid、sgid使用s表示,粘滞位使用t表示
chmod u+s /sbin/fdisk ##设置suid
chmod g+s /sbin/fdisk ##设置sgid
取消的方法+变-
粘滞位:对目录有效,作用设置t位权限后,防止用户删除目录下的文件。
chmod o+t /tmp
suid权限脚本:
[root@localhost bin]# cat chkset.sh
#!/bin/bash
if [ ! -e /root/suid.txt ];then
find / -perm -4000 -fprintf /root/suid.txt "%#m %u %p\n" ##查找/目录下suid权限的文件并写入(打印输出)到/root/suid.txt文件中
fi
BASE=$(cat /root/suid.txt |wc -l)
find / -perm -4000 -fprintf /root/suid-$(date +%F).txt "%#m %u %p\n"
CHSET=$(cat /root/suid-$(date +%F).txt |wc -l)
if [ $CHSET -eq $BASE ];then
echo "suid is not change."
elif [ $CHSET -lt $BASE ];then
echo "suid is revoke."
else
echo "suid is adding."
echo "Warning, please check."
fi
4.facl权限
文件的访问控制列表facl
facl给特定账号在不改变原有归属情况下管理文件访问权限。
1)基本用法:
查看:
getfacl 文件
设置用户和组的facl
setfacl -m u:用户:rwx 文件/目录
setfacl -m g:组:rwx 文件/目录
设置默认权限,子目录能继承
setfacl -d -m u:用户:rwx
setfacl -d -m g:组:rwx
删除权限:
setfacl -x u:用户 ##删除一个
setfacl -k 文件/目录 ##删除默认权限
setfacl -b 目录/文件 ##删除所有
练习:
[root@www ~]# mkdir -p test
[root@www ~]# cd test/
[root@www test]# mkdir dir1
[root@www test]# touch a.file
[root@www test]# getfacl dir1 a.file ##查看权限
[root@www test]# ls -l ##对比getfacl的结果
[root@www test]# setfacl -m u:u01:rwx a.file dir1/ ##设置u01用户有rwx权限
[root@www test]# ls -l ##对比前后的变化
[root@www test]# getfacl dir1 a.file ##对比ls -l结果
[root@www test]# groupadd g01
[root@www test]# setfacl -m g:g01:rwx a.file dir1/ ##为组设置权限
[root@www test]# cd dir1
[root@www dir1]# touch a.file ##创建测试文件
[root@www dir1]# getfacl a.file ##查看是否继承了dir1的facl权限
[root@www dir1]# cd ..
[root@www test]# setfacl -d -m u:u01:rwx dir1/ ##设置子目录可继承的权限
[root@www test]# cd dir1/
[root@www dir1]# getfacl a.file ##查看结果为权限无变化
[root@www dir1]# touch b.file ##创建新文件
[root@www dir1]# getfacl b.file ##结果为继承了被设置为-d的权限,并为继承g01的权限,结论:权限必须被-d设置过才能被子对象继承
请自行完成删除权限的操作。