实验二:高级权限控制之su、sudo、特殊权限s及t位、facl

1)su切换用户

a.su的基本用法:

su - u01 ##root-->u01,不需要密码

su - 或su - root ##u01-->root,需要提供root密码

lqc|_高级权限控制之su、sudo、特殊权限s及t位、facl_第1张图片

su - u02 ##u01-->u02,需要密码

lqc|_高级权限控制之su、sudo、特殊权限s及t位、facl_第2张图片

su root ##u01-->root,保留部分的环境变量如PWD,-/-l/--login是登录的意思

lqc|_高级权限控制之su、sudo、特殊权限s及t位、facl_第3张图片

b.设置特定用户能使用su进入root

vi /etc/pam.d/su

删除第六行的注释:如下

auth required pam_wheel.so use_uid

:wq

lqc|_高级权限控制之su、sudo、特殊权限s及t位、facl_第4张图片

gpasswd -a u01 wheel

grep wheel /etc/group ##验证

lqc|_高级权限控制之su、sudo、特殊权限s及t位、facl_第5张图片

u01登录

su - ##成功

u02登录

su - ##提示密码错误

注意修改/etc/pam.d/su时切忌删除第四行的注释。

lqc|_高级权限控制之su、sudo、特殊权限s及t位、facl_第6张图片

2.sudo提升权限

a.sudo命令的文件

/etc/sudoers ##sudo的配置文件,使用visudo打开,别使用vi编辑

lqc|_高级权限控制之su、sudo、特殊权限s及t位、facl_第7张图片

rpm -qf $(which sudo)

lqc|_高级权限控制之su、sudo、特殊权限s及t位、facl_第8张图片

rpm -qc sudo ##查看帮助,尽量都学习

lqc|_高级权限控制之su、sudo、特殊权限s及t位、facl_第9张图片

b.sudo基本使用

visudo ##添加如下行

u01 localhost=/sbin/fdisk

:wq

lqc|_高级权限控制之su、sudo、特殊权限s及t位、facl_第10张图片

su - u01 ##root-->u01

sudo -l ##列出所有可用命令,首次使用sudo时需要提供u01密码

lqc|_高级权限控制之su、sudo、特殊权限s及t位、facl_第11张图片

sudo /sbin/fdisk -l ##验证sudo

lqc|_高级权限控制之su、sudo、特殊权限s及t位、facl_第12张图片

fdisk -l ##无法使用

exit

lqc|_高级权限控制之su、sudo、特殊权限s及t位、facl_第13张图片

c.sudo的别名的使用

主机别名:Host_Alias 别名名称(大写) = 主机名1, 主机名2

用户别名:User_Alias 别名名称(大写) = u01, u02

命令的别名:Cmnd_Alias 别名名称(大写) = 命令(使用绝对路径),

用户别名 主机别名=命令别名

推荐:定义用户别名,取消命令别名注释,主机别一般不用

d.特殊sudo的使用,*,!,NOPASSWD

visudo

u02 localhost=/sbin/* ##将/sbin/所有命令给u02使用

u02 localhost=/sbin/*, !/sbin/mkfs, !/sbin/fdisk -l ##!取反,禁用必须放在最后

u02 localhost=NOPASSWD:/sbin/*, !/sbin/fdisk -l ##NOPASSWD首次使用sudo时不需要密码

Defaults logfile = "/var/log/sudo.log" ##定义sudo执行记录日志

:wq

lqc|_高级权限控制之su、sudo、特殊权限s及t位、facl_第14张图片

lqc|_高级权限控制之su、sudo、特殊权限s及t位、facl_第15张图片

tial -f /var/log/sudo.log ##在其他终端执行sudo验证

lqc|_高级权限控制之su、sudo、特殊权限s及t位、facl_第16张图片

lqc|_高级权限控制之su、sudo、特殊权限s及t位、facl_第17张图片

3.SUID,SGID,粘滞位权限

a.SUID:给用户设置set位权限,普通用户执行该命令时,身份切换到root;SGID:给组设置set权限,作用与suid相同。

注意:SUID只对二进制命令有效,并且需要x的权限,如果没有x,设置后使用ls -l查看时是大写的s位。系统中suid的命令是特定的,不要轻易修改。

b.管理suid、sgid、粘滞位

suid、sgid使用s表示,粘滞位使用t表示

chmod u+s /sbin/fdisk ##设置suid

chmod g+s /sbin/fdisk ##设置sgid

lqc|_高级权限控制之su、sudo、特殊权限s及t位、facl_第18张图片

取消的方法+变-

粘滞位:对目录有效,作用设置t位权限后,防止用户删除目录下的文件。

chmod o+t /tmp

lqc|_高级权限控制之su、sudo、特殊权限s及t位、facl_第19张图片

suid权限脚本:

[root@localhost bin]# cat chkset.sh

#!/bin/bash

if [ ! -e /root/suid.txt ];then

find / -perm -4000 -fprintf /root/suid.txt "%#m %u %p\n" ##查找/目录下suid权限的文件并写入(打印输出)到/root/suid.txt文件中

fi

BASE=$(cat /root/suid.txt |wc -l)

find / -perm -4000 -fprintf /root/suid-$(date +%F).txt "%#m %u %p\n"

CHSET=$(cat /root/suid-$(date +%F).txt |wc -l)

if [ $CHSET -eq $BASE ];then

echo "suid is not change."

elif [ $CHSET -lt $BASE ];then

echo "suid is revoke."

else

echo "suid is adding."

echo "Warning, please check."

fi

lqc|_高级权限控制之su、sudo、特殊权限s及t位、facl_第20张图片

lqc|_高级权限控制之su、sudo、特殊权限s及t位、facl_第21张图片

lqc|_高级权限控制之su、sudo、特殊权限s及t位、facl_第22张图片

4.facl权限

文件的访问控制列表facl

facl给特定账号在不改变原有归属情况下管理文件访问权限。

1)基本用法:

查看:

getfacl 文件

设置用户和组的facl

setfacl -m u:用户:rwx 文件/目录

setfacl -m g:组:rwx 文件/目录

设置默认权限,子目录能继承

setfacl -d -m u:用户:rwx

setfacl -d -m g:组:rwx

删除权限:

setfacl -x u:用户 ##删除一个

setfacl -k 文件/目录 ##删除默认权限

setfacl -b 目录/文件 ##删除所有

练习:

[root@www ~]# mkdir -p test

[root@www ~]# cd test/

[root@www test]# mkdir dir1

[root@www test]# touch a.file

lqc|_高级权限控制之su、sudo、特殊权限s及t位、facl_第23张图片

[root@www test]# getfacl dir1 a.file ##查看权限

lqc|_高级权限控制之su、sudo、特殊权限s及t位、facl_第24张图片

[root@www test]# ls -l ##对比getfacl的结果

lqc|_高级权限控制之su、sudo、特殊权限s及t位、facl_第25张图片

[root@www test]# setfacl -m u:u01:rwx a.file dir1/ ##设置u01用户有rwx权限

[root@www test]# ls -l ##对比前后的变化

lqc|_高级权限控制之su、sudo、特殊权限s及t位、facl_第26张图片

[root@www test]# getfacl dir1 a.file ##对比ls -l结果

lqc|_高级权限控制之su、sudo、特殊权限s及t位、facl_第27张图片

[root@www test]# groupadd g01

[root@www test]# setfacl -m g:g01:rwx a.file dir1/ ##为组设置权限

lqc|_高级权限控制之su、sudo、特殊权限s及t位、facl_第28张图片

[root@www test]# cd dir1

[root@www dir1]# touch a.file ##创建测试文件

[root@www dir1]# getfacl a.file ##查看是否继承了dir1的facl权限

lqc|_高级权限控制之su、sudo、特殊权限s及t位、facl_第29张图片

[root@www dir1]# cd ..

[root@www test]# setfacl -d -m u:u01:rwx dir1/ ##设置子目录可继承的权限

[root@www test]# cd dir1/

[root@www dir1]# getfacl a.file ##查看结果为权限无变化

lqc|_高级权限控制之su、sudo、特殊权限s及t位、facl_第30张图片

[root@www dir1]# touch b.file ##创建新文件

[root@www dir1]# getfacl b.file ##结果为继承了被设置为-d的权限,并为继承g01的权限,结论:权限必须被-d设置过才能被子对象继承

请自行完成删除权限的操作。

lqc|_高级权限控制之su、sudo、特殊权限s及t位、facl_第31张图片

lqc|_高级权限控制之su、sudo、特殊权限s及t位、facl_第32张图片