8.1 ACL权限
8.1.1 ACL权限简介与开启(一般系统都默认开启了)
参考博文:http://c.biancheng.net/view/863.html
ACL 是 Access Control List 的
缩写,主要的目的是在提供传统的 owner,group,others 的 read,write,execute 权限之外的细部权限设定。ACL 可以针对单一使用者,单一文件或目录来进行 r,w,x 的权限规范,对于需要特殊权限的使用状况非常有帮助。身份不够用的情况下,使用的。
1、ACL权限简介
2、查看分区ACL权限是否开启
[root@localhost ~]# dumpe2fs -h /dev/sda5
#dumpe2fs命令是查询指定分区详细文件系统信息的命令
选项: -h 仅显示超级块中信息,而不显示磁盘块组的详细信息
default mount options: user_xattr acl
说明这个分区支持acl
tips:先用 df -h命令查看当前系统有哪些分区,以及使用状况,占用容量,结果如下。
[root@localhost ~]# df -h
Filesystem Size Used Avail Use% Mounted on
/dev/sda5 16G 2.5G 13G 17% /
tmpfs 498M 0 498M 0% /dev/shm
/dev/sda1 190M 65M 116M 36% /boot
/dev/sda2 1.9G 3.1M 1.8G 1% /home
说明我的根目录是在 /dev/sda5 这个分区
3、临时开启分区ACL权限
[root@localhost ~]# mount -o remount,acl /
#重新挂载根分区,并挂载加入acl权限
4、永久开启分区ACL权限
注意:fstab是系统开机自动挂载的系统文件
[root@localhost ~]# vi /etc/fstab
UUID=c2ca6f57-b15c-43ea-bca0-f239083d8bd2 / ext4 defaults,acl 1 1
#加入acl
[root@localhost ~]# mount -o remount /
#重新挂载文件系统或重启动系统,使修改生效
8.1.2 查看与设定ACL权限
1、 查看ACL命令
[root@localhost ~]# getfacl 文件名
#查看acl权限
2、 设定ACL权限的命令
[root@localhost ~]# setfacl 选项 文件名
选项:
-m 设定ACL权限
-x 删除指定的ACL权限
-b 删除所有的ACL权限
-d 设定默认ACL权限。
-k 删除默认ACL权限
-R 递归设定ACL权限。
3、给用户设定ACL权限(图190)
[root@localhost ~]# useradd zhangsan
[root@localhost ~]# useradd lisi
[root@localhost ~]# useradd st
[root@localhost ~]# groupadd tgroup
[root@localhost ~]# mkdir /project
[root@localhost ~]# chown root:tgroup /project/
#把/project/这个目录的所属组改为tgroup
[root@localhost ~]# chmod 770 /project/
[root@localhost ~]# setfacl -m u:st:rx /project/
#给用户st赋予r-x权限,使用“u:用户名:权限”格式
4、给用户组设定ACL权限
[root@localhost /]# groupadd tgroup2
[root@localhost /]# setfacl -m g:tgroup2:rwx /project/
#为组tgroup2分配ACl权限。使用“g:组名:权限”格式
[root@local1 ~]# mkdir /lol
[root@local1 ~]# useradd jie
[root@local1 ~]# useradd gailun
[root@local1 ~]# groupadd zuan
[root@local1 ~]# gpasswd -a jie zuan
正在将用户“jie”加入到“zuan”组中
[root@local1 ~]# gpasswd -a gailun zuan
正在将用户“gailun”加入到“zuan”组中
[root@local1 ~]# chown root:zuan /lol
注释:把目录/lol/的权限所有者为root,所属组为tgroup
[root@local1 ~]# chmod 770 /lol/
[root@local1 ~]# useradd luban
[root@local1 ~]# passwd luban
更改用户 luban 的密码 。
新的 密码:
无效的密码: 密码少于 8 个字符
重新输入新的 密码:
passwd:所有的身份验证令牌已经成功更新。
[root@local1 ~]# setfacl -m u:luban:rx /lol/
setfacl [选项] [u:用户名:权限] [文件名]
注释:将用户(u)luban对目录/lol/的权限改为rx
([root@localhost tmp]# ll -d /tmp/project/
drwxrwx---+ 2 root tgroup 4096 5月 7 20:33 /tmp/project/
目录后面有一个加号,表示有acl权限,也可以用 getfacl /tmp/project 查看详细信息)
测试:
[root@localhost tmp]# su st
[st@localhost tmp]$ cd /tmp/project
[st@localhost project]$ ls -l
总用量 0
[st@localhost project]$ touch abc
touch: 无法创建"abc": 权限不够(因为没有写的权限)
[root@local1 ~]# groupadd wzry
[root@local1 ~]# setfacl -m g:wzry:rwx /lol/
#为一个组wzry对这个目录/lol分配acl权限。
使用 setfacl [选项] [g:组名:权限] [文件名] 格式
8.1.3 最大有效权限与删除ACL权限
1、 最大有效权限mask
mask是用来指定最大有效权限的。如果我给用户赋予了ACL权限,是需要和mask的权限“相与”才能得到用户的真正权限
A B and
r r r
r - -
- r -
- - -
修改最大有效权限
[root@localhost /]# setfacl -m m:rx 文件名
#设定mask权限为r-x。 不影响所有者user的权限,但会影响st的权限
使用格式: setfacl [选项] [m:权限] [文件名]
[root@localhost tmp]# setfacl -m m:rx /tmp/project/
[root@localhost tmp]# getfacl /tmp/project/
getfacl: Removing leading '/' from absolute path names
# file: tmp/project/
# owner: root
# group: tgroup
user::rwx
user:st:rwx #effective:r-x
group::rwx #effective:r-x
group:tgroup2:rwx #effective:r-x
mask::r-x
other::---
2、删除ACL权限
[root@localhost /]# setfacl -x u:用户名 文件名
#删除指定用户的ACL权限
[root@localhost /]# setfacl -x g:组名 文件名
#删除指定用户组的ACL权限
[root@localhost /]# setfacl -b 文件名
#会删除文件的所有的ACL权限
如:
[root@localhost tmp]# setfacl -x u:st /tmp/project
[root@localhost tmp]# getfacl /tmp/project/
getfacl: Removing leading '/' from absolute path names
# file: tmp/project/
# owner: root
# group: tgroup
user::rwx
user:aclUser4:rwx
group::rwx
group:tgroup2:rwx
mask::rwx
other::---
可以看到没有用户 user::st了,已经删除它的acl权限
[root@localhost tmp]# setfacl -b /tmp/project/
[root@localhost tmp]# getfacl /tmp/project/
getfacl: Removing leading '/' from absolute path names
# file: tmp/project/
# owner: root
# group: tgroup
user::rwx
group::rwx
other::---
可以看到已经没有ACL用户和组了
8.1.4 默认ACL权限和递归ACL权限(只能对目录)
1、递归ACL权限 (递归是对现有文件进行操作)
递归是父目录在设定ACL权限时,所有的子文件和子目录也会拥有相同的ACL权限。
setfacl -m u:用户名:权限 -R 文件名
tips:只对当前现有目录有作用 ,例如新touch的文件没有设定的权限。
2、默认ACL权限 (针对未来要新建的文件进行操作)
默认ACL权限的作用是如果给父目录设定了默认ACL权限,那么父目录中所有新建的子文件(目录)都会继承父目录的ACL权限。
setfacl -m d:u:用户名:权限 -R 文件名
(d是default的意思)
$ setfacl -m -d:u:timo:rx -R /lol
8.2 文件特殊权限
8.2.1 SetUID(对文件的所有者而言,且只能对文件)
1、SetUID的功能
只有可以执行的二进制程序才能设定SUID权限
命令执行者要对该程序拥有x(执行)权限
命令执行者(一般指普通用户)在执行该程序时获得该程序文件属主的身份(在执行程序的过程中灵魂附体为文件的属主)
SetUID权限只在该程序执行过程中有效,也就是说身份改变只在程序执行过程中有效
passwd命令拥有SetUID权限,所以普通可以修改自己的密码
[root@localhost ~]# ll /usr/bin/passwd
-rwsr-xr-x. 1 root root 25980 2月 22 2012 /usr/bin/passwd
cat命令没有SetUID权限,所以普通用户不能查看/etc/shadow文件内容
[root@localhost ~]# ll /bin/cat
-rwxr-xr-x 1 root root 47976 6月 22 2012 /bin/cat
2、 设定SetUID的方法
4代表SUID
chmod 4755 文件名
chmod u+s 文件名
3、 取消SetUID的方法
chmod 755 文件名
chmod u-s 文件名
4、 危险的SetUID
关键目录应严格控制写权限。比如“/”、“/usr”等
用户的密码设置要严格遵守密码三原则
对系统中默认应该具有SetUID权限的文件作一列表,定时检查有没有这之外的文件被设置了SetUID权限
tips:
1.新建gailun(盖伦)文件,赋予s权限:chmod 4775 /tmp/gailun
``` -rwsr-xr-x. 1 root root 0 4月 1 17:22 gailun
2.然后去掉s,x权限。只保留rw权限。: chmod 644 /tmp/gailun
-rw-r--r--. 1 root root 0 4月 1 17:22 gailun
3.添加s权限(此处发现S为大写,这是报错,因为gailun文件没有x权限,对应命令执行者要对该程序拥有x(执行)权限 ): chmod u+s /tmp/gailun
-rwSr--r--. 1 root root 0 4月 1 17:22 gailun
8.2.2 SetGID(对文件或者目录的所属组而言)
1、SetGID针对文件的作用
只有可执行的二进制程序才能设置SGID权限
命令执行者要对该程序拥有x(执行)权限
命令执行在执行程序的时候,组身份升级为该程序文件的属组
SetGID权限同样只在该程序执行过程中有效,也就是说组身份改变只在程序执行过程中有效
[root@localhost ~]# ll /usr/bin/locate
-rwx--s--x 1 root slocate 35612 8月 24 2010 /usr/bin/locate
[root@localhost ~]# ll /var/lib/mlocate/mlocate.db
-rw-r----- 1 root slocate 1838850 1月 20 04:29 /var/lib/mlocate/mlocate.db
解释:
◆ /usr/bin/locate是可执行二进制程序,可以赋予SGID
◆执行用户lamp对/usr/bin/locate命令拥有执行权限组,
◆执行/usr/bin/locate命令时,组身份会升级为slocate组,而slocate组对/var/lib/mlocate.db数据库拥有r权限,所以普通用户可以使用 locate命令查询 mlocate. db数据库
◆命令结束,lamp用户的组身份返回为lamp组
2、SetGID针对目录的作用
普通用户必须对此目录拥有r(ls)和x(cd)权限,才能进入此目录
普通用户在此目录中的有效组会变成此目录的属组
若普通用户对此目录拥有w权限时,新建的文件的默认属组是这个目录
[root@localhost ~]# cd /tmp/
[root@localhost tmp]# mkdir dtest
[root@localhost tmp]# chmod g+s dtest
[root@localhost tmp]# ll -d dtest/
[root@localhost tmp]# chmod 777 dtest/
[root@localhost tmp]# su – lamp
[lamp@localhost ~]$ cd /tmp/dtest/
[lamp@localhost dtest]$ touch abc
[lamp@localhost dtest]$ ll
(此时新建的文件 abc 的所属组不是lamp,而是root)
3、设定SetGID
2代表SGID
命令:chmod 2755 文件名
或 chmod g+s 文件名
4、取消SetGID
chmod 755 文件名
chmod g-s 文件名(用这个)
8.2.3 Sticky BIT
1、SBIT粘着位作用
粘着位目前只对目录有效
普通用户对该目录拥有w和x权限,即普通用户可以在此目录拥有写入权限
如果没有粘着位,因为普通用户拥有w权限,所以可以删除此目录下所有文件,包括其他用户建立的文件。一但赋予了粘着位,除了root可以删除所有文件,普通用户就算拥有w权限,也只能删除自己建立的文件,但是不能删除其他用户建立的文件
tips:只用root和文件拥有者可以修改删除某文件。其他用户无法操作。
[root@localhost ~]# ll -d /tmp/
drwxrwxrwt. 3 root root 4096 12月 13 11:22 /tmp/
2、 设置与取消粘着位
设置粘着位
chmod 1755 目录名
chmod o+t 目录名
取消粘着位
chmod 777 目录名
chmod o-t 目录名
8.3 文件系统属性chattr权限
chattr - change file attributes on a Linux file system
1、 chattr命令格式
[root@localhost ~]# chattr [+-=] [选项] 文件或目录名
+: 增加权限
-: 删除权限
=: 等于某权限
选项
i:如果对文件设置i属性,那么不允许对文件进行删除、改名,也不能添加和修改数据;如果对目录设置i属性,那么只能修改目录下文件的数据,但不允许建立和删除文件。
(简单的说,i属性:如果对某个文件赋予了i属性,那么相当于锁了这个文件,只能看,不能进行任何修改
i属性:对目录来说,可以对其目录下的文件进行修改,但不能新建和删除
tip:可以限制root)
a:如果对文件设置a属性,那么只能在文件中增加数据(只能通过echo 往里追加数据,vim命令不能使用),但是不能删除也不能修改数据;如果对目录设置a属性,那么只允许在目录中建立和修改文件内容,但是不允许删除
如:
[root@localhost tmp]# touch chattrFile
[root@localhost tmp]# echo 12 >> chattrFile
[root@localhost tmp]# cat chattrFile
12
[root@localhost tmp]# chattr +i chattrFile
[root@localhost tmp]# lsattr -a chattrFile
----i--------e- ./chattrFile
[root@localhost tmp]# echo 23>>chattrFile
-bash: chattrFile: 权限不够
[root@localhost tmp]# chattr -i chattrFile
[root@localhost tmp]# echo 23 >> chattrFile
[root@localhost tmp]# cat chattrFile
12
23
例2:
[root@localhost tmp]# mkdir chattrDire
[root@localhost tmp]# touch chattrDire/abc
[root@localhost tmp]# echo 123 >> chattrDire/abc
[root@localhost tmp]# cat chattrDire/abc
123
[root@localhost tmp]# chattr +a chattrDire
[root@localhost tmp]# lsattr -a chattrDire/
-------------e- chattrDire/abc
-------------e- chattrDire/..
-----a-------e- chattrDire/.
[root@localhost tmp]# mkdir ./chattrDire/def
[root@localhost tmp]# lsattr -a chattrDire/
-------------e- chattrDire/abc
-------------e- chattrDire/def
-------------e- chattrDire/..
-----a-------e- chattrDire/.
[root@localhost tmp]# echo 2342525 >> chattrDire/abc
[root@localhost tmp]# cat chattrDire/abc
123
2342525
2、 查看文件系统属性
[root@localhost ~]# lsattr 选项 文件名
选项:
-a 显示所有文件和目录
-d 若目标是目录,仅列出目录本身的属 性,而不是子文件的
8.4 系统命令sudo权限
1、 sudo权限
root把本来只能超级用户执行的命令赋予普通用户执行。
sudo的操作对象是系统命令
2、 sudo使用 (注意区分用户 和 组)
[root@localhost ~]# visudo
#实际修改的是/etc/sudoers文件
root ALL=(ALL) ALL
#用户名 被管理主机的地址=(可使用的身份) 授权命令(绝对路径)
允许某个用户,在这个IP地址段,执行某些命令。这个IP地址要嘛是ALL要嘛是本机的IP地址
%wheel ALL=(ALL) ALL
#%组名 被管理主机的地址=(可使用的身份) 授权命令(绝对路径)
例如:
[root@localhost ~]# visudo
## Allow root to run any commands anywhere
root ALL=(ALL) ALL
lisi ALL= /sbin/shutdown -r now
#给lisi用户赋予重启权限
然后保存退出
切换到lisi用户,执行该权限
3、 授权sc用户可以重启服务器
[root@localhost ~]# visudo
sc ALL= /sbin/shutdown –r now
4、 普通用户执行sudo赋予的命令
[root@localhost ~]# su – sc
[sc@localhost ~]$ sudo -l
#查看可用的sudo命令 ,结果如下
用户 lisi 可以在该主机上运行以下命令:
(root) /sbin/shutdown -r now
[lamp@localhost ~]$ sudo /sbin/shutdown -r now
#普通用户执行sudo赋予的命令,加上绝对路径