Linux学习笔记（六）--权限管理

权限管理

（一）ACL权限

1.ACL权限简介与开启

Access Control List (ACL)就是用来帮助我们解决这个问题的。

查询是否开启ACL权限

dumpe2fs –h /dev/sda3

#dumpe2fs命令是查询指定分区详细文件系统信息的命令

 选项：

      -h 仅显示超级块中的信息，而不显示磁盘组块的详细信息

临时开启ACL权限

mount –o remount,acl/

#重新挂载根分区，并挂载加入acl权限。

永久开启ACL权限

vi /etc/fstab

mount –o remount /

#重新挂载文件系统

2.   查看与设定ACL权限

查看ACL命令

getfacle 文件名

设定ACL权限的命令

setfacle 【选项】文件名

-m u:用户名：权限 设定用户ACL权限

-m g:组名：权限         设定用户组ACL权限

-x                            删除指定ACL权限

-b                                     删除所有ACL权限

-d                                     设定默认ACL权限

-k                            删除默认ACL权限

-R                                    递归设定ACL权限

或重启系统，使修改生效。

3.     最大有效权限与删除ACL权限

最大有效权限mask

Mask是用户指定最大有效权限的。如果我给用户赋予了ACL权限，是需要和mask的权限‘相与’才能得到用户的真正权限。

修改最大有效权限

setfacle –m m:rx 文件名

删除ACL权限

       setfacle –b 文件名

       #会删除文件的所有的ACL权限

       setfacle –x u:用户名 文件名

       setfacle –x g:用户组 文件名

       #指定删除用户或用户组的ACL权限

4.     默认ACL权限与递归ACL权限

递归ACL权限

       a)递归是父目录在设定ACL权限时，所有的子文件与目录也会拥有相同的ACL权限。

       b)setfacle –m u:用户名：权限 –R 文件名

默认ACL权限

       默认ACL权限的作用是如果给父目录设定了默认ACL权限，那么父目录中所有新建的       子文件都会继承父目录的ACL权限。

       Setfacle –m d:u:用户名：权限 文件名 

（二）文件特殊权限

1.      SetUID

SetUID针对文件功能

a)    只有可执行二进制程序才可以设定SUID权限。

b)    命令执行者要对该程序拥有x执行权限。

c)    命令执行者在执行程序时获得该程序文件属主的身份。

d)    SetUID权限只在改程序执行过程中有效，也就是说身份改变只在程序执行过程中有效。

普通用户执行该命令时，获得所有者的权限。例如，上图获得root命令。

在所有者内拥有s权限，SetUID

在文件所属组拥有s权限，SetGID

在其他人内拥有s权限，Stciky BIT

设定SetUID的方法

4代表SUID

       chmod4755 文件名

       chmodu+s 文件名

 

       chmodg+s 文件名    设置SetGID

       chmodo+t 文件名     设置Sticky BIT

2代表SGID

1代表SBIT

取消SetUID的方法

chmod 755

chmod u-s

chmod g-s

chmod o-t

危险SetUID

       a)    关键目录严格控制写权限。比如‘/’、‘/usr‘等。

       b)    用户的密码设置严格遵守密码三原则。

c)    对系统默认应该具有SetUID权限的文件做一列表，定时检查有没有这之外的文件被设置了SetUID权限。

2.    SetGID

SetGID针对目录的作用

       普通用户必须对此目录拥有r和x权限，才能进入此目录。

       普通用户在此目录中的有效组会变成此目录的属组。

       若普通用户对此目录拥有w权限，新建的文件默认属组是这个目录的属组。

SetGID针对文件的作用    

只有可执行二进制程序才可以设定SGID权限。

命令执行者要对该程序拥有x执行权限。

命令执行者在执行程序时，组身份升级为该程序的属组。

SetGID权限同样只在改程序执行的过程中生效，也就是说组身份改变只在程序执行过程中有效。

设定SGID权限，如同SUID权限设置。

3.     Sticky BIT

SBIT粘着位对目录的作用

a)     粘着位目前对目录有效。

b)    普通用户对该目录拥有w和x权限，即普通用户可以在此目录拥有写入权限。

c)     如果没有粘着位，因为普通用户拥有w权限，所以可以删除该目录下所有文件，包括其他用户建立的文件。一旦赋予了粘着位，除了root可以删除所有文件，普通用户就算拥有w权限，也只能删除自己建立的文件，但是不能删除其他用户创建的文件。

设置与取消粘着位，方法如同SUID方法。

（三）文件系统属性chattr权限

命令格式

chattr 【+-=】【选项】文件或目录名

+  增加权限

-      取消权限

=  赋予权限

选线：

i: 如果对文件设置i属性，那么对文件不允许删除、改名，也不能添加和修改数据；如果对目录设置i属性，那么只能修改目录下文件的数据，但不允许建立和删除数据。（对root生效）

a: 如果对文件设置a属性，那么只能在文件中增加数据，但不能删除和修改数据；如果对目录设置a属性，那么只允许在目录中建立和修改文件，但是不允许删除。

查看文件系统属性

lsattr 【选项】文件名

-a 显示所有

-d 若目标是目录，仅列出目录本身的属性

（四）系统命令sudo权限

1.     sudo权限

root把只有超级用户可以执行的命令赋予普通用户执行。

sudo的操作对象是系统命令。

2.     sudo使用

visudo

#实际修改的是/etc/sudoers文件

root ALL=(ALL) ALL

#用户名 被管理主机的地址=（可使用的身份）授权命令（绝对路径）

#%wheel ALL=(ALL) ALL

#%组名 被管理主机的地址= （可使用的身份）授权命令（绝对路径）

3.     授权普通用户执行命令

visudo

altman ALL=/sbin/shutdown–r now

4.     普通用户执行sudo赋予的命令

sudo –l

sudo /sbin/shutdown - now