ACL权限
ACL权限简介与开启
对于一个文件和目录的权限只有三种权限:所属主、所属组、其他人。当权限关系比较复杂是,三种角色往往是不够的,ACL就是解决了权限不够的问题。类似于windows的用户权限。
dump2fs -h /dev/sda3
#dumpe2fs命令是查询指定分区详细文件系统信息的命令
选项:
-h 仅显示超级块中信息,而不显示磁盘块组的详细信息。
df -h #先看系统有哪些分区
dump2fs -h 根目录分区
在列出的信息中找到 Default mount options(默认挂载选项),其值带有acl 说明分区支持ACL权限
如果没有,需要手动临时开启或永久开启
临时开启分区ACL权限
mount -o renmount,acl /
# 重新挂载根分区,并挂载加入acl权限
永久开启分区ACL权限
vi /etc/fstab #打开【系统开机自动挂载文件】
在需要重新挂载的分区下,default后面加入,acl
保存,重启即可
查看与设定ACL权限
getfacl 文件名
#查看acl权限
setfacl [选项] 文件名 #设定ACL权限
| 选项 | 功能 |
|---|---|
| -m | 设定ACL权限 |
| -x | 删除指定的ACL权限 |
| -b | 删除所有的ACL权限 |
| -d | 设定默认ACL权限 |
| -k | 删除默认ACL权限 |
| -R | 递归设定ACL权限 |
setfacl -m u:st:rx /project/ # 给st用户对project目录设置rx权限
这是查看文件权限发现后面多了一个 "+" 说明具有ACL权限
用查看ACL权限命令发现多了一个user:st:r-x
setfacl -m g:tgroup2:rwx /project/ #给tgroup2组对project目录设置rwx权限
用查看ACL权限命令发现多了一个group:tgroup2:rwx
最大有效权限与删除ACL权限
最大有效权限mask
mask是用来指定最大有效权限的。如果我给用户赋予了ACL权限,是需要和mask的权限“相与”才能得到用户的真正权限,它只影响ACL权限和所属组的权限。
setfacl -m m:rx 文件名 #设定mask权限为r-x,使用”m:权限“格式
删除ACL权限
setfacl -x u:用户名 文件名 #删除指定用户的ACL权限
setfacl -x g:组名 文件名 #删除指定用户组的ACL权限
setfacl -b 文件名 #会删除文件的所有的ACL权限
默认ACL权限和递归ACL权限(只针对目录)
递归是父目录在设定ACL权限时,所有的子文件和子目录也会拥有相同的ACL权限
setfacl -m u:用户名:权限 -R 目录名 (-R不能放在-m的位置)
但此时加入新的用户,该用户的对文件夹的递归权限并没有生效,所以需要默认ACL权限
默认ACL权限的作用时如果给父目录设定了默认ACL权限,那么父目录中所有新建的子文件都会继承父目录的ACL权限。
setfacl -m d:u:用户名:权限 目录名 (d)
默认ACL权限对现有用户是不生效的,只对新加入的用户生效
文件特殊权限
SetUID
SetUID的功能
只有可以执行的二进制程序才能设定SUID权限
命令执行者要对该程序拥有x(执行)权限
命令执行者在执行该程序时获得该程序文件属主的身份(在执行程序的过程中灵魂附体为文件的属主)
SetUID权限只在该程序执行过程中有效,也就是说身份改变只在程序执行过程中有效
passwd命令拥有SetUID权限,所以普通用户可以修改自己的密码
cat命令没有SetUID权限,所以普通用户不能查看/etc/shadow文件内容
设定SetUID的方法
4代表SUID
chmod 4755 文件名 (如果要去掉则重新赋予755权限)
chmod u+s 文件名 (如果要去掉则重新赋予u-s权限)
当执行命令后查看文件权限,如果不是小写s而是大写的S,说明设定SUID权限失败。不满足上述的4个条件
取消SetUID的方法
chmod 755 文件名
chmod u-s 文件名
危险的SetUID
关键目录应严格控制写权限。比如“/”、“/usr”等
用户的密码设置要严格遵循密码三原则
对系统中默认应该具有SetUID权限的文件作一列表,定时检查有没有这之外的文件被设置了SetUID权限
SetGID
针对文件
只有可以执行的二进制程序才能设定SGID权限
命令执行者要对该程序拥有x(执行)权限
命令执行者在执行该程序时,组身份升级为该程序文件的属组
SetUID权限同样只在该程序执行过程中有效,也就是说组身份改变只在程序执行过程中有效
ll /usr/bin/locate
ll /var/lib/mlocate/mlocate.db
/usr/bin/locate是可执行二进制程序,可以赋予SGID
执行用户lamp对/usr/bin/locate命令拥有执行权限
执行/usr/bin/locate命令时,组身份会升级为slocate组,而slocate组对/var/lib/mlocate/mlocate.db数据库拥有r权限,所以普通用户可以使用locate命令查询mlocate.db数据库
命令结束,lamp用户的组身份返回为lamp组
针对目录
普通用户必须对此目录拥有r和x权限,才能进入此目录
普通用户在此目录中的有效组会变成此目录的属组
若普通用户对此目录拥有w权限时,新建的文件的默认属组是这个目录的属组
设定SetGID
2代表SGID
chmod 2755 文件名
chmod g+s 文件名
取消SetGID
chmod 755 文件名
chmod g-s 文件名
Sticky BIT
粘着位目前只对目录有效
普通用户对该目录拥有w和x权限,即普通用户可以在此拥有写入权限
如果没有粘着位,因为普通用户拥有w权限,所以可以删除此目录下所有文件,包括其他用户建立的文件。一旦赋予了粘着位,除了root可以删除所有文件,普通用户就算拥有w权限,也只能删除自己建立的文件,但是不能删除其他用户建立的文件
ll -d /tmp/
设置粘着位
chmod 1755 目录名
chmod o+t 目录名
取消粘着位
chmod 777 目录名
chmod o-t 目录名
文件系统属性chattr权限
chattr命令格式
chattr 【+-=】【选项】文件或目录名 (对root用户同样起作用)
+:增加权限
-:删除权限
=:等于某权限
选项:
i:如果对文件设置i属性,那么不允许对文件进行删除、改名,也不能添加和修改数据;如果对目录设置i属性,那么只能修改目录下文件的数据,但不允许建立和删除文件
a:如果对文件设置a属性,那么只能在文件中增加数据,但是不能删除也不能修改数据;如果对目录设置a属性,那么只允许在目录中建立和修改文件,但是不允许删除
lsattr 【选项】文件名
选项:
-a:显示所有文件和目录
-d:若目标是目录,仅列出目录本身的属性,而不是子文件的
系统命令sudo权限
sudo权限
root把本来只能超级用户执行的命令赋予普通用户执行。
sudo的操作对象是系统命令。
sudo使用
visudo #实际修改的是/etc/sudoers 文件
root ALL=(ALL:ALL) ALL
#用户名 被管理主机的地址=(可使用的身份) 授权命令(绝对路径)
%wheel ALL=(ALL:ALL) ALL
#%组名 被管理主机的地址=(可使用的身份) 授权命令(绝对路径)
授权sc用户可以重启服务器
visudo
wangwei ALL=/sbin/shutdown -r now
普通用户执行sudo赋予的命令
su - wangwei
sudo -l #查看可用的sudo命令
sudo /sbin/shutdown -r now #普通用户执行sudo赋予的命令
