(八)权限管理
第一节 ACL权限的简介与开启
1.ACL权限简介
解决用户身份不足的情况下,文件对用户的权限无法分配的问题
2.查看分区ACL权限是否开启
dumpe2fs -h /dev/sda3
#dumpe2fs命令是查询指定分区详细文件系统信息的命令,查看Default_mount_options选项后是否指定开启ACL权限
选项:
-h 仅显示超级块中信息,而不显示磁盘块组的详细信息
注意:是否支持ACL权限取决于文件所在的分区
3.临时开启分区ACL权限
mount -o remount,acl /
#重新挂载根分区,并挂载加入acl权限
4.永久开启分区ACL权限
vi /etc/fstab
UUID=c2ca6f57-b15c-43ea-bca0-f239083d8bd2 / ext4 defaults,acl 1 1
#加入acl
mount -o remount /
#重新挂载文件系统或重启系统,使修改生效
第二节 查看与设定ACL权限
1.查看ACL权限的命令
getfacl 文件名 #查看acl权限
2.设定ACL权限的命令
setfacl 选项 文件名
选项:
-m 设定ACL权限
-x 删除指定的ACL权限
-b 删除所有的ACL权限
-d 设定默认的ACL权限
-k 删除默认的ACL权限
-R 递归设定ACL权限
3.给用户设定ACL权限
实例命令 给用户st赋予r-x权限使用"u:用户名:权限"格式
useradd zhangsan
useradd lisi
useradd st
groupadd tgroup
mkdir /project
chown root:tgroup /project/
chmod 770 /project
setfacl -m u:st:rx /project
4.给用户组设定ACL权限
groupadd tgroup2
setfacl -m g:tgroup2:rwx project/
为组tgroup2分配ACL权限,使用"g:组名:权限"格式
第三节 最大有效权限和删除ACL权限
1.最大有效权限mask
mask是用来指定最大有效权限的。如果我给用户赋予了ACL权限,是需要和mask的权限"相与"才能得到用户的真正权限
修改最大有效权限
setfacl -m m:rx 文件名
#设定mask权限为r-x,使用"m:权限"格式
2.删除ACL权限
setfacl -x u:用户名 文件名 删除指定用户的ACL权限
setfacl -x g:组名 文件名 删除指定用户组的ACL权限
setfacl -b 文件名 会删除文件的所有ACL权限
第四节 默认的ACL权限和递归ACL权限
1.递归ACL权限
递归是父目录在设定ACL权限时,所有的子文件和子目录也会拥有相同的ACL权限
setfacl -m u:用户名:权限 -R 文件名
2.默认ACL权限
默认ACL权限的作用是如果给父目录设定了默认的ACL权限,那么父目录中所有的新建的子文件都会继承父目录的ACL权限
setfacl -m d:u:用户名:权限 文件名
注意:递归的ACL权限和默认的ACL权限只能针对目录进行设定
第五节 文件特殊权限
1.SetUID的功能与条件
1)只有可以执行的二进制程序才能设定SUID权限
2)命令执行者要对该程序拥有x(执行)权限
3)命令执行者在执行改程序时获得改程序文件属主的身份(在执行程序的过程中灵魂附体为文件属主)
4)SetUID权限只在该程序执行过程中有效,也就是说身份改变只在程序执行过程中有效
实例应用
passwd命令拥有SetUID权限,所以普通用户可以修改自己的密码
ll /usr/bin/passwd
-rwsr-xr-x 1 root root 258980 2月 22 2012 /usr/bin/passwd
cat命令没有SetUID权限,所以普通用户不能查看/etc/shadow文件内容
ll /bin/cat
-rwxr-xr-x 1 root root 47976 6月 22 2012 /bin/cat
2.设定SetUID的方法
4代表SUID
chmod 4755 文件名
chmod u+s 文件名
3.取消SetUID的方法
chmod 755 文件名
chmod u-s 文件名
4.危险的SetUID
关键目录应严格控制写权限,比如"/" "/usr"等
用户的密码设置要严格遵守密码三原则
减水剂
对系统中默认应该具有SetUID权限的文件作一列表,定时检查有没有这之外的文件被设置了SetUID权限
5.SetGID针对文件的作用
只有可执行的二进制文件程序才能设置SGID权限
命令执行者要对改程序拥有x(执行)权限
命令在执行程序的时候,组身份升级为该程序文件的属组
SetGID权限同样只在该程序执行过程中有效,也就是说组身份改变只在程序执行过程中有效
ll /usr/bin/locate
-rwx--s--x 1 root slocate 35612 8月 24 2010 /usr/bin/locate
ll /var/lib/mlocate/locate.db
-rwx-r---- 1 root slocate 1838850 1月 20 0429 /var/lib/locate/locate.db
#/usr/bin/locate是可执行二进制程序,可以赋予SGID
#执行用户lamp对/usr/bin/lamp命令拥有执行权限
#执行/usr/bin/locate命令时,组身份会升级为slocate组,而slocate组对/var/lib/locate/locate.db数据库拥有r权限,所以普通用户可以使用locate命令查询mlocate.db数据库
#命令结束,lamp用户的组身份返回为lamp组
6.SetGID针对目录的作用
普通用户必须对此目录拥有r和x权限,才能进入此目录
普通用户在此目录中的有效组会变成此目录的属组
若普通用户对此目录拥有w权限时,新建的文件的默认属组是这个目录的属组
7.设定SetGID
2代表SGID
chmod 2755 文件名
chmod g+s 文件名
命令实例
cd /tmp/
mkdir dtest
chmod g+s dtest
ll -d dtest/
chmod 777 dtest
su - lamp
cd /tmp/dtest
touch abc
ll
8.取消SetGID
chmod 755 文件名
chmod g-s 文件名
9.SBIT粘着位作用
粘着位目前只针对目录有效
普通用户对该目录拥有w和x权限,即普通用户可以在此目录拥有写入权限
如果没有粘着位,因为普通用户拥有w权限,所以可以删除此目录下所有文件,包括其他用户创建的文件。一旦赋予了粘着位,除了root可以删除所有文件,普通用户就算拥有w权限也只能删除自己建立的文档,但是不能删除其他用户建立的文件
注意:一般不会将三个权限同时赋予一个文件或目录,因为这样将有权限分配未被实现。
命令实例
ll /tmp/
drwxrwxrwt 3 root root 4096 12月 13 11:22 /tmp/
/tmp目录拥有SBIT权限,因此一个普通用户在该目录下的文件不能被其他普通用户删除
10.设置与取消粘着位
设置粘着位
chmod 1755 目录名
chmod o+t 目录名
取消粘着位
chmod 777 目录名
chmod o-t 目录名
第六节 文件系统属性权限chattr权限
1.chattr命令格式
chattr [+-=] [选项] 文件或目录名
+:增加权限
-:删除权限
=:等于某权限
选项:
i:如果对文件设置i属性,那么不允许对文件进行删除,改名,也不能添加和修改数据,如果对目录设置i属性,那么只能修改目录下文件的数据,但是不允许建立和删除文件(相当于锁定了文件,而且对root用户也生效)
a:如果对文件设置a属性,那么只能在文件中增加数据,但是不能删除也不能修改数据,如果对目录设置a属性,那么只允许在目录中建立和修改文件,但是不允许删除(相当于锁定了原有数据,允许新添加数据)
i属性和a属性可以避免误操作,i属性相对于a属性更加严格。
2.查看文件系统属性
lsattr 选项 文件名
选项:
-a 显示所有文件和目录
-d 若目标是目录,仅列出目录本身的属性,而不是子文件的
第七节 系统命令sudo权限
1.sudo权限
root把本来只能超级用户执行的命令赋予普通用户执行
sudo的操作对象是系统命令
2.sudo使用
visudo
实际修改的是/etc/sudoers文件
root ALL=(ALL) ALL
用户名 被管理主机的地址= (可使用的身份) 授权命令 (绝对路径)
%wheel ALL=(ALL) ALL
%组名 被管理主机的地址= (可使用的身份) 授权命令 (绝对路径)
注意:这里的第二个字段是被管理的主机的ip地址,写ALL代表本机
3.授权sc用户可以重启服务器
visudo
sc ALL= /sbin/shutdown -r now
被授予的命令写的越详细被赋予的权限就越小,这样做越安全
4.普通用户执行sudo赋予的命令
su - sc
sudo -l 查看可用的sudo命令
sudo /sbin/shutdown -r now 普通用户执行sudo赋予的命令
注意:不要将类似于vim的命令通过sudo赋予普通用户,这样普通用户将可以修改任何文件,这样做是及其危险的