Linux权限管理之特殊权限
创新互联建站专业IDC数据服务器托管提供商,专业提供成都服务器托管,服务器租用,托管服务器,托管服务器,成都多线服务器托管等服务器托管服务。
ACL(访问控制列表)
用来解决用户对权限的身份不足的问题
使用ACL必须要有文件系统的支持才行
Linux平台上,常见的支持ACL的文件系统有 ext2\ext3\ext4,JFS,XFS等
查看分区ACL权限是否开启
dumpe2fs -h 设备名 | grep "Default mount options" #查看设备的默认挂载权限 (dumpe2fs 只支持ext2/3/4文件系统)
XFS文件系统的超级快信息使用xfs_growfs命令查看
临时开启分区ACL权限
mount -o remount,acl / #重新挂载根分区并加入acl权限
永久开启ACL权限,修改/etc/fstab
查看ACL权限
getfacl 文件名
范例:
[root@VM_0_8_centos home]# getfacl av
# file: av #文件名
# owner: tony #属主
# group: stu #属组
user::rwx #属主的权限
user:lw:r-x #lw用户的权限
group::rwx #属组的权限( effective:r-x #属组的真正权限)
group:tgroup2:rwx #tgroup2组的权限(effective:r-x #tgroup2组的真实权限)
mask::r-x
other::---
ACL最大有效权限mask
mask是用来指定最大有效权限的。给某用户赋予的ACL权限需要和mask权限"相与"才能得到用户的真正权限
配置mask方法:
setfacl -m m:权限 文件名 #设定文件的mask权限
设定ACL权限
setfacl [option] acl参数 文件名
-m :设定ACL权限
-x :删除指定ACL权限
-b :删除所有ACL权限
-d :设定默认ACL权限
-k :删除默认ACL权限
-R :递归设定ACL权限
ACL参数主要由三部分组成:
三种身份:对应身份名:三种权限
[u|g|o] : [用户名|组名]:[rwx]
给用户设定ACL权限:
setfacl -m u:用户名:相应权限 文件名
给用户组设定ACL权限:
setfacl -m g:组名:相应权限 文件名
范例:
setfacl -m u:tom:rw- test.txt
setfacl -m g:stu:rw- hello.txt
删除ACL权限:
setfacl -x u:用户名 文件名 #删除指定用户ACL权限
setfacl -x g:组名 文件名 #删除指定用户组ACL权限
setfacl -b 文件名 #删除文件的所有ACL权限
ACL默认权限与递归权限
递归ACL权限
递归是父目录在设定ACL权限时,所有的子文件和子目录也会拥有相同的ACL权限,易导致权限溢出
设定ACL权限时 使用-R权限
递归权限仅能赋予目录,不能赋予文件
递归权限设置时,只会对目录下已经创建的文件和子目录授予相同的ACL权限,此后新建的文件和子目录
不会被授予相同的ACL权限
范例;
setfacl -m u:lw:rw -R /hello.txt
默认ACL权限
默认ACL权限的作用是如果给父目录设定了默认的ACL权限,那么父目录中所有新建的子文件都会继承父目录的ACL权限
setfacl -m d:u:用户名:权限 文件名
-----------------------------------------------------------------------------------------------------------------------
Linux sudo 权限
root把本来只能超级用户执行的命令赋予普通用户执行
sudo的操作对象是系统命令
给普通用户赋予超级用户的权限
visudo命令
visudo命令打开的文件中给普通用户/用户组赋予权限的格式:
用户名 被管理主机的地址=(可使用的身份) 授权的命令(必须是绝对路径)
%组名 被管理主机的地址=(可使用的身份) 授权的命令(必须是绝对路径)
普通用户执行root用户赋予的命令:
sudo 命令的绝对路径
Linux 文件特殊权限 (特殊权限精量少修改)
SetUID
只有可以执行的二进制程序才能设定SUID权限
命令执行者要对该程序拥有x(执行)权限
命令执行者在执行该程序时获得该程序文件属主的身份(在执行程序的过程中灵魂附体为文件的属主)
SetUID权限只在该程序执行过程中有效,也就是说身份改变只在程序执行过程中有效
设定SetUID的方法
4代表SUID
chmod 4755 文件名
chmod u+s 文件名
取消SetUID的方法
chmod 0755 文件名
chmod u-s 文件名
危险的SetUID
关键目录应严格控制写权限。
用户的密码设置要严格遵守密码三原则
对系统中默认应该具有SetUID权限的文件作一列表,定时检查有没有这之外的文件被设置了SetUID权限
SetGID
SetGID针对文件的作用
只有可以执行的二进制程序才能设定SGID权限
命令执行者要对该程序拥有x(执行)权限
命令执行在执行程序的时候,组身份升级为该程序文件的属组
SetGID权限同样只在该程序执行过程中有效,也就是说组身份改变只在程序执行过程中有效。
SetGID针对目录的作用
普通用户必须对此目录拥有r和x权限,才能进入此目录
普通用户在此目录中的有效组会变成此目录的属组
如普通用户对此目录拥有w权限时,新建的文件的默认属组是这个目录的属组
设定SetGID
2代表SGID
chmod 2755 文件名
chmod g+s 文件名
Sticky BIT权限(粘着位权限)
粘着位目前只对目录有效
普通用户对该目录拥有w和x权限,既普通用户可以在此目录拥有写入权限
如果没有粘着位,因为普通用户拥有w权限,所以可以删除此目录下所有文件,包括其他用户建立的文件
一担赋予了粘着位,除了root可以删除所有文件,普通用户就算拥有w权限,也只能删除自己建立的文件
但是不能删除其他用户建立的文件。
设置粘着位
chmod 1755 目录名
chnod o+t 目录名
取消粘着位
chmod 0777 目录名
chmod o-t 目录名
Linux 不可改变位权限(chattr权限)
chattr命令格式
chattr [+ - =] [option] 文件或目录名
+:增加权限
-: 删除权限
=: 等于某权限
选项:
i:如果对文件设置i属性,那么不允许对文件进行删除、改名、也不能添加修改数据;如果对目录设置i属性,那么只能修改目录下文件的数据,但不允许建立和删除文件
a:如果对文件设置a属性,那么只能在文件中增加数据,但是不能删除也不能修改数据;如果对目录设置a属性,那么只允许在目录中建立和修改文件,但是不允许删除。
查看文件系统属性:
lsattr
-a :显示所有文件和目录
-d :如目标是目录,仅列出目录本身的属性,而不是子文件的