网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
-
-b,删除所有的ACL权限
-
-d,设置默认的ACL权限
-
-k,删除默认的ACL权限
-
-R,递归设置ACL权限
递归权限针对目录,不对文件有效
设置ACL
权限,setfacl
-m 文件:
-
u:用户名:权限 文件名,为用户分配ACL权限
-
g:组名:权限 文件名,为组分配ACL权限
-
例如:
setfacl -m u:sky:rx /home/av
,赋予sky这个用户读和执行的权限,av代表目录
查询ACL
权限,getfacl
【选项】文件
- 有设置,当然也有查询。通过getacl av,查看av目录的ACL权限
mask
, 用来指定最大有效权限。如果给用户赋予ACL权限,是需要与mask的权限做“相与”逻辑运算才能得到用户的真正权限。
删除指定用户ACL
权限。例如,bols波老师代表文件名
-
删除指定用户的,
setfacl -x u:sky bols
-
删除指定组的,
setfacl -x g:sky bols
删除所有ACL
权限,例如
- setfacl -b 文件名,删除这个文件所有ACL权限
设置默认ACL
权限
- 例如:
setfacl -m d:u:sky:rx -R /home/av
,如果给av这个父目录下所有子文件赋予了读和执行默认的ACL权限,之前新建的是不会生效的,针对赋予权限之后新建的文件
删除默认ACL
权限
- 例如:
setfacl -m d:u:sky:rx -R /home/av
,删除av
这个目录下所有文件和子目录的默认ACL权限
递归ACL
权限,递归是父目录在设定ACL权限时,所有的子文件和子目录也会拥有相同的ACL权限,这时设定的是针对已经存在的文件。
-
u:用户名:权限 文件名,为用户分配ACL权限
-
例如:
setfacl -m u:sky:rx -R /home/av
,赋予sky这个用户读和执行的权限,av目录下所有文件都赋予了读和执行的权限。尽量少用递归ACL权限,会造成权限溢出。
二、文件不可改变位权限
chattr
命令 [+ - =]【选项】文件或目录名
-
+:增加权限
-
-:删除权限
-
=:等于某权限
最常用的是-i
和-a
-i
:文件不可删,不可修改。如果对文件设置i属性,那么不允许对文件进行删除、改名,也不能添加和修改数据;如果对目录设置i属性,那么只能修改目录下文件的数据,但不允许建立或删除文件。
例如:此时对bols
文件进行了赋予chattr +i bols
属性命令。使用lsattr
命令查看你会发现多了i属性,而且不能对其进行删除如下图:
设置了+i属性,不让删除
-a
:文件不可删,可修改。如果对文件设置a属性,那么只能在文件中增加数据,但不能删除和修改数据;如果对目录设置a属性,那么只允许在目录中建立和修改文件,但不允许删除文件。
例如:此时对bols
文件进行了赋予chattr +a bols
属性命令,也可以用lsattr命令查看发现多了a属性如下图:
设置+a属性了,也是不让删除的
注意:使用vi
进行修改是行不通的,系统不好判断是修改还是新增。但使用echo >> av /home/user1/bols
重定向输出是可行的。
三、文件特殊权限
通过观看学习视频,总结了下,大致的把文件特殊权限分为这三个:suid(SetUID
),sgid(SetGID
),sbit(Sticky BIT
)。
首选来了解下suid
,下面我就采用简写了。
-
只有可执行的二进制程序才能设定suid权限。
-
命令执行者要对该程序拥有X(执行)权限。
-
命令执行者在执行该程序时获得该程序文件属组的身份(在执行程序的过程中灵魂附体为文件是属组)。
-
suid权限只在该程序执行过程中有效,身份改变只在程序执行过程中生效。
passwd
命令拥有suid
权限,所以普通用户可以修改自己的密码
cat
命令没有suid
权限,普通用户不能查看/etc/shadow
文件中的类容
设定suid
的方法,4代表suid
-
chmod 4755 文件名
-
chmod u+s 文件名
有设定当然也有对应的取消suid
的方法
-
chmod 0755 文件名
-
chmod u-s 文件名
使用suid权限时得慎重,这家伙也是很危险的。
-
关键目录应该严格控制写权限。例如:“/”,"usr"等等
-
用户密码设置严格遵守密码三原则
-
对系统中默认应该具有suid权限的文件作一列表,定时检查有没有以外的文件被设置的suid权限
了解了suid权限后,再来了解下sgid
(SetUID
)权限,针对文件的作用。
-
只有可执行的二进制程序才能设定sgid权限。
-
命令执行者要对该程序拥有X(执行)权限。
-
在执行程序的时候,组身份升级为该程序文件的属组
-
sgid权限一样也只在该程序执行过程中有效,组身份改变只在程序执行过程中生效。
sgid
针对目录的作用
-
普通用户必须对此目录拥有r(读)和x(写)权限,才能进入此目录
-
普通用户在此目录中的有效组会变成此目录的属组
-
普通用户对此目录拥有w(写)权限时,新建文件的默认属组是这个目录的属组
例如:
-
/usr/bin/locate
是可执行二进制程序,可以赋予sgid
特使权限 -
执行用户lamp对
/usr/bin/locate
命令拥有执行权限 -
执行
/usr/bin/locate
命令时,组身份会升级为slocate组,而slocate组对/var/lib/mlocate/mlocate.db
数据库拥有r(读)权限,普通用户可以使用locate命令查询mlocate.db数据库 -
命令结束时,用户lamp的组身份返回lamp组
设定sgid
,2代表sgid
最后的话
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
资料预览
给大家整理的视频资料:
给大家整理的电子书资料:
如果本文对你有帮助,欢迎点赞、收藏、转发给朋友,让我有持续创作的动力!
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
有帮助,欢迎点赞、收藏、转发给朋友,让我有持续创作的动力!**
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!