网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
递归ACL
权限,递归是父目录在设定ACL权限时,所有的子文件和子目录也会拥有相同的ACL权限,这时设定的是针对已经存在的文件。
-
u:用户名:权限 文件名,为用户分配ACL权限
-
例如:
setfacl -m u:sky:rx -R /home/av
,赋予sky这个用户读和执行的权限,av目录下所有文件都赋予了读和执行的权限。尽量少用递归ACL权限,会造成权限溢出。
二、文件不可改变位权限
chattr
命令 [+ - =]【选项】文件或目录名
-
+:增加权限
-
-:删除权限
-
=:等于某权限
最常用的是-i
和-a
-i
:文件不可删,不可修改。如果对文件设置i属性,那么不允许对文件进行删除、改名,也不能添加和修改数据;如果对目录设置i属性,那么只能修改目录下文件的数据,但不允许建立或删除文件。
例如:此时对bols
文件进行了赋予chattr +i bols
属性命令。使用lsattr
命令查看你会发现多了i属性,而且不能对其进行删除如下图:
设置了+i属性,不让删除
-a
:文件不可删,可修改。如果对文件设置a属性,那么只能在文件中增加数据,但不能删除和修改数据;如果对目录设置a属性,那么只允许在目录中建立和修改文件,但不允许删除文件。
例如:此时对bols
文件进行了赋予chattr +a bols
属性命令,也可以用lsattr命令查看发现多了a属性如下图:
设置+a属性了,也是不让删除的
注意:使用vi
进行修改是行不通的,系统不好判断是修改还是新增。但使用echo >> av /home/user1/bols
重定向输出是可行的。
三、文件特殊权限
通过观看学习视频,总结了下,大致的把文件特殊权限分为这三个:suid(SetUID
),sgid(SetGID
),sbit(Sticky BIT
)。
首选来了解下suid
,下面我就采用简写了。
-
只有可执行的二进制程序才能设定suid权限。
-
命令执行者要对该程序拥有X(执行)权限。
-
命令执行者在执行该程序时获得该程序文件属组的身份(在执行程序的过程中灵魂附体为文件是属组)。
-
suid权限只在该程序执行过程中有效,身份改变只在程序执行过程中生效。
passwd
命令拥有suid
权限,所以普通用户可以修改自己的密码
cat
命令没有suid
权限,普通用户不能查看/etc/shadow
文件中的类容
设定suid
的方法,4代表suid
-
chmod 4755 文件名
-
chmod u+s 文件名
有设定当然也有对应的取消suid
的方法
-
chmod 0755 文件名
-
chmod u-s 文件名
使用suid权限时得慎重,这家伙也是很危险的。
-
关键目录应该严格控制写权限。例如:“/”,"usr"等等
-
用户密码设置严格遵守密码三原则
-
对系统中默认应该具有suid权限的文件作一列表,定时检查有没有以外的文件被设置的suid权限
了解了suid权限后,再来了解下sgid
(SetUID
)权限,针对文件的作用。
-
只有可执行的二进制程序才能设定sgid权限。
-
命令执行者要对该程序拥有X(执行)权限。
-
在执行程序的时候,组身份升级为该程序文件的属组
-
sgid权限一样也只在该程序执行过程中有效,组身份改变只在程序执行过程中生效。
sgid
针对目录的作用
-
普通用户必须对此目录拥有r(读)和x(写)权限,才能进入此目录
-
普通用户在此目录中的有效组会变成此目录的属组
-
普通用户对此目录拥有w(写)权限时,新建文件的默认属组是这个目录的属组
例如:
-
/usr/bin/locate
是可执行二进制程序,可以赋予sgid
特使权限 -
执行用户lamp对
/usr/bin/locate
命令拥有执行权限 -
执行
/usr/bin/locate
命令时,组身份会升级为slocate组,而slocate组对/var/lib/mlocate/mlocate.db
数据库拥有r(读)权限,普通用户可以使用locate命令查询mlocate.db数据库 -
命令结束时,用户lamp的组身份返回lamp组
设定sgid
,2代表sgid
-
chmod 2755 文件名
-
chmod g+s 文件名
取消sgid
-
chmod 0755 文件名
-
chmod g-s 文件名
了解完sgid,就剩下最后的sbit
特殊权限了,粘着位作用。
-
粘着位目前只对目录有效
-
普通用户对该目录拥有
w
(写)和x
(执行)权限,普通用户在此目录拥有写入权限 -
如果没有粘着位,普通用户拥有
w
(写)权限,所以可以删除此目录下所有文件,包括其他用户建立的文件。一旦赋予了粘着位,只有root
可以删除所有文件,普通用户就算拥有w
(写)权限,也只能删除自己建立的文件,但不能删除其他用户建立的文件。
四、sudo权限
sudo
权限,把原本只能超级用使用的命令对普通用户赋予权限,操作对象是系统命令。
sudo
使用
-
visudo
,实际修改的是/etc/sudoers
文件 -
root
用户名ALL
被管理主机的地址 = (ALL
)可使用的身份ALL
授权命令(绝对路径) -
#%wheel
#%组名ALL
被管理主机的地址 = (ALL
)可使用的身份ALL
授权命令(绝对路径)
例如:授权普通用户可以重启服务器
-
visudo,user1 ALL = /sbin/shutdown -r now
-
注意:命令写的越简单,相对而言赋予的权限越大。
例如:普通用户执行sudo
赋予的命令
-
切换到普通用户,
su - user1
-
sudo -l
,查看可用的sudo命令 -
普通用户执行sudo赋予的命令,
sudo /sbin/shutdown -r now
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!