如何在 Linux 的 shell 里针对特定用户/组来限制某些命令的使用

0-前言

最近，业务侧有个需求，需要禁止特定用户访问linux特定的命令，如禁止用户A使用rm命令。

我们知道，在linux系统中，一切皆文件。

那么，这个问题也可以泛化为：

如何在linux里限制特定用户/用户组对特定文件/文件夹的访问权限的控制？

1-解决方案

为了叙述方便，这里将需求收拢：如何限制用户使用rm命令。

这里会涉及到一些基础知识，可以详见第二章节: 基础知识补充

1.1-使用 chmod

首先看下 rm 的权限

$ ls -l /bin/rm
-rwxr-xr-x  1 root  wheel  105984 Jan  1  2020 /bin/rm
复制代码

可以看到：rm命令针对root用户的权限是755，也就是说root可以可读可写可执行，针对root所在的组（这里是wheel）是可读可执行，针对其他用户是可读可执行。

那么，如果需求是限制非 root 用户执行 rm 命令，就可以执行命令：

$ chmod 754 /bin/rm

$ ls -l /bin/rm
-rwxr-x--x  1 root  wheel  105984 Jan  1  2020 /bin/rm
复制代码

这样，除了 root 用户，其他所有用户，均没办法执行 rm 命令了。

但是这个方案有个缺陷，会“一刀切”，只会区分 root 用户和非 root 用户（严格意义上说，是分为用户、组、其他人）。如果需要更细粒度的权限，比如允许 root 用户和 user_a 用户可以执行 rm 操作，不允许 user_b 用户执行，chmod 命令就不能满足了，此时需要使用 setfacl 命令。

1.2-使用 getfacl+setfacl

• 首先使用 getfacl 查看 rm 的 acl 权限

 $ getfacl /bin/rm

# file: bin/rm
# owner: root
# group: root
user::rwx # 所有用户都有x权限，即执行权限
group::r-x
other::r-x
复制代码

• 关闭所有用户的执行权限

 $ setfacl -m user::rw /bin/rm
$ setfacl -m other::r /bin/rm
$ getfacl bin/rm
# file: bin/rm
# owner: root
# group: root
user::rw- # 所用用户的x权限被收回
group::r-x
other::r--
复制代码

• 打开 root 用户的执行权限

 $ setfacl -m user:root:rwx /bin/rm
$ getfacl bin/rm
# file: bin/rm
# owner: root
# group: root
user::rw-
user:root:rwx # 给root用户添加了x权限
group::r-x
mask::rwx
other::r--
复制代码

• 打开 user_a 用户的执行权限

 $ setfacl -m user:user_a:rwx /bin/rm
$ getfacl bin/rm
# file: bin/rm
# owner: root
# group: root
user::rw-
user:root:rwx # 给root用户添加了x权限
user:user_a:rwx # 给user_a用户添加了x权限
group::r-x
mask::rwx
other::r--
复制代码

通过上面的设置，就实现了：允许 root 用户和 user_a 用户可以执行 rm 操作，不允许 user_b 用户执行的需求了。

2-基础知识补充

2.1- Linux 文件基本属性介绍

我们知道，Linux 系统下的每个文件都有一个和权限相关的基本属性，通过 ls -l就可查看，如下图

• 第一个黄色的表示文件类型：

  • d --- 表示是文件夹（directory）
  • - --- 表示是一个文件
  • l --- 表示是一个链接（link）
  • b --- 表示为装置文件里面的可供储存的接口设备(可随机存取装置)
  • c --- 表示为装置文件里面的串行端口设备，例如键盘、鼠标(一次性读取装置)

• 第二个绿色表示是的用户的权限。权限分为 rwx

  • r --- 读权限，分值是5
  • w --- 写权限，分值是2
  • x --- 执行权限，分值是1

• 第三个蓝色表示的是用户所在组的权限

• 第四个红色表示的是其他用户的权限

• 另外在红色后面，有时候还会出现 + 和 .

  • . --- 在开启SELinux的情况下创建的目录和文件有具有这个点，权限列有这个点说明该目录或文件以及设置了SELinux相关的权限。在禁用SELinux权限之后，在之前开启SELinux权限时创建的文件或目录保持原来的权限不变，权限列的点依然显示。新创建的目录或文件在权限列无这个点显示。
  • + --- 权限列中最后一个位置如果是加号，说明这个目录或文件已经设置了ACL权限相关的内容。如果加号存在，则已经有点的目录或文件，点的显示会被覆盖，但原来的SELinux属性保持不变

点表示该文件具有SELinux安全上下文，加号表示该文件配置了ACL权限，加号不会覆盖SELinux控制。

• 第二列的数字表示的是硬链接的个数，可以理解为这个文件被引用了多少次

• 第三列表示文件属于哪个用户

• 第四列表示文件属于那个用户组

• 第五列表示文件的大小，默认是 byte 显示，可以使用 ls -h 更加直观的看（h = human）

• 第六-八列表示上次修改的时间

• 最后一列是文件名称

2.2 - getfacl / setfacl

• getfacl -- 获取文件访问控制列表

使用方法: getfacl  [-aceEsRLPtpndvh]  文件 ...
  -a,  --access           仅显示文件访问控制列表
  -d, --default           仅显示默认的访问控制列表
  -c, --omit-header     不显示注释表头
  -e, --all-effective     显示所有的有效权限
  -E, --no-effective      显示无效权限
  -s, --skip-base         跳过只有基条目(base entries)的文件
  -R, --recursive         递归显示子目录
  -L, --logical           逻辑遍历(跟随符号链接)
  -P, --physical          物理遍历(不跟随符号链接)
  -t, --tabular           使用制表符分隔的输出格式
  -n, --numeric           显示数字的用户/组标识
  -p, --absolute-names    不去除路径前的 '/' 符号
  -v, --version           显示版本并退出
  -h, --help              显示本帮助信息
复制代码

• setfacl -- 设定文件访问控制列表

用法: setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ...
  -m, --modify=acl 更改文件的访问控制列表
  -M, --modify-file=file 从文件读取访问控制列表条目更改
  -x, --remove=acl 根据文件中访问控制列表移除条目
  -X, --remove-file=file 从文件读取访问控制列表条目并删除
  -b, --remove-all 删除所有扩展访问控制列表条目
  -k, --remove-default 移除默认访问控制列表
      --set=acl 设定替换当前的文件访问控制列表
      --set-file=file 从文件中读取访问控制列表条目设定
      --mask 重新计算有效权限掩码
  -n, --no-mask 不重新计算有效权限掩码
  -d, --default 应用到默认访问控制列表的操作
  -R, --recursive 递归操作子目录
  -L, --logical 依照系统逻辑，跟随符号链接
  -P, --physical 依照自然逻辑，不跟随符号链接
      --restore=file 恢复访问控制列表，和“getfacl -R”作用相反
      --test 测试模式，并不真正修改访问控制列表属性
  -v, --version           显示版本并退出
  -h, --help              显示本帮助信息
复制代码

• 使用示例

 $ getfacl test
# file: test
# owner: root
# group: root
user::r-x
user:tank:rwx                   #effective:---
group::r-x                      #effective:---
mask::---
other::---

$ setfacl -m u:zhangy:rw- test #修改文件的acl权限，添加一个用户权限
$ getfacl test
# file: test
# owner: root
# group: root
user::r-x
user:zhangy:rw-                       #多出来一个用户
user:tank:rwx
group::r-x
mask::rwx
other::---

$ setfacl -m g:zhangying:r-w test      #添加一个组
$ getfacl test
# file: test
# owner: root
# group: root
user::r-x
user:zhangy:rw-
user:tank:rwx
group::r-x
group:zhangying:rw-
mask::rwx
other::---

$ getfacl test     #查看acl
# file: test
# owner: root
# group: root
user::rw-
group::r--
other::r--

$ setfacl -m u:tank:rx test   #给tank用户向test文件增加读和执行的acl规则
$ getfacl test    #查看acl
# file: test
# owner: root
# group: root
user::rw-
user:tank:r-x      #已加入
group::r--
mask::r-x
other::r--

$ setfacl -m u::rwx test   #设置默认用户，读，写，可执行
$ getfacl test
# file: test
# owner: root
# group: root
user::rwx
user:tank:r-x
group::r--
mask::r-x
other::r--

$ setfacl -b test     #清除所有acl
$ getfacl test 
# file: test
# owner: root
# group: root
user::rwx
group::r--
other::r--

$ setfacl -m u:tank:rx test      #给tank用户向test文件增加读和执行的acl规则
$ setfacl -m u:testtank:rx test  #给testtank用户向test文件增加读和执行的acl规则
$ getfacl test
# file: test
# owner: root
# group: root
user::rwx
user:testtank:r-x
user:tank:r-x
group::r--
mask::r-x
other::r--


$ setfacl -x u:tank test    #清除tank用户，对test文件acl规则
$ getfacl test
# file: test
# owner: root
# group: root
user::rwx
user:testtank:r-x
group::r--
mask::r-x
other::r--