imooc-Linux权限管理之特殊权限

imooc-Linux权限管理之特殊权限

第1章 ACL权限

1-1 Linux中ACL权限简介与开启

1. ACL权限简介：用于解决用户对文件的身份布局的缺陷

2. 查看分区ACL权限是否开启

   • dumpe2fs -h /dev/sda5
     • #dumpe2fs命令查询指定分区详细文件系统信息的命令
     • -h 仅显示超级块中信息，而不显示磁盘块组的详细信息

3. 临时开启分区ACL权限

   • # mount -o remount,acl /
     • #重新挂载根分区，并挂载加入acl权限

4. 永久开启分区ACL权限

   • # vi /ect/fstab

     • UUID=... / ext4 defaults,acl 1 1

     • # mount -o remount /

       #重新挂载文件系统或重启系统，使修改生效

1-2 Linux中ACL权限查看与设定

1. 查看ACL命令

   # getfacl filename

2. 设定ACL权限的命令

   # setfacl 选项 文件名

   • 选项：
     • -m：设定ACL权限
     • -x：删除指定的ACL权限
     • -b：删除所有的ACL权限
     • -d：设定默认ACL权限
     • -k：删除默认ACL权限
     • -R：递归设定ACL权限

3. 给用户设定ACL权限

   # useradd user1
   # groupadd group1
   # mkdir /file
   # chown user1:group1 /file
   # chmod 770 /file
   # useradd user2
   # setfacl -m u:user2:rx /file    
   

4. 给用户组设定ACL权限

   # groupadd group2
   # setfacl -m g:group2:rwx /file
   

1-3 Linux中ACL最大权限与删除

1. 最大有效权限mask

   • mask是用来指定最大有效权限的
   • 给用户赋予ACL权限，是需要和mask的权限“相与”才能得到用户的真正权限
   • 修改最大有效权限：# setfacl -m m:rx /filename

   mask:rwx
   # setfacl -m m:rx /file
   mask:r-x
   # setfacl -m u:user2:rwx /file
   user2:rwx
   mask:rwx       #会自动修改mask
   # setfacl -m m:rx /file       #解释
   user2:rwx     #effective:r-x
   mask:rx
   

2. 删除ACL权限

   • 删除指定用户的ACL权限：# setfacl -x u:user file
   • 删除指定用户组的ACL权限：# setfacl -x g:group file
   • 删除文件的所有的ACL权限：# setfacl -b file

1-4 Linux中ACL默认权限与递归权限

1. 递归ACL权限
   • 递归是父目录在设定ACL权限时，所有的子文件和子目录也会拥有相同的ACL权限
   • setfacl -m u:user:rwx -R file
   • 权限溢出问题：ACL递归常出现（执行权限对目录的作用和对文件的作用是不一样的）
   • 递归权限仅能赋予目录，不能赋予文件
   • -R：对目录已经有的文件做递归权限，对新建的文件无效
2. 默认ACL权限
   • 默认ACL权限的作用是如果给父目录设定了默认ACL权限，那么父目录中所有新建的子文件都会继承父目录的ACL权限
   • setfacl -m d:u:user:rwx file
   • 只针对目录生效
   • 对指令以前的文件不起作用

第2章 sudo权限

2-1 Linux中sudo权限（上）

1. sudo权限

   • root把本来只能超级用户执行的命令赋予普通用户执行
   • sudo的操作对象是系统命令

2. sudo使用

   • # visudo

     • 实际修改的事/ect/sudoers文件

     • user ALL=(ALL) ALL

       #用户名 被管理主机的地址=（可使用的身份）授权命令（绝对路径）

     • # %wheel ALL=(ALL) ALL

       #%组名 被管理主机的地址=（可使用的身份）授权命令（绝对路径）

     • 例 1：给普通用户赋予shutdown命令的权限

       # visudo
       ...
       user1 ALL=(ALL)  /sbin/shutdown -r now
       # /../.. -.. 命令写的越详细，获得的权限就越小；越简单获得的权限越大
       :wq   #保存退出
       
       #查看可用的sudo命令
       sudo -l
       #普通用户执行时的格式
       sudo /sbin/shutdown -r now
       

2-2 Linux中sudo权限（下）

• • • 例2：授权普通用户可用添加其他用户

      # visudo
      - user1 ALL=/usr/sbin/useradd    #whereis useradd查看路径
      
      - user1 ALL=/usr/bin/passwd
        #授予用户设定密码的权限   ！！！也可以给root改密码，很危险
      - user ALL=/usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd"", !/usr/bin/passwd root
        #不能设定root用户的密码
        
      - user1 ALL=/bin/vi
        # sudo /bin/vi /ect/shadow 可以修改密码等很危险！
      

第3章 文件特殊权限

特殊权限尽量少修改

3-1 Linux中SetUID（上）

1. SetUID的功能
   • 只有可以执行的二进制程序才能设定SUID权限
     • 若无执行权限SetUID, rwS , S无效
   • 命令执行者要对该程序拥有x（执行）权限
   • 命令执行者在执行该程序时获得该程序文件属主的身份（在执行程序的过程中灵魂附体为文件的属主）
   • SetUID权限只在该程序执行过程中有效，也就是说身份改变只在程序执行过程中有效

• passwd命令拥有SetUID权限，所以普通可以修改自己的密码
• cat命令没有SetUID权限，所以普通用户不能查看/ect/shadow文件内容

3-2 Linux中SetUID（下）

2. 设定SetUID的方法

   • 4代表SUID
     • chmod 4755 file
     • ``chmod u/g/o + s file`

3. 取消SetUID的方法

   • chmod 0755 file
   • chmod u-s file

4. 危险的SetUID

   • 关键目录应严格控制写权限。比如"/"、”/usr“等，不要自己设置！！！

   • 用户的密码设置要严格遵守密码三原则

     • 复杂性，易记性，时效性

   • 对系统中默认应该具有SetUID权限的文件作一列表，定时检查有没有这之外的文件被设置了SetUID权限

     #做系统文件列表 
     find / --perm -4000 -o -perm -2000 > suid.log
     
     #!/bin/bash
     find / --perm -4000 -o -perm -2000 > tmp/setuid.check
     #搜索系统中所有拥有SUID和SGID的文件，并保存到临时目录中
     for i in $(cat /tmp/setuid.check)
     do
     	grep $i /root/suid.log > /dev/null
     	#对比这个文件名是否在模板文件中
     		if["$?" != "0"]
     		#检测上一个命令的返回值，如果不为0，证明上一个命令报错
     		then
     			echo "$i isn't in listfile!" >> /root/suid_log$(data+%F)
     			#如果文件名不再模板文件中，则输出错误信息，并把报错报错到日志中
     		fi
     done
     rm -rf /tmp/setuid.check
     #删除临时文件
     

3-3 Linux中setGID

1. SetGID针对文件的作用
   • 只有可执行的二进制程序才能设置SGID权限
   • 命令执行者要对该程序拥有x（执行）权限
   • 命令执行在执行程序的时候，组身份升级为该程序文件的属组
   • SetGID权限同样只在该程序执行过程中有效，也就是说组身份改变只在程序执行过程中有效
2. SetGID针对目录的作用
   • 普通用户必须对此目录拥有rx权限，才能进入此目录
   • 普通用户在此目录中的有效组会变成此目录的属组
   • 若普通用户对此目录拥有w权限时，新建的文件的默认属组就是这个目录的属组
3. 设定SetGID
   • 2代表SGID
     • chmod 2755 file
     • chmod g+s file
4. 取消SetUID的方法
   • chmod 0755 file
   • chmod g-s file

3-4 Linux中Sticky BIT

1. SBIT粘着位作用
   • 粘着位目前只对目录有效
   • 普通用户对该目录拥有wx权限，即普通用户可用再次目录拥有写入权限
     • 不建议手工建立拥有粘着位的目录！（需要赋予对目录的最高权限w）
   • 如果没有粘着位，因为普通用户拥有w权限，所以可用删除此目录下所有文件，包括其他用户建立的文件。一旦赋予了粘着位，除了root可以删除所有文件，普通用户就算拥有w权限，也只能删除自己建立的文件，但是不能删除其他用户建立的文件。
2. 设置与取消粘着位
   • 设置粘着位
     • chmod 1755 目录名
     • chmod o+t 目录名
   • 取消粘着位
     • chmod 0777 目录名
     • chmod o-t 目录名

第4章 不可改变位权限

4-1 Linux中不可改变位权限

1. chattr命令格式

   • chattr [±=] [选项] 文件或目录名

     • ±=：增加，删除，等于某权限

     • 选项：

       • i：insert

         如果对文件设置属性i，那么不允许对文件进行删除，改名，也不能添加和修改数据（相当于文件被锁住）

         如果对目录设置i属性，那么只能修改目录下文件的数据，但不允许建立和删除文件

       • a：append

         如果对文件设置属性a，那么只能在文件中增加数据，但是不能删除也不能修改数据；

         如果对目录设置a属性，那么只允许在目录中建立和修改文件，但是不允许删除

2. 查看文件系统属性

   • lsattr 选项 文件名
     • 选项：
       • -a：显示所有文件和目录
       • -d：若目标是目录，仅列出目录本身的属性，而不是子文件的