权限管理分为以下几部分:
ACL权限
文件特殊权限
系统属性权限
sudo权限
1、ACL权限
首先我们来看下系统分区:df -h命令
查看分区的详细信息:dumpe2fs -h 分区路径
永久开启分区的ACL权限:
执行以下命令使之生效:mount -o remount
给用户设定ACL权限的步骤如下:
ACL权限的设置:setfacl 选项 文件名
选项:
-m 设定ACL权限
-x删除指定的ACL权限
-b删除所有的ACL权限
-d 设定默认的ACL权限
-k删除默认ACL权限
-R递归设定ACL权限
ACL权限的查看:getfacl 文件名
我们还可以给文件设置mask权限,具体如下:
删除指定文件或者目录的ACL权限:
如果是删除指定用户组的ACL权限,则使用下面命令:
setfacl -x g:组名称 文件名
删除该目录下所有用户的ACL权限:
2、文件特殊权限
(1)SetUID
SetUID权限设定注意事项:
只有可以执行的二进制程序才能设定SUID权限
命令执行者要对该程序拥有x(执行)权限
命令执行者在执行该程序时获得该程序文件属主的身份
SetUID权限只在该程序执行过程中有效,也就是说身份改变只在程序执行过程中有效
passwd命令拥有SetUID权限,所以普通可以修改自己的密码
设置SetUID的方法:
取消SetUID使用:chmod 755 文件名
(2)SetGID
SetUID权限设定注意事项:
只有可执行的二进制程序才能设置SGID权限
命令执行者要对该程序拥有x(执行)权限
命令执行在执行程序的时候,组身份升级为该程序文件的属组
SetGID权限同样只在该程序执行过程中有效,也就是说组身份改变只在程序执行过程中有效
设置SetGID的方法:
(3)Sticky BIT
SBIT粘着位作用:
粘着位目前只对目录有效
普通用户对该目录拥有w和x权限,即普通用户可以对此目录具有写入的权限
如果没有粘着位,普通用户拥有w权限,可以删除此目录下的所有文件,包括其他用户建立的文件。一旦赋予了粘着位,除了root可以删除所有文件,普通用户就算拥有w权限,也只能删除自己创建的文件,不能删除其他用户创建的文件。
设置SBIT粘着位的方法:
3、系统属性权限
系统属性权限命令如下:
chattr 命令格式:chattr + 选项 文件名
+: 增加权限
-: 删除权限
=: 等于某权限
选项:
1) i:如果对文件设置i属性,那么不允许对文件进行删除、改名,也不能添加和修改数据;如果对目录
设置i属性,那么只能修改目录下文件的数据,但不允许建立和删除文件。
2) a:如果对文件设置a属性,那么只能在文件中增加数据,但是不能删除也不能修改数据;如果对目录设置a属性,那么只允许在目录中建立和修改文件,但是不允许删除。
4、sudo权限
sudo权限:
1)root把本来只能超级用户执行的命令赋予普通用户执行.
2)sudo的操作对象是系统命令.
sudo的使用:
[root@localhost ~]# visudo
#实际修改的是/etc/sudoers文件
root ALL=(ALL) ALL
#用户名 被管理主机的地址=(可使用的身份) 授权命令(绝对路径)
# %wheel ALL=(ALL) ALL
#%组名 被管理主机的地址=(可使用的身份) 授权命令(绝对路径)
普通用户执行sudo赋予的命令:
[root@localhost ~]# su – an
[an@localhost ~]$ sudo -l
#查看可用的sudo命令
[an@localhost ~]$ sudo /sbin/shutdown -r now
#普通用户执行sudo赋予的命令