目录
1 ACL权限
1.1 ACL权限简介
ACL 是 Access Control List 的缩写,主要的目的是在提供传统的 owner、group、others 的 read、write、execute 权限之外的细部权限设定。ACL 可以针对单一使用者、单一文件或目录来进行 r、w、x 的权限规范,对于需要特殊权限的使用状况非常有帮助。
图中的根目录中有一个 /project 目录,这是班级的项目目录。班级中的每个学员都可以访问和修改这个目录,老师也需要对这个目录拥有访问和修改权限,其他班级的学员当然不能访问这个目录。需要怎么规划这个目录的权限呢?
应该这样:老师使用 root 用户,作为这个目录的属主,权限为 rwx;班级所有的学员都加入 tgroup 组,使 tgroup 组作为 /project 目录的属组,权限是 rwx;其他人的权限设定为 0。这样这个目录的权限就可以符合我们的项目开发要求了。
有一天,班里来了一位试听的学员 st,她必须能够访问 /project 目录,所以必须对这个目录拥有 r 和 x 权限;但是她又没有学习过以前的课程,所以不能赋予她 w 权限,怕她改错了目录中的内容,所以学员 st 的权限就是 r-x。可是如何分配她的身份呢?变为属主?当然不行,要不 root 该放哪里?加入 tgroup 组?也不行,因为 tgroup 组的权限是 rwx,而我们要求学员 st 的权限是 r-x。如果把其他人的权限改为 r-x 呢?这样一来,其他班级的所有学员都可以访问 /project 目录了。
当出现这种情况时,普通权限中的三种身份就不够用了。ACL 权限就是为了解决这个问题的。在使用 ACL 权限给用户 st 陚予权限时,st 既不是 /project 目录的属主,也不是属组,仅仅赋予用户 st 针对此目录的 r-x 权限。这有些类似于 Windows 系统中分配权限的方式,单独指定用户并单独分配权限,这样就解决了用户身份不足的问题。
ACL是Access Control List(访问控制列表)的缩写,不过在Linux系统中,ACL用于设定用户针对文件的权限,而不是在交换路由器中用来控制数据访问的功能(类似于防火墙)。
1.2 ACL权限开启
- 用 df -Th 命令查看分区信息
- 查看分区ACL权限是否开启
dumpe2fs 命令是查询指定分区详细文件系统信息的命令
选项: -h 仅显示超级块中信息,而不显示磁盘块组的详细信息
tips:我的根目录是在/dev/sda2
dumpe2fs -h /dev/sda2
小贴士:
我的/dev/sda2分区类型为ext4,可以使用dumpe2fs 命令是查询是否支持ACL,XFS类型的分区可能会报错,不过XFS默认支持ACL。
1.2.1 临时开启分区ACL权限
mount -o remount,acl /
命令说明:重新挂载根分区,并挂载加入acl权限
1.2.2 永久开启分区ACL权限
在/etc/fstab文件中加入acl
vim /etc/fstab
重新挂载文件系统或重启动系统,使修改生效
mount -o remount /
1.3 设定ACL权限
命令格式:setfacl 选项 文件名
选项:
- -m 设定ACL权限
- -x 删除指定的ACL权限
- -b 删除所有的ACL权限
- -d 设定默认ACL权限
- -k 删除默认ACL权限
- -R 递归设定ACL权限
1.3.1 环境准备
# 创建项目目录
mkdir /project
# 创建学生组
groupadd student_group
# 创建两名学生
useradd stu_zhangsan
passwd stu_zhangsan
useradd stu_lisi
passwd stu_lisi
# 将学生添加到学生组中
gpasswd -a stu_zhangsan student_group
gpasswd -a stu_lisi student_group
# 创建试听组
groupadd st_group
# 创建试听学生
useradd st_wangwu
passwd st_wangwu
# 将项目目录的所属组改为学生组
chown -R root:student_group /project
# 将项目目录的权限改为770
chmod -R 770 /project
1.3.2 给用户设定ACL权限
给用户st赋予r-x权限,使用“u:用户名:权限”格式
setfacl -m u:st_wangwu:rx /project/
1.3.3 给用户组设定ACL权限
为组st_group分配ACl权限。使用“g:组名:权限”格式
setfacl -m g:st_group:rwx /project/
1.4 查看ACL权限
命令格式:getfacl 文件名
1.5 最大有效权限
mask是用来指定最大有效权限的。如果给用户赋予了ACL权限,是需要和mask的权限“相与”才能得到用户的真正权限
A | B | and |
---|---|---|
r | r | r |
r | - | - |
- | r | - |
- | - | - |
修改最大有效权限:setfacl -m m:rx 文件名
#设定mask权限为r-x。使用“m:权限”格式
setfacl -m m:rx /project/
1.6 删除ACL权限
- 删除指定用户的ACL权限:setfacl -x u:用户名 文件名
- 删除指定用户组的ACL权限:setfacl -x g:组名 文件名
- 删除文件的所有的ACL权限:setfacl -b 文件名
1.7 递归ACL权限
递归是父目录在设定ACL权限时,所有的子文件和子目录也会拥有相同的ACL权限。
命令格式:setfacl -m u:用户名:权限 -R 文件名
tips:只对当前现有目录有作用 ,例如新touch的文件没有设定的权限。
1.8 默认ACL权限
默认ACL权限的作用是如果给父目录设定了默认ACL权限,那么父目录中所有新建的子文件(目录)都会继承父目录的ACL权限。
命令格式:setfacl -m d:u:用户名:权限 文件名
tips:只对新建的目录有作用 ,例如之前创建的文件没有设定的权限。
2 文件特殊权限
2.1 SetUID
2.1.1 SetUID的功能
-
只有可以执行的二进制程序才能设定SUID权限
-
命令执行者要对该程序拥有x(执行)权限
-
命令执行者在执行该程序时获得该程序文件属主的身份(在执行程序的过程中灵魂附体为文件的属主)
-
SetUID权限只在该程序执行过程中有效,也就是说身份改变只在程序执行过程中有效
2.1.2 案例说明
- passwd命令拥有SetUID权限,所以普通用户可以修改自己的密码
- cat命令没有SetUID权限,所以普通用户不能查看/etc/shadow文件内容
2.1.2 设定SetUID的方法
4代表SUID
-
chmod 4755 文件名
-
chmod u+s 文件名
2.1.3 取消SetUID的方法
-
chmod 755 文件名
-
chmod u-s 文件名
2.1.4 危险的SetUID
-
关键目录应严格控制写权限。比如“/”、“/usr”等
-
用户的密码设置要严格遵守密码三原则
-
对系统中默认应该具有SetUID权限的文件作一列表,定时检查有没有这之外的文件被设置了SetUID权限
案例:
- 新建test文件,赋予s权限
添加s权限(此处发现S为大写,这是报错,因为test文件没有x权限,对应命令执行者要对该程序拥有x(执行)权限 )
- 然后去掉s权限,添加x权限,再赋予s权限。
2.2 SetGID
2.2.1 SetGID针对文件的作用
-
只有可执行的二进制程序才能设置SGID权限
-
命令执行者要对该程序拥有x(执行)权限
-
命令执行在执行程序的时候,组身份升级为该程序文件的属组
-
SetGID权限同样只在该程序执行过程中有效,也就是说组身份改变只在程序执行过程中有效
2.2.2 SetGID针对目录的作用
-
普通用户必须对此目录拥有r和x权限,才能进入此目录
-
普通用户在此目录中的有效组会变成此目录的属组
-
若普通用户对此目录拥有w权限时,新建的文件的默认属组是这个目录
2.2.3 设定SetGID
2代表SGID
-
chmod 2755 文件名
-
chmod g+s 文件名
2.2.4 取消SetGID
-
chmod 755 文件名
-
chmod g-s 文件名
2.3 Sticky BIT
2.3.1 SBIT粘着位作用
-
粘着位目前只对目录有效
-
普通用户对该目录拥有w和x权限,即普通用户可以在此目录拥有写入权限
-
如果没有粘着位,因为普通用户拥有w权限,所以可以删除此目录下所有文件,包括其他用户建立的文件。一但赋予了粘着位,除了root可以删除所有文件,普通用户就算拥有w权限,也只能删除自己建立的文件,但是不能删除其他用户建立的文件
小贴士:只用root和文件拥有者可以修改删除某文件。其他用户无法操作。
案例
说明:
用户apollo在/tmp/目录下创建apollo-test文件,由于该目录有粘着位,所以其他用户无法删除,只有所属者和root用户才能删除。
2.3.1 设置与取消粘着位
1代表SBIT
-
设置粘着位
-
chmod 1755 目录名
-
chmod o+t 目录名
-
-
取消粘着位
-
chmod 777 目录名
-
chmod o-t 目录名
-
3 文件系统属性
3.1 修改文件系统属性
chattr命令格式:chattr [+-=] [选项] 文件或目录名
+:增加权限
-:删除权限
=:等于某权限
选项:
i:如果对文件设置i属性,那么不允许对文件进行删除、改名,也不能添加和修改数据;如果对目录设置i属性,那么只能修改目录下文件的数据,但不允许建立和删除文件。
a:如果对文件设置a属性,那么只能在文件中增加数据,但是不能删除也不能修改数据;如果对目录设置a属性,那么只允许在目录中建立和修改文件,但是不允许删除
3.2 查看文件系统属性
命令格式:lsattr 选项 文件名
选项:
-a 显示所有文件和目录
-d 若目标是目录,仅列出目录本身的属 性,而不是子文件的
3.3 案例
- 如果对文件设置i属性,那么不允许对文件进行删除、改名,也不能添加和修改数据
- 如果对文件设置a属性,那么只能在文件中增加数据,但是不能删除也不能修改数据
- 对目录设置i属性,那么只能修改目录下文件的数据,但不允许建立和删除文件
- 如果对目录设置a属性,那么只允许在目录中建立和修改文件,但是不允许删除
4 系统命令sudo权限
4.1 sudo权限简介
-
root把本来只能超级用户执行的命令赋予普通用户执行。
-
sudo的操作对象是系统命令
4.2 sudo使用
sudu命令:visudo
实际修改的是/etc/sudoers文件 等同于 vim /etc/sudoers
字段说明:
root ALL=(ALL) ALL
#用户名 被管理主机的地址=(可使用的身份) 授权命令(绝对路径)
# %wheel ALL=(ALL) ALL
#%组名 被管理主机的地址=(可使用的身份) 授权命令(绝对路径)
案例:授权apollo用户可以重启服务器
apollo ALL= /sbin/shutdown –r now
小贴士:
授权apollo用户可以执行/sbin/shutdown命令,权限比较大,可以管家、重启,但是如果授权的时候指定固定的参数,普通用户就只能执行指定好参数的命令,其他参数无权执行。
sudo -l:查看可用的sudo命令