Linux 权限管理

置顶 已于 2022-06-03 13:09:25 修改
阅读量989 收藏
点赞数
分类专栏: Linux 文章标签: linux 权限管理 ACL权限 文件特殊权限 文件系统属性
于 2022-06-01 00:45:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/apollo_miracle/article/details/125054518
版权

目录

1 ACL权限

1.1 ACL权限简介

1.2 ACL权限开启

1.2.1 临时开启分区ACL权限

1.2.2 永久开启分区ACL权限

1.3 设定ACL权限

1.3.1 环境准备

1.3.2 给用户设定ACL权限

1.3.3 给用户组设定ACL权限

1.4 查看ACL权限

1.5 最大有效权限

1.6 删除ACL权限

1.7 递归ACL权限

1.8 默认ACL权限

2 文件特殊权限

2.1 SetUID

2.1.1 SetUID的功能

2.1.2 案例说明

2.1.2 设定SetUID的方法

2.1.3 取消SetUID的方法

2.1.4 危险的SetUID

2.2 SetGID

2.2.1 SetGID针对文件的作用

2.2.2 SetGID针对目录的作用

2.2.3 设定SetGID

2.2.4 取消SetGID

2.3 Sticky BIT

2.3.1 SBIT粘着位作用

2.3.1 设置与取消粘着位

3 文件系统属性

3.1 修改文件系统属性

3.2 查看文件系统属性

3.3 案例

4 系统命令sudo权限

4.1 sudo权限简介

4.2 sudo使用

1 ACL权限

1.1 ACL权限简介

ACL 是 Access Control List 的缩写,主要的目的是在提供传统的 owner、group、others 的 read、write、execute 权限之外的细部权限设定。ACL 可以针对单一使用者、单一文件或目录来进行 r、w、x 的权限规范,对于需要特殊权限的使用状况非常有帮助。

ACL权限简介
ACL权限简介

图中的根目录中有一个 /project 目录,这是班级的项目目录。班级中的每个学员都可以访问和修改这个目录,老师也需要对这个目录拥有访问和修改权限,其他班级的学员当然不能访问这个目录。需要怎么规划这个目录的权限呢?

应该这样:老师使用 root 用户,作为这个目录的属主,权限为 rwx;班级所有的学员都加入 tgroup 组,使 tgroup 组作为 /project 目录的属组,权限是 rwx;其他人的权限设定为 0。这样这个目录的权限就可以符合我们的项目开发要求了。

有一天,班里来了一位试听的学员 st,她必须能够访问 /project 目录,所以必须对这个目录拥有 r 和 x 权限;但是她又没有学习过以前的课程,所以不能赋予她 w 权限,怕她改错了目录中的内容,所以学员 st 的权限就是 r-x。可是如何分配她的身份呢?

变为属主?当然不行,要不 root 该放哪里?加入 tgroup 组?也不行,因为 tgroup 组的权限是 rwx,而我们要求学员 st 的权限是 r-x。如果把其他人的权限改为 r-x 呢?这样一来,其他班级的所有学员都可以访问 /project 目录了。

当出现这种情况时,普通权限中的三种身份就不够用了。ACL 权限就是为了解决这个问题的。在使用 ACL 权限给用户 st 陚予权限时,st 既不是 /project 目录的属主,也不是属组,仅仅赋予用户 st 针对此目录的 r-x 权限。这有些类似于 Windows 系统中分配权限的方式,单独指定用户并单独分配权限,这样就解决了用户身份不足的问题。

ACL是Access Control List(访问控制列表)的缩写,不过在Linux系统中,ACL用于设定用户针对文件的权限,而不是在交换路由器中用来控制数据访问的功能(类似于防火墙)。

1.2 ACL权限开启

  • 用 df -Th 命令查看分区信息

  • 查看分区ACL权限是否开启

dumpe2fs 命令是查询指定分区详细文件系统信息的命令

选项: -h 仅显示超级块中信息,而不显示磁盘块组的详细信息

tips:我的根目录是在/dev/sda2

dumpe2fs -h /dev/sda2

小贴士:

我的/dev/sda2分区类型为ext4,可以使用dumpe2fs 命令是查询是否支持ACL,XFS类型的分区可能会报错,不过XFS默认支持ACL。

1.2.1 临时开启分区ACL权限

mount -o remount,acl /

命令说明:重新挂载根分区,并挂载加入acl权限

1.2.2 永久开启分区ACL权限

在/etc/fstab文件中加入acl 

vim /etc/fstab

重新挂载文件系统或重启动系统,使修改生效

mount -o remount /

1.3 设定ACL权限

命令格式:setfacl 选项 文件名

选项:

  • -m 设定ACL权限
  • -x 删除指定的ACL权限
  • -b 删除所有的ACL权限
  • -d 设定默认ACL权限
  • -k 删除默认ACL权限
  • -R 递归设定ACL权限

1.3.1 环境准备

# 创建项目目录
mkdir /project

# 创建学生组
groupadd student_group

# 创建两名学生
useradd stu_zhangsan
passwd stu_zhangsan
useradd stu_lisi
passwd stu_lisi

# 将学生添加到学生组中
gpasswd -a stu_zhangsan student_group
gpasswd -a stu_lisi student_group

# 创建试听组
groupadd st_group

# 创建试听学生
useradd st_wangwu
passwd st_wangwu

# 将项目目录的所属组改为学生组
chown -R root:student_group /project

# 将项目目录的权限改为770
chmod -R 770 /project

1.3.2 给用户设定ACL权限

给用户st赋予r-x权限,使用“u:用户名:权限”格式

setfacl -m u:st_wangwu:rx /project/

  

1.3.3 给用户组设定ACL权限

为组st_group分配ACl权限。使用“g:组名:权限”格式

setfacl -m g:st_group:rwx /project/

1.4 查看ACL权限

命令格式:getfacl 文件名

1.5 最大有效权限

mask是用来指定最大有效权限的。如果给用户赋予了ACL权限,是需要和mask的权限“相与”才能得到用户的真正权限

A

B

and

r

r

r

r

-

-

-

r

-

-

-

-

修改最大有效权限:setfacl -m m:rx 文件名

#设定mask权限为r-x。使用“m:权限”格式
setfacl -m m:rx /project/

1.6 删除ACL权限

  • 删除指定用户的ACL权限:setfacl -x u:用户名 文件名
  • 删除指定用户组的ACL权限:setfacl -x g:组名 文件名
  • 删除文件的所有的ACL权限:setfacl -b 文件名

1.7 递归ACL权限

递归是父目录在设定ACL权限时,所有的子文件和子目录也会拥有相同的ACL权限。

命令格式:setfacl -m u:用户名:权限 -R 文件名

tips:只对当前现有目录有作用 ,例如新touch的文件没有设定的权限。

1.8 默认ACL权限

默认ACL权限的作用是如果给父目录设定了默认ACL权限,那么父目录中所有新建的子文件(目录)都会继承父目录的ACL权限。

命令格式:setfacl -m d:u:用户名:权限 文件名

tips:只对新建的目录有作用 ,例如之前创建的文件没有设定的权限。

2 文件特殊权限

2.1 SetUID

2.1.1 SetUID的功能

  • 只有可以执行的二进制程序才能设定SUID权限

  • 命令执行者要对该程序拥有x(执行)权限

  • 命令执行者在执行该程序时获得该程序文件属主的身份(在执行程序的过程中灵魂附体为文件的属主)

  • SetUID权限只在该程序执行过程中有效,也就是说身份改变只在程序执行过程中有效

2.1.2 案例说明

  • passwd命令拥有SetUID权限,所以普通用户可以修改自己的密码
  • cat命令没有SetUID权限,所以普通用户不能查看/etc/shadow文件内容

2.1.2 设定SetUID的方法

4代表SUID

  • chmod 4755 文件名

  • chmod u+s 文件名

2.1.3 取消SetUID的方法

  • chmod 755 文件名

  • chmod u-s 文件名

2.1.4 危险的SetUID

  • 关键目录应严格控制写权限。比如“/”、“/usr”等

  • 用户的密码设置要严格遵守密码三原则

  • 对系统中默认应该具有SetUID权限的文件作一列表,定时检查有没有这之外的文件被设置了SetUID权限

案例:

  • 新建test文件,赋予s权限

添加s权限(此处发现S为大写,这是报错,因为test文件没有x权限,对应命令执行者要对该程序拥有x(执行)权限 )

  • 然后去掉s权限,添加x权限,再赋予s权限。

2.2 SetGID

2.2.1 SetGID针对文件的作用

  • 只有可执行的二进制程序才能设置SGID权限

  • 命令执行者要对该程序拥有x(执行)权限

  • 命令执行在执行程序的时候,组身份升级为该程序文件的属组

  • SetGID权限同样只在该程序执行过程中有效,也就是说组身份改变只在程序执行过程中有效

2.2.2 SetGID针对目录的作用

  • 普通用户必须对此目录拥有r和x权限,才能进入此目录

  • 普通用户在此目录中的有效组会变成此目录的属组

  • 若普通用户对此目录拥有w权限时,新建的文件的默认属组是这个目录

2.2.3 设定SetGID

2代表SGID

  • chmod 2755 文件名

  • chmod g+s 文件名

2.2.4 取消SetGID

  • chmod 755 文件名

  • chmod g-s 文件名

2.3 Sticky BIT

2.3.1 SBIT粘着位作用

  • 粘着位目前只对目录有效

  • 普通用户对该目录拥有w和x权限,即普通用户可以在此目录拥有写入权限

  • 如果没有粘着位,因为普通用户拥有w权限,所以可以删除此目录下所有文件,包括其他用户建立的文件。一但赋予了粘着位,除了root可以删除所有文件,普通用户就算拥有w权限,也只能删除自己建立的文件,但是不能删除其他用户建立的文件

小贴士:只用root和文件拥有者可以修改删除某文件。其他用户无法操作。

案例

说明: 

用户apollo在/tmp/目录下创建apollo-test文件,由于该目录有粘着位,所以其他用户无法删除,只有所属者和root用户才能删除。

2.3.1 设置与取消粘着位

1代表SBIT

  • 设置粘着位

    • chmod 1755 目录名

    • chmod o+t 目录名

  • 取消粘着位

    • chmod 777 目录名

    • chmod o-t 目录名

3 文件系统属性

3.1 修改文件系统属性

chattr命令格式:chattr [+-=] [选项] 文件或目录名

+:增加权限

-:删除权限

=:等于某权限

选项:

  • i:如果对文件设置i属性,那么不允许对文件进行删除、改名,也不能添加和修改数据;如果对目录设置i属性,那么只能修改目录下文件的数据,但不允许建立和删除文件。

  • a:如果对文件设置a属性,那么只能在文件中增加数据,但是不能删除也不能修改数据;如果对目录设置a属性,那么只允许在目录中建立和修改文件,但是不允许删除

3.2 查看文件系统属性

命令格式:lsattr 选项 文件名

选项:

-a 显示所有文件和目录

-d 若目标是目录,仅列出目录本身的属 性,而不是子文件的

3.3 案例

  • 如果对文件设置i属性,那么不允许对文件进行删除、改名,也不能添加和修改数据

 

  •  如果对文件设置a属性,那么只能在文件中增加数据,但是不能删除也不能修改数据

  •  对目录设置i属性,那么只能修改目录下文件的数据,但不允许建立和删除文件

  •  如果对目录设置a属性,那么只允许在目录中建立和修改文件,但是不允许删除

 

4 系统命令sudo权限

4.1 sudo权限简介

  • root把本来只能超级用户执行的命令赋予普通用户执行。

  • sudo的操作对象是系统命令

4.2 sudo使用

sudu命令:visudo

实际修改的是/etc/sudoers文件  等同于  vim /etc/sudoers

字段说明:

root ALL=(ALL) ALL

#用户名 被管理主机的地址=(可使用的身份) 授权命令(绝对路径)

# %wheel ALL=(ALL) ALL

#%组名 被管理主机的地址=(可使用的身份) 授权命令(绝对路径)

案例:授权apollo用户可以重启服务器

apollo ALL= /sbin/shutdown –r now

小贴士:

授权apollo用户可以执行/sbin/shutdown命令,权限比较大,可以管家、重启,但是如果授权的时候指定固定的参数,普通用户就只能执行指定好参数的命令,其他参数无权执行。

sudo -l:查看可用的sudo命令

梦因you而美
关注
专栏目录
浅析linux权限管理
01-19
“一切皆是文件”是Unix/Linux的基本哲学之一,目录、字符设备、块设备、套接字等在Unix/Linux都...从系统管理员到普通用户,从文件属性文件特殊密 ,无不围绕着一个主题:权限管理。若一个关键文件被意外写入,轻
Linux系统中的权限管理
qiqi407121的博客
12-16 327
本章内容主要是对文件、目录的权限及不同用户对文件、目录的权限的修改方法,其中涉及较多的命令及参数,需要多看多记,给不同用户设置不同的权限,保证信息安全不泄露。
linux ACL权限,设定,删除
qq_44027353的博客
04-10 5083
文章目录ACL权限简介和开启查看和设定ACL权限最大有效和删除ACL权限默认ACL和递归ACL权限 ACL权限 简介和开启 如下图所示,假如一个目录已经给所有者,所属组和其他人分配了相应的权限,然后这个时候又有了一个用户st,他需要有读和执行权限,不能有写权限,所以用户st放在所属组和其他人中都不合适,这个目录的三个身份就不够用了,ACL权限就是专门用来解决身份不足的情况 如果要使用ACL权限,前提是需要让文件所在的分区支持ACL权限 # 首先查看分区 [root@VM-8-7-centos ~]# d
Linux学习第六节-Facl访问控制列表
时光之眼的博客
03-03 391
Linux学习第六节-Facl访问控制列表
Linux更改权限-chmod
qq_31426093的博客
03-22 268
【代码】Linux更改权限-chmod。
Linux】C9
WORLD.EXE
03-29 4174
设置权限umask 设置默认权限 umask永久生效 访问控制列表(acl) 查看用户acl权限:getfacl 文件路径 设置用户alc权限:setfacl -m u:用户名:权限 文件路径 删除acl权限文件上所有acl权限):setfacl -b 文件路径 删除acl权限(某一用户的acl权限):setfacl -x u:用户名 文件路径 删除现有acl的某个权限:setfacl -m 练习 精确匹配权限 find 路径 -perm 权限数值/-权限数值...
Linux服务器配置与管理:linux权限管理命令.pptx
05-01
本文将深入探讨Linux服务器配置与管理中的核心知识点——Linux权限管理命令,主要包括`chmod`和`chown`两个命令。 首先,我们来看`chmod`命令,用于修改文件或目录的权限。这个命令有两种基本格式,一种是以字母...
Linux权限管理说明.7z
02-23
File Permissions 文件权限说明 File Type 文件类型说明 /etc/passwd file format /etc/group file format /etc/shadow file format /etc/gshadow file format
Linux系统中常用权限管理命令
最新发布
05-21
附件是Linux系统中常用权限管理命令,文件是markdown格式,文件绿色安全,请大家放心下载,仅供交流学习使用,无任何商业目的! 这些命令是Linux系统中管理文件和目录权限的基础工具。使用这些命令时,需要对权限的...
Linux文件权限的操作
qq_35357180的博客
07-06 737
Linux文件权限的操作
tcping常用方法
识途老码
09-05 7444
tcping常用方法
linux-facl权限控制-移除-复制
pyhui的技术博客
09-14 2141
》小结 删除一个用户pyhui的对于文件genlist的facl权限 ? setfacl -x user:pyhui genlist.txt 取消文件genlist的一切额外的facl权限设置 ? setfacl -b genlist.txt 让aa.txt获得与genlist.txt一样的权限 ? getfacl genlist.txt | setfacl --set-file=- ...
chmod -R 770 fileName | Linux文件的基本属性
weixin_40523900的博客
04-12 2234
好兄弟 770 !!! 哈哈哈哈 在Linux中第一个字符代表这个文件是目录、文件或链接文件等等。 • 当为[ d ]则是目录 • 当为[ - ]则是文件; • 若是[ l ]则表示为链接文档(link file); • 若是[ b ]则表示为装置文件里面的可供储存的接口设备(可随机存取装置); • 若是[ c ]则表示为装置文件里面的串行端口设备,例如键盘、鼠标(一次性读取装置) 每个文件属性由左边第一部分的10个字符来确定: 可以使用chmod来修改不同角色的权限文件权限字符为 - rwxr
linux中chmod修改权限,Linux 中 chmod 命令修改文件文件夹的权限
weixin_29945371的博客
05-09 2645
随笔- 219 文章- 0 评论-28一. 文件(文件夹)的权限问题一个文件或者文件夹,使用它的人有三类:root、当前用户和其他用户,例如,我们可以通过ls-l xxx.xxx来查看文件 “xxx.xxx” 的权限,比如我查看/var/log/ 中的 boot.log 文件权限:ls -l/var/log/boot.log,出现里如下信息:-rw-r--r-- 1 root root ...
权限管理ACL权限--最大有效权限与删除
qq_46363011的博客
07-01 795
1、最大有效权限maskmask是用来指定最大有效权限的。如果我给用户赋予了acl权限,是需要和mask的权限“相与”才能得到用户的真正权限。2、修改最大有效权限#setfacl -m m:rx 文件名 -------- 设定mask权限为r-x,使用“m:权限“格式3、删除acl权限#setfacl -x u:用户名 文件名 -------- 删除指定用户的acl权限#setfacl -x g:组名 文件名 --------- 删除指定用户组的acl权限#setfacl -b 文件名 ----------
Linux文件权限(rwx权限)的使用
qq_46224953的博客
02-01 7355
组管理和权限管理Linux中每个用户都属于一个组;每个文件都有所有者、所在组、其他组的概念 所有者 改变文件的所有者:chown 新用户 文件名 所在组 修改文件(或目录)所在组:chgrp 组名 文件文件权限 基本介绍 0-9 位说明 第0 位确定文件类型(d, - , l , c , b) -是文件 l 是链接(link),相当于windows 的快捷方式 d 是目录,相当于windows 的文件夹 c 是字符设备文件,鼠标,键盘 b 是块设备,比如硬盘 第1-3 位确定所有者(该文件
chmod -R 777造成的危害及补救办法
热门推荐
AI.PLAY
01-16 2万+
执行chmod -R 777 dir,会出现无法挽回的错误!!!
Linux的常用命令chmod(文件权限777和755)
weixin_45920385的博客
11-04 1万+
Linux的常用命令 一、基本理论知识二、关于文件权限的命令 一、基本理论知识 二、关于文件权限的命令 chgrp(change group的简写)命令可以更改文件的所属组,格式为 chgrp [组名][文件名]
linux权限管理
06-01
Linux 权限管理是指对文件和目录访问权限的控制。在 Linux 中,每个文件和目录都有三种基本权限:读取(r)、写入(w)和执行(x)。这些权限可以分别应用于文件所有者、文件所属组和其他用户。 以文件为例,可以使用 chmod 命令来修改文件权限。例如,要将文件的所有者设置为可读写,组用户设置为只读,其他用户设置为只执行,可以使用以下命令: ``` chmod 754 filename ``` 其中,7 表示所有者具有读、写和执行权限;5 表示组用户具有读和执行权限;4 表示其他用户具有只读权限。 除了 chmod 命令,Linux 还提供了一些其他工具来管理权限,如 chown 和 chgrp 命令用于更改文件的所有者和所属组,setuid 和 setgid 位可以设置进程的权限等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值