目录
ACL 权限
- ACL 概述: ACL 是用于解决用户对文件身份不足的问题的
开启 ACL
[root@localhost ~]# dumpe2fs -h /dev/sda3
#dumpe2fs 命令是查询指定分区详细文件系统信息的命令- 选项:
- -h 仅显示超级块中信息,而不显示磁盘块组的详细信息。
...省略部分输出...
Default mount options: user_xattr acl
...省略部分输出...- 如果没有开启,手工开启分区的 ACL 权限:
[root@localhost ~]# mount -o remount,acl /
#重新挂载根分区,并挂载加入 acl 权限- 也可以通过修改/etc/fstab 文件,永久开启 ACL 权限:
[root@localhost ~]# vi /etc/fstab
UUID=c2ca6f57-b15c-43ea-bca0-f239083d8bd2 / ext4 defaults,acl 1 1
#加入 acl
[root@localhost ~]# mount -o remount /
#重新挂载文件系统或重启动系统,使修改生效
ACL 基本命令
- getfacl 文件名 查询文件的 ACL 权限
- setfacl 选项 文件名 设定 ACL 权限
- -m 设定 ACL 权限
- -b 删除 ACL 权限
- -x:用户 删除单个用户的 ACL 权限
- setfacl -m u:用户名:权限 文件名
- setfacl -m g:组名:权限 文件名
- setfacl -m u:aa:rwx /test 给 test 目录赋予 aa 是读写执行的 ACL 权限
- setfacl -m u:cc:rx -R soft/ 赋予递归 ACL 权限,只能赋予目录
- -R 递归
- setfacl -m d:u:aa:rwx -R /test ACL 默认权限。
- 注意:默认权限只能赋予目录
- 注意:如果给目录赋予 acl 权限,两条命令都要输入
- 递归与默认的区别:
- setfacl -m u:cc:rx -R soft/ 只对已经存在的文件生效
- setfacl -m d:u:aa:rwx -R /test 只对以后新建的文件生效
- setfacl -m u:用户名:权限 文件名
- setfacl -m u:cc:rx -R soft/ 赋予递归 ACL 权限,只能赋予目录
- -R 递归
- setfacl -m u:cc:rx -R soft/ 只对已经存在的文件生效
- setfacl -m d:u:aa:rwx -R /test 只对以后新建的文件生效
- ACL权限,一旦递归之后,不可避免的出现权限溢出
sudo权限
- 赋予的权限越详细,普通用户得到的权限越小
- 赋予的权限越简单,普通用户得到的权限越大
- sudo 授权 给普通用户赋予部分管理员权限
- /sbin/ 在此目录下命令只有超级用户才能使用
- /usr/sbin/ 在此目录下命令只有超级用户才能使用
visudo
- visudo 赋予普通用户权限命令,命令执行后和 vi 一样使用
- 用户名/组名:代表 root 给哪个用户或用户组赋予命令,注意组名前加“%”
- 用户可以用指定的命令管理指定 IP 地址的服务器。如果写 ALL,代表可以管理任何主机,如果写固定 IP,代表用户可以管理指定的服务器。
- 可使用身份:就是把来源用户切换成什么身份使用,(ALL)代表可以切换成任意身份。这个字段可以省略。
- 授权命令:代表 root 把什么命令授权给普通用户。默认是 ALL,代表任何命令,这个当然不行。
- 如果需要给那个命令授权,写入命令名即可,不过需要注意一定要命令写成绝对路径
- 案例1
- 比如授权用户 user1 可以重启服务器,则由 root 用户添加如下行:
[root@localhost ~]# visudo
user1 ALL= /sbin/shutdown –r now
[user1@localhost ~]$ sudo -l
#查看可用的授权
- 案例2:
- 授权一个用户管理你的 Web 服务器,不用自己插手是不是很爽,以后修改设置更新
- 首先要分析授权用户管理 Apache 至少要实现哪些基本授权:
- 1、可以使用 Apache 管理脚本
- 2、可以修改 Apache 配置文件
- 3、可以更新网页内容
- 首先要分析授权用户管理 Apache 至少要实现哪些基本授权:
- 授权一个用户管理你的 Web 服务器,不用自己插手是不是很爽,以后修改设置更新
- 假设 Aapche 管理脚本程序为/etc/rc.d/init.d/httpd 。
- 为满足条件一,用 visudo 进行授权:
[root@localhost ~]# visudo
user1 192.168.0.156=/etc/rc.d/init.d/httpd reload,\
/etc/rc.d/init.d/httpd configtest- 授权用户 user1 可以连接 192.168.0.156 上的 Apache 服务器,通过 Apache 管理脚本重新读取配置文件让更改的设置生效(reload)和可以检测 Apache 配置文件语法错误(configtest),但不允许其执行关闭(stop)、重启(restart)等操作。(“\”的意思是一行没有完成,下面的内容和上一行是同一行。)
- 为满足条件二,同样使用 visudo 授权:
[root@localhost ~]# visudo
user1 192.168.0.156=/binvi /etc/httpd/conf/httpd.conf- 授权用户 user1 可以用 root 身份使用 vi 编辑 Apache 配置文件。以上两种 sudo 的设置,要特别注意,很多朋友使用 sudo 会犯两个错误:
- 第一,授权命令没有细化到选项和参数;
- 第二,认为只能授权管理员执行的命令。
- 条件三则比较简单,假设网页存放目录为/var/www/html ,则只需要授权 user1 对此目录具有写权限或者索性更改目录所有者为 user1 即可。如果需要,还可以设置 user1 可以通过 FTP 等文件共享服务更新网页。
- 案例3:
- 授权 aa 用户可以添加其他普通用户
- aa ALL=/usr/sbin/useradd 赋予 aa 添加用户权限.命令必须写入绝对路径
- aa ALL=/usr/bin/passwd (错误写法)赋予改密码权限,取消对 root 的密码修改
- aa ALL=/usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd "", !/usr/bin/passwd root
- aa 身份 :
- sudo /usr/sbin/useradd ee 普通用户使用 sudo 命令执行超级用户命令
- 授权 aa 用户可以添加其他普通用户
【注】:参考尚硅谷沈超老师教程
扫一扫
2219
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
