linux权限管理

权限管理

ACL权限

解决身份不足的情况

centos7的操作使用

https://www.cnblogs.com/gaoyuechen/p/8594204.html

其他

dumpe2fs -h 位置
#dumpe2fs命令是查询分区的详细信息
临时开启
mount -o remount acl /
永久生效
vi /etc/fstab
在默认后加入acl，将改完，一定小心，可能导致无法开启

查看和设置ACL权限

查看
getfacle 文件名
设定acl
setfacl 选项 文件名
-m 设定ACL权限
-x 删除指定的ACL权限
-b 设定默认的ACL权限
-k 删除默认的ACL权限
-R 递归设定ACL权限
#给个人设置acl权限
setfacl -m u:st:rx 文件名 
#给组设置acl权限
setfacl -m g:tgroup2:rx 文件名 

最大有效权限和删除

#acl的权限是mask权限和给与的权限想与得到的权限
#默认mask的权限为rwx
更改mask
setfacl -m m:rx 文件名 
删除acl
setfacl -x u:用户名 文件名 #删除特定用户的acl权限
setfacl -x g:组名 文件名 #删除特定组的acl权限
setfacl -b 文件名 #删除所有acl权限

默认acl权限和递归acl权限

递归
setfacl -m u/g/m:用户名:权限 -R 文件名
默认
setfacl -m d:u/g/m:用户名:权限 文件名

文件特殊权限

SetUID

只有可以执行的二级制程序

命令执行者要对该程序拥有x权限

命令执行者在执行该程序时会临时的变为该程序的所有者的身份

只在程序执行过程中有效

指在所属者权限里有s权限

如passwd有setuid

4 是SetUID
添加权限
chmod 4755 文件名
chmod u+s 文件名
取消权限
chmod 755 文件名
chmod u-s 文件名

严格控制写权限

SetGID

只有可以执行的二级制程序

可以是目录

命令执行者要对该程序拥有x权限

命令执行者在执行该程序时会临时的变为该程序的所有组的身份

只在程序执行过程中有效

在s权限下的目录建立的组是拥有s权限的组

指在所属组权限里有s权限

2 是SetGID
添加权限
chmod 2755 文件名
chmod g+s 文件名
取消权限
chmod 755 文件名
chmod g-s 文件名

Sticky BIT

只能用root使用设置

只能是目录

粘着位

普通用户对目录有w和x权限

普通用户有w权限，可以删除目录下的所有文件，包括其他目录的文件，但是当有粘着位，普通用户只能删除自己的文件，不能删除其他人的用户，对root无效，

指在其他人的权限里有t权限

1 是Sticky BIT
添加权限
chmod 1755 文件名
chmod o+t 文件名
取消权限
chmod 755 文件名
chmod o-t 文件名

chattr权限

保护文件和目录

文件系统属性权限

针对root用户生效

chattr [+-=] [选项] 文件或目录名
+: 增加权限
-： 删除权限
=： 等于某权限
选项
i:文件设置i属性，不允许对文件进行删除、改名，也不能添加和修改数据，如果对目录设置i权限，那么修改目录下的文件的数据，但是不运行建立和删除文件
a:文件设置a属性，那么只能在文件中添加数据但是不能删除也不能修改数据；如何对目录设置a属性，那么只运行目录中建立和修改文件，但是不运行删除
查看方式
lsattr 选项 文件名
-a 显示所有文件和目录
-d 若目标是目录，仅列出目录本身的属性，而不是子文件的

sudo权限

root将一部分超级用户执行的命令赋予普通用户执行

操作对象是系统命令

root进行赋予
visudo
#实际修改的是/etc/sudoers文件
root ALL=(ALL) ALL
#用户名 被管理主机的地址= (可使用的身份) 授权命令(绝对路径)
定义的是访问ip，正常ALL是指本机
#%whell ALL=(ALL) ALL
#%组名 被管理主机的地址= (可使用的身份) 授权命令(绝对路径)
案例
sc ALL=/sbin/shutdown -r now
普通用户执行
sudo -l#查看赋予命令
#执行
sudo /sbin/shutdown -h now