Linux学习笔记（四）——权限管理

权限管理

（一）、ACL权限

1、查看分区ACL权限是否开启

  dumpe2fs -h /dev/sda3

#dumpe2fs命令是查询指定分区详细文件系统信息的命令

-h 仅显示超级块中信息，而不显示磁盘块组的详细信息

2、临时开启分区ACL权限

[root@localhost ~]#mount -o remount, acl/

#重新挂载根分区，并挂载加入acl权限

3、永久开启分区ACL权限

[root@localhost ~]#vi /etc/fstab

　　*UUID=c2ca6f57-b15c-43ea-bca0-f239083d8bd2 / ext4 defaults,acl　　l　　l*

　　*#加入acl*

　　[root@localhost ~]#mount -o remount /

　　*#重新挂载文件系统或重启动系统，使修改生效*

4、查看ACL权限

[root@localhost ~]#getfacle 文件名

#查看acl权限

5、设定ACL权限

[root@localhost ~]#setfacl 选项 文件名

选项：

-m：　　设定ACL权限

-x：　　删除指定的ACL权限

-b：　　删除所有的ACL权限

-d：　　设定默认ACL权限

-k：　　删除默认ACL权限

-R：　　递归设定ACL权限

eg：

[root@localhost ~]#setfacl -m u:st:rx /project/
#给用户st赋予r-x权限，使用“u：用户名：权限”格式

[root@localhost ~]#setfacl -m g:tgroup2:rwx project/
#为组tgroup2分配ACL权限。使用“g:组名:权限”格式

6、最大有效权限mask

mask是用来指定最大有效权限的。如果我给用户赋予了ACL权限，是需要和mask的权限“相与”才能得到用户的真正权限

修改最大有效权限

[root@localhost /]#setfacl -m m:rx 文件名

#设定mask权限为r-x。使用"m:权限"格式

7、删除ACL权限

[root@localhost ~]#setfacl -x u:用户名 文件名

　　*#删除指定用户的ACL权限*

　　[root@localhost /]#setfacl -x g:组名 文件名

　　*#删除指定用户组的ACL权限*

　　[root@localhost /]#setfacl -b 文件名

　　*#会删除文件的所有拓展的ACL权限*

8、递归ACL权限

· 递归是父目录在设定ACL权限时，所有的子文件和子目录也会拥有相同的ACL权限。

· setfcal -m u:用户名:权限 -R 文件名

9、默认ACL权限

· 默认ACL权限的作用是如果给父目录设定了默认ACL权限，那么父目录中所有新建的子文件都会继承父目录的ACL权限。

· setfacl -m d:u:用户名:权限 文件名

（二）、文件特殊权限

1、SetUID

SetUID的功能

· 只有可以执行的二进制程序才能设定SUID权限

· 命令执行者要对该程序拥有x（执行）权限

· 命令执行者在执行该程序时获得该程序文件属主的身份（在执行程序的过程中灵魂附体为文件的属主）

· SetUID权限只在该程序执行过程中有效，也就是说身份改变只在程序执行过程中有效。

·passwd命令拥有SetUID权限，所以普通用户可以修改自己的密码

	[root@localhost ~]#ll /usr/bin/passwd

　　-rw**s**r-xr-x. 1 root root 25980 2月 22 2012 /usr/bin/passwd

　　·cat命令没有setUID权限，所以普通用户不能查看/etc/shadow文件内容

　　[root@localhost ~]# ll /bin/cat

　　-rwxr-xr-x l root root 47976 6月 22 2012/ /bin/cat

设定SetUID的方法

· 4代表SUID

  - chmod 4755 文件名

  - chmod u+s 文件名

取消SetUID的方法

· chmod 755 文件名

· chmod u-s 文件名

注意：

· 关键目录应严格控制写权限。比如“/”、“/usr”等

· 用户的密码设置要严格遵守密码三原则

· 对系统中默认应该具有SetUID权限的文件作一列表，定时检查有没有这之外的文件被设置了SetUID权限

2、SetGID

SetGID针对文件的作用

· 只有可执行的二进制程序才能设置SGID权限

· 命令执行者要对程序拥有x（执行）权限

· 命令执行在执行程序的时候，组身份升级为该程序文件的属组

· SetGID权限同样只在该程序执行过程中有效，也就是说组身份改变只在程序执行过程中有效

　[root@localhost ~]# ll /usr/bin/locate

　　-rwx--s--x 1 root slocate 35612 8月 24 2010 /usr/bin/locate

  [root@localhost ~]# ll /var/lib/mlocate/mlocate.db

　　-rw-r---- 1 root slocate 1838850 1月 20 04:29 /var/lib/mlocate/mlocate.db

· /usr/bin/locate是可执行二进制程序，可以赋予SGID

· 执行用户lamp对/usr/bin/locate命令拥有执行权限

· 执行/usr/bin/locate命令时，组身份会升级为slocate组，而slocate组对/var/lib/mlocate/mlocate.db数据库拥有r权限，所以普通用户可以使用locate命令查询mlocate.db数据库

· 命令结束，lamp用户的组身份返回为lamp组

SetGID针对目录的作用

· 普通用户必须对此目录拥有r和x权限，才能进入此目录

· 普通用户在此目录中的有效组会变成此目录的属组

· 若普通用户对此目录拥有w权限时，新建的文件的默认属组是这个目录的属组

设定SetGID

· 2代表SGID

chmod 2755 文件名

chmod g+s 文件名

取消SetGID

· chmod 755 文件名

· chmod g-s 文件名

3、Sticky BIT

SBIT粘着位作用

· 粘着位目前只对目录有效

· 普通用户对该目录拥有w和x权限，即普通用户可以在此目录拥有写入权限

· 如果没有粘着位，因为普通用户拥有w权限，所以可以删除此目录下所有文件，包括其他用户建立的文件。一但赋予粘着位，除了root可以删除所有文件，普通用户就算拥有w权限，也只能删除自己建立的文件，但是不能删除其他用户建立的文件。

 [root@localhost ~]#ll -d /tmp/
drwxrwxrw**t**.3 root root 4096 12月 13 11:22 /tmp/

设置与取消粘着位

· 设置粘着位

 - chmod 1755 目录名

 - chmod o+t 目录名

· 取消粘着位

 - chmod 777 目录名

 - chmod o-t 目录名

4、文件系统属性chattr权限

chattr命令格式

[root@localhost ~]#chattr[+-=][选项]文件或目录名

+：增加权限

-：删除权限

=：等于某权限

· 选项

• i：如果对文件设置i属性，那么不允许对文件进行删除、改名，也不能添加和修改数据；如果对目录设置i属性，那么只能修改目录下文件的数据，但不允许建立和删除文件。

• a：如果对文件设置a属性，那么只能在文件中增加数据，但是不能删除也不能修改数据；如果对目录设置a属性，那么只允许在目录中建立和修改文件，但是不允许删除。

查看文件系统属性

[root@localhost ~]lsattr 选项 文件名

选项：

-a 显示所有文件和目录

-d 若目标是目录，仅列出目录本身的属性，而不是子文件

5、系统命令sudo权限

sudo权限

· root把本来只能超级用户执行的命令赋予普通用户执行

· sudo的操作对象是系统命令

sudu使用

[root@localhost ~]#visudo

#实际修改的是/etc/sudoers文件

root ALL=(ALL)　　ALL

用户名 被管理主机的地址= （可使用的身份）　　授权命令（绝对路径）

%wheel　　ALL=(ALL)　　ALL

#%组名　　被管理主机的地址=（可使用的身份）　　授权命令（绝对路径）

eg：授权sc用户可以重启服务器

[root@localhost ~]#visudo

sc　　ALL=/sbin/shutdown -r now

普通用户执行sudo赋予的命令

[root@localhost ~]#su - sc

[sc@localhost ~]$sudo -l

\#查看可用的sudo命令

[lamp@localhost ~]$ sudo/sbin/shutdown -r now

\#普通用户执行sudo赋予的命令