CenOS6.6常用命令《五》

权限管理

5.1ACL权限

5.1.1ACL权限简介

5.1.2查看分区ACL权限是否开启

[root@localhost ~]# dumpe2fs -h /dev/sda1
~dumpe2fs 命令是查询指定分区详细文件系统的命令
选项：
-h 仅显示超级块中信息，而不显示磁盘块组的详细信息

先看一下你的系统有哪些分区 用 df -h命令

[root@localhost ~]# df -h

Filesystem            Size  Used Avail Use% Mounted on

/dev/mapper/VolGroup-lv_root 18G 3.8G 13G 24% /tmpfs 503M 72K 503M 1% /dev/shm/dev/sda1 477M 27M 426M 6% /boot

然后你可以使用上面的命令查看状态

5.1.3临时开启分区ACL权限

[root@localhost ~]# mount -o remount,acl/
~重新挂载根分区，并且挂载加入acl权限


mount 挂载命令，只是命令生效，临时的关机重启就没了

5.1.4永久开启分区ACL权限

[root@localhost ~]# vi  /etc/fstab
UUID=16fabb09-945f-4819-a98b-a3f108cbaaa4 /boot                   ext4    defaults,acl        1 2
~加入acl
[root@localhost ~]# mount -o remount/
~重启挂载文件系统或重启系统，是修改生效


这是系统开机自动挂载文件

5.1.5查看与设定acl权限

查看acl命令

[root@localhost ~]# getfacle 文件名
~查看acl权限


设定acl权限的命令

[root@localhost ~]# setfac 选项l 文件名
选项：
-m		设定acl权限
-x		删除指定的acl权限
-b		删除所有的acl权限
-d		设定默认acl权限
-k		删除默认acl权限
-r		递归设定acl权限


给用户设定acl权限

给用户组设定acl权限

[root@localhost ~]#  groupadd tgroup2
[root@localhost ~]# setfacl -m g:tgroup2:rwx progect/
~为组tgroup2分配acl权限。使用“g:组名：权限”格式

最大有效权限mask

~mask 是用来指定最大有效权限的。如果给用户赋予了ACL权限，是需要和mask的权限“相与”才能得到用户的真正权限

修改最大有效权限

[root@localhost ~]#setfacl -m m:rx 文件名
~设定mask权限为r-x.使用“m:权限”格式


删除acl权限

[root@localhost ~]#setfacl -x u:用户名 文件名
~删除指定用户的acl权限
[root@localhost ~]#setfacl -x g:组名 文件名 
~删除指定用户组的acl权限
[root@localhost ~]#setfacl -b 文件名
~删除文件的所有acl权限



递归acl权限

~递归是父目录再说设定acl权限是，所有文件和子目录也会拥有相同的acl权限。

~setfacl -m u: 用户名：权限 -R 文件名

这样会有一个问题，在你执行这个递归命令之前在目录下的文件会被赋予权限，那你执行完之后在重新创建的文件怎么办，它不肯能会有相应的权限吧。

默认acl权限

~默认acl权限的作用是如果给父目录设定了默认acl权限，那么父目录中所有新建的子文件都会继承父目录的acl权限

~setfacl -m d:u:用户名：权限 文件名

这个默认的只有新的文件有用，原来有的还是需要用递归。

5.2文件特除权限

5.2.1SetUID

~只有可以执行的二进制程序才能设定SUID权限

~命令执行者要对该程序拥有x(执行)权限

~命令执行者在执行该程序是获得该程序文件属主身份（在程序执行的过程中灵魂附体为文件的属主）

~SetUID权限只在改程序执行过程中有效，也就是说省份改变只在程序执行过程中有效

~passwd命令拥有SetUID权限，所有普通可修改自己的密码

[root@localhost ~]# ll /usr/bin/passwd
-rwsr-xr-x. 1 root root 25980 2月  22 2012 /usr/bin/passwd

~cat 命令没有SetUID权限，所以普通用户不能查看/etc/shadow文件内容[root@localhost ~]# ll /bin/cat
-rwxr-xr-x. 1 root root 47976 10月 15 2014 /bin/cat

设定SetUID方法
~4代表SUID

~chmod 4755文件名

~chmod u+s 文件名

取消SetUID的方法

~chmod 755文件名

~chmod u-s 文件名

危险的SetUID

~关键目录应严格控制写权限。比如“/”、“/usr”登

~用户的密码设置要严格遵循密码三原则

~对系统中默认应该具有SetUID权限的文件作一列表，定时检查有没有这之外的文件被设置了SetUID权限

5.2.2SetGID

SetGID针对目录的作用

~普通用户必须对此目录拥有r和x权限，才能进入此目录

~普通用户在此目录中的有效组会变成此目录的属组

~若普通用户对此目录拥有w权限时，新建的文件是默认属组是这个目录的属组

[root@localhost ~]# ll /usr/bin/locate
-rwx--s--x. 1 root slocate 35548 10月 10 2012 /usr/bin/locate
[root@localhost ~]# ll /var/lib/mlocate/mlocate.db 
-rw-r-----. 1 root slocate 3235865 2月   6 03:16 /var/lib/mlocate/mlocate.db




  
  

   
   设定SetGID的方法
  
  

  
  

   
   ~2代表SGID
  
  

  
  

   
   ~chmod 2755文件名
  
  

  
  

   
   ~chmod g+s 文件名
  
  

  
  

   
   取消SetGID的方法
  
  

  
  

   
   

   
   

    
    ~chmod 755文件名
   
   

   
   

    
    ~chmod g-s 文件名
   
   

  
  

5.2.3Sicky BIT

SBIT黏着位作用
~黏着位目前只针对目录有效
~普通用户对改目录拥有w和x权限，普通用户可以在此目录拥有写入权限
~如果没有黏着位，因为普通用户拥有w权限，所以可以删除此目录下所有文件，包括其他用户建立的文件。一但赋予了黏着位，除了root可以删除所有文件，普通用户就算有w权限，也只能删除自己建立的文件，但是不能删除其他用户建立的文件

设定黏着位

~1代表SBID

~chmod 1755文件名

~chmod o+t 文件名

取消黏着位

~chmod 777文件名

~chmod o-t 文件名

5.3文件系统属性chattr权限
chattr命令格式

[root@localhost ~]# chattr[+-=][选项]文件或目录名
+：曾经权限
-：删除权限

=：等于某个权限

选项：
~i:如果对文件属性设置i属性，那么不允许对文件进行删除，修改名称，也不能添加和修改数据；如果对目录设置i属性，那么只能修改目录选文件的数据，但不允许建立和删除文件。
~a:如果对文件设置a属性，那么只能在文件中增加数据，但是不能删除也不能修改数据；如果对目录设置a属性，那么只允许在目录中建立和修改文件，但不允许删除。

查看文件系统属性

[root@localhost ~]#lsattr选项 文件名
选项：
-a显示所有文件和目录
-d若目标是目录，仅列出目录本身的属性，而不是子文件的

5.4系统命令sudo权限
sudo权限
~root把本来只能超级用户执行的命令赋予普通用户执行
~sudo的cozy对象是系统命令
sudo的使用

[root@localhost ~]# visudo
~实际修改的是/etc/sudoers文件
root          ALL=(ALL)                              ALL
~用户名       被管理主机的地址=（可使用的身份）      授权命苦（绝对路径）

#%wheel         ALL=(ALL)                              ALL
~#%组名         被管理主机的地址=（可使用的身份）      授权命苦（绝对路径）