系统权限
一、安装系统
- 选择稳定版操作系统
- 最小化安装
- 不要安装gcc,make
- 安装完系统后更新系统
[root@localhost ~]# yum -y update
二、文件(目录)权限
- 基本权限 rwx
- 对于目录,默认权限=777-umask
- 对于文件,默认权限=666-umask(文件默认无执行权限)
- 修改umask
[root@localhost ~]# vim /etc/bashrc
71 umask 002 #普通用户
72 else
73 umask 022 #超级用户
74 fi
[root@localhost ~]# vim /etc/profile
60 umask 002 #普通用户
61 else
62 umask 022 #超级用户
- 特殊权限 suid sgid sticky
- suid 冒险位,执行二进制文件与文件所有人有关,与谁来执行无关
[root@localhost ~]# chmod 4777 filename
- sgid 强制位,对目录生效,在此目录中创建文件自动归入目录所在组
[root@localhost ~]# chmod 2777 dirname
- sticky 粘制位,目录中的文件只能被文件拥有者删除
[root@localhost ~]# chmod 1777 dirname
- 文件ACL getfacl setfacl
- 对文件的权限进行附加说明的权限设定方式
- ACL提供传统的owner/group/other的read/write/execute之外的细部权限设定。(可以针对单一的使用者,目录等等)
- 查看
[root@localhost ~]# ls -l
总用量 1
-rw-r--r-- 1 root root 4 2月 17 20:56 test.txt
#-rw-r--r--+ 如果权限后面带有‘+’号表示有ACL权限
[root@localhost ~]# getfacl test.txt
# file: test.txt 文件名
# owner: root 文件所属者
# group: root 文件所属组
user::rw- 属主权限
group::r-- 属组权限
other::r-- 其他人权限
- 设定ACL权限
[root@localhost ~]# useradd jack
[root@localhost ~]# setfacl -m u:jack:rw test.txt
#setfacl -m <u|g|m>:<username|groupname>:权限 filename
#setfacl -x <u|g>:<username|groupname> filename ##去除某个用户或者组的acl
#setfacl -b filename ##删除文件上的权限列表
[root@localhost ~]# getfacl test.txt
# file: test.txt
# owner: root
# group: root
user::rwuser:jack:rw- 为jack设置rw权限
group::r--
mask::rwother::r--
[root@localhost ~]# ls -l test.txt
-rw-rw-r--+ 1 root root 4 2月 17 20:56 test.txt
- 文件属性 chattr lsattr +a -a +i -i -d
[root@localhost ~]# chattr +a test.txt
#只能给文件添加内容,但是删除不了,属于追加
[root@localhost ~]# chattr -d test.txt
[root@localhost ~]# chattr +i test.txt
#文件不能删除,不能更改,不能移动
[root@localhost ~]# lsattr test.txt
----i----------- test.txt
案例1:防删除,防修改
[root@localhost ~]# find /bin /sbin /usr/sbin /usr/bin /etc/shadow /etc/passwd /etc/pam.d -type f -exec chattr +i {} \;
案例2:日志文件防删除
[root@localhost ~]# chattr +a /var/log/messages /var/log/secure
#日志切割要先去掉a属性,之后增加a属性
[root@localhost ~]# vim /etc/logrotate.d/syslog
prerotate
chattr -a /var/log/messages
endscript
...
postrotate
chattr +a /var/log/messages
endscript
}
- mask umask权限
[root@localhost ~]# umask
0022
[root@localhost ~]# umask -S
u=rwx,g=rx,o=rx
- mount 权限 -o
rw ro
sync async
此选项的默认模式为异步模式。在同步模式下,内存的任何修改都会实时的同步到硬盘当中,这种模式的
安全性基本属于最高,但是因为内存的数据基本一直都在变化,所以这种模式会使得程序运行变得缓慢,
影响效率。而在异步模式下,虽然同步没有实时,但是现在考虑到日志文件系统的存在,所以安全性基本
不用考虑,而异步模式的效率会更高,随意目前普遍使用异步模式为默认
auto noauto
合理规划权限,尽量避免777权限出现
用户授权
su
- 由超级用户切换为普通用户,仅切换用户,环境变量不切换,如若为普通用户,会导致命令不可用
[root@localhost ~]# su jack
[jack@localhost root]$
- 由超级用户切换为普通用户,切换用户至家目录,环境变量会发生改变
[root@localhost ~]# su - jack
上一次登录:日 2月 17 21:48:05 CST 2019pts/1 上
[jack@localhost ~]$
- 由普通用户切换为root用户
[jack@localhost ~]$ su - root
密码: #需要输入密码&#
最低0.47元/天 解锁文章
6423
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
