centos7 权限管理

最新推荐文章于 2023-01-19 02:32:46 发布
最新推荐文章于 2023-01-19 02:32:46 发布
阅读量622 收藏
点赞数
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44067271/article/details/119221495
版权

ACL权限: linux 基本操作权限有 rwx ,另加一个默认权限umask权限
umask权限可以理解为最高权限,只针对用户初始组和附加组权限有效
umask 权限决定了用户初始组权限与附加组权限,就算初始组权限或附加组权限再高,可用权限为umask权限: 初始组或者附加组权限为777 但是umask权限为755 即可使用权限为755 用户组和其它用户 为r-x.

ACL 权限就是让单独用户获得对此文件的单独权限!!!

1 设置acl前先检查用户所在此块硬盘区域是否支持acl 权限
	# df -h 
		查看有哪些挂载点
	# dumpe2fs -h /dev/sda2
		有一句: Default mount options:    user_xattr acl
		后面有acl 说明支持
	1-1: 如果没有显示acl 则
		# vim /etc/fstab
			显示: UUID=963b2c43-9252-4cfd-8f03-b8ecc091c678 /                       ext4    defaults       1 1
				 UUID=963b2c43-9252-4cfd-8f03-b8ecc091c678 /etc                ext4    defaults        1 1
				 在需要的挂载点的defaults后面加上acl 就行
				 例如: UUID=963b2c43-9252-4cfd-8f03-b8ecc091c678 /                       ext4    defaults,acl        1 1
				重启服务器让配置文件生效
				后者 mount -o remount / 重新挂载根目录
		或者 mount -o remount,acl / 一步到位
2 为用户设置acl 权限
	例子: 
		# useradd user
		# useradd user1
		# passwd user   # 密码123
		# passwd user1  
		# mkdir /testacl #这里可以是文件 touch testacl
		# ll -d /testacl # 755  root:root
		# groupadd testacl # 创建testacl组
		# chown root:testacl /testacl # 将testacl 目录拥有者改为root组改为testacl
		# chmod 750 /testacl 
		# su - user    # 切换 user用户
		# cd /testacl  # 权限不足
		# exit 返回root 
		# usermod -G testacl(附加组组名) user 或者 gpasswd -a user testacl 都是将user加入到testacl  user的附加组
		# su - user 
		# cd /testacl  # 成功进入 因为testacl 目录组的权限5 r-x 不能修改
		# exit 返回root
		# 现在/testacl 目录权限为750 代表其它用户没有任何操作权限
			如果想让单独的某个用户拥有对/testacl 的某些权限
			就要用acl 权限了
		# setfacl -m u:user1:rwx [/testacl 或者文件名] 
		# ll -d /testacl   # 权限还是750 rwxr-x--+出现了个+号
		# su - user1   # user1 不在组testacl中 并且属于其它用户 他应该没有操作/testacl 的任何权限
		# cd /testacl # 进来了 怎么回事
		# acl 权限要用 getfacl 查看
		# exit 返回root 只用root可以使用setfacl getfacl
		# getfacl /testacl
		出现:# file: project/  操作的文件名称   Linux 全部都可以称作文件
			# owner: root     所属用户   所属主
			# group: project   所属组
			user::rwx          所属主   7
			user:user1:rwx		这就是acl 权限  意思是 user1 对/testacl  7权限
			group::rwx      所属组权限  7 
			mask::rwx		umask权限 7 除所属主外的有效 与计算
			other::---      其他人   0

3 setfacl 
	3-1: -m 添加   setfacl -m u:user:rwx /testacl
		 -x 删除   setfacl -x u:user /testacl
	3-2: umask 控制组的最大权限怎么改
		# setfacl -m m:rw /testacl
	3-3: u:user:rwx
		3-3-1: u 修改用户  setfacl -m u:user:rwx /testacl
			   g 修改组	  setfacl -m g:组名:rwx /testacl 此组对此文件的操作权限 , 将用户加入到此组用户就有了对此目录相应的操作权限
			   m 修改umask  setfacl -m m:rw /testacl 

4 如果组对此文件的操作权限为777 而umask 权限为755 
	# getfacl /testacl
	在超过umask权限的组后面会提示
	#    #effective:r-x
	此是组的实际获得权限还是 r-x
5 acl 操作组 和 用户 相差不大 就在 
	# setfacl -m g:组名:rwx /文件名

文件特殊权限setUID , setGID ,sticky BIT

查看一下ll /usr/bin/passwd
rwsr-wr-w权限
发现x 的位置出现了一个s
passwd 命令能够操作shadow文件
shadow 文件权限为000
然而每个用户都能使用passwd 命令修改自己的密码
也就是说每个用户都能通过passwd 命令操作shadow 文件
这。。。。。。
怎么可能! 没错这完全违背了Linux系统设计理念
其实,问题就出在那个s 身上
有没有发现s 占用的是 所属主位置上的x 的位置
passwd 就是拥有sUID(必须是可执行文件,执行者要对此文件拥有x权限) 权限的文件
拥有suid 权限的文件(程序)普通用户调用时将会在调用命令期间使用root用户权限调用(也就是说,调用此命令时普通用户变身为阉割版的root)

一 setUID

1 给可执行文件(程序)加上s 权限 让普通用户也能通过此命令完成普通用户本身无法完成的任务
	# chmod 4755 文件名 or chmod u+s 文件名
		ll 文件名   如果用户对此文件没有可执行权限 则会出现S 大S 这是错误提示
	1-1: 去掉权限 
	# chmod 755 文件名 or chmod u-s 文件名    直接755 文件名指回来即可

2 切记不可乱用
	# chmod u+s /usr/bin/vim 
	正常情况下普通用户无法打开shadow 但是此时vim 不仅可以看shadow 而且可以修改

二 setGID(可以可执行文件也可以目录)
命令执行者要对该程序拥有x 权限
把组的x替换成s
ll /var/lib/mlocate/mlocate.db
-rw-r-----. 1 root slocate 991636 7月 29 14:29 /var/lib/mlocate/mlocate.db
权限640 普通用户没有操作他的权限
ll /usr/bin/locate
-rwx–s--x. 1 root slocate 40520 4月 11 2018 /usr/bin/locate
权限711
locate 组用户处有s权限 可以让普通用户调用locate是变身为root
普通用户在s组标识的目录中如果创建文件, 文件所属主为用户 而所属组为创建创建文件者的所属组

suid sgid 都是给用户无权执行而又不得不执行的程序,操作权限

1 添加
	# chmod g+s 文件名 or chmod 2755 文件名
2 删除
	# chmod g-s 文件名 or chmod 755 文件名

三 sticky BIT (操作对象是目录)
普通用户可以在目录中创建修改
但是只能修改跟自己相关的,其它用户的没有操作权限
不包括root用户

1 添加
	# chmod 1755 文件名 or chmod o+s 文件名
2 删处
	# chmod 755 文件名 or chmod o-s 文件名

文件系统属性chattr 权限

chattr 对root也有效
用于锁定某个文件或者目录
有两个参数
-i 目录: 目录中的文件不能增加修改删除,文件内容可以修改
文件:文件内容被锁死 只能看
-a 目录: 只能增加 查看
文件: 只能增加 查看 只能 echo “sss” > aaa 或 echo “ss” >> aaa形式

1 为文件添加属性(锁定)
	# chattr +i 文件名 
	# chattr +a 文件名
2 从文件上删除属性(解锁)
	# chattr -i 文件名
	# chattr -a 文件名
3 ll 无法查看chattr属性
	查看用:
	# lsattr 文件名
	------i/a-------e--  i/a 属性 e 硬盘格式

sudo 权限

使用visudo 命令修改 /etc/sudoers
# visudo 
打开/etc/sudoers文件
里面有一行 
1 root	ALL=(ALL) 	ALL
用户名   被管理主机的地址(ALL默认局域网段)=(可使用的身份 不写默认root) 授权命令(/sbin/shutdow -r now 越简单权限越大比如 /sbin/shutdown 就比前面的权限大)[绝对路径]

例子: 
test	ALL/(192.168.1.123)=/sbin/shutdown -r now
2 %wheel	ALL=(ALL)	ALL
%组名        被管理主机地址=(可使用的身份 不屑默认root) 授权命令[绝对路径]

3 切换到test 用户
	# sudo -l  查看授权命令
	匹配 %2$s 上 %1$s 的默认条目:
    !visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS
    LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET
    XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin

用户 st 可以在 localhost 上运行以下命令:
    (root) /sbin/shutdown -r now  这里是授权命令 上方是环境变量不用管
r2s
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux centos7增加文件夹权限,Linux运维-Centos7-文件权限管理(2)
weixin_32065293的博客
04-29 665
原标题:Linux运维-Centos7-文件权限管理(2)修改权限一.使用字符设定修改权限用的命令:chmod作用:修改文件,目录的权限语法:chmod [对谁操作] [操作符] [赋于什么权限] 文件名对谁操作:u----> 用户user,表示文件或目录的所有者g---->用户组group,表示文件或目录所属的用户组o---->其它用户othersa---->所有用户al...
centos7安装Jenkins及分权限管理
01-03
centos7安装Jenkins及分权限管理,图文教程,亲测可运行
Linux——Centos 7 chmod命令
weixin_30753873的博客
12-19 1179
一、命令介绍 chmod 命令,是Linux管理员最常用的命令之一,用于修改文件或目录的访问权限。 Linux系统中,每一个文件都有文件所有者和所属群组,并且规定文件的所有者,所属群组,以及其他人队问价有读取(r), 可写(w),执行(x)等权限, 亦可分别用数字4、2、1 表示。 文件的可读、可写、可执行权限可以简写为rwx,也可以使用数字7表示(4+2+1)。 权限设定字符串格式如下...
CentOS7-命令-变更文件或目录的权限(chmod)
weixin_44257023的博客
03-26 9254
CentOS7变更文件或目录的权限命令 参数 u:符号代表当前用户 g:符号代表和当前用户在同一个组的用户,以下简称组用户 o:符号代表其他用户 a:符号代表所有用户 r:符号代表读权限以及八进制数4 w:符号代表写权限以及八进制数2 x:符号代表执行权限以及八进制数1 X:符号代表如果目标文件是可执行文件或目录,可给其设置可执行权限 s:符号代表设置权限suid和sgid,使用权限组合u+s设定文件的用户的ID位,g+s设置组用户ID位 t:符号代表只有目录或文件的所有者才可以删除目录下的文件 +:符号代
linux设置目录755,CentOS 6.8 etc目录被设置755权限
weixin_39877182的博客
04-29 931
系统被执行了chmod -R 755 /etc 命令之后如下图如果在退出之后将无法在登陆到系统我们在来看一下控制台是否可以登陆控制台依然可以正常登陆,下面我们来解决不能使用CRT登陆的问题我们登陆控制台,编辑rc.loacl文件vim/etc/rc.local添加如下5行代码:cd/etc/sshsudochmod644./*sudochmod600ssh_host_dsa_key...
chown 和chmodcentos7上的区别
最新发布
weixin_35751412的博客
01-19 158
chown 用于更改文件或目录的所有者和所属组。 chmod 用于更改文件或目录的访问权限。 在 Centos 7 上,通过使用 chown 命令可以更改文件或目录的所有者和所属组,而使用 chmod 命令可以更改文件或目录的访问权限。 ...
Centos7-文件权限管理相关分享
01-09
一,文件的基本权限 1,权限的作用 通过对文件设定权限可以达到以下三种访问限制权限: 只允许用户自己访问; 允许一个预先指定的用户组中的用户访问; 2,查看权限 [root@localhost ~]# ll /home/1.txt -rw-r--r--....
WSL-CentOS7 镜像
10-03
总的来说,"WSL-CentOS7 镜像" 提供了一个在Windows环境中运行Linux环境的强大工具,适合开发者和系统管理员在不牺牲Windows功能的同时,享受Linux的灵活性和强大功能。正确安装、配置和使用这个镜像,能够极大地...
centos7基础命令操作
01-21
2. 权限管理:CentOS 7 中可以使用 chmod 命令来设置文件权限。 3. 系统更新:CentOS 7 中可以使用 yum 命令来更新系统。例如,输入 yum update 可以更新系统到最新版本。 网络管理 1. 网络配置:CentOS 7 中可以...
centos7离线源码安装make
11-26
7. **安装`make`**:最后,使用`make install`将编译好的`make`程序安装到系统路径中(可能需要管理员权限): ``` sudo make install ``` 8. **更新链接**:如果安装成功,但新的`make`没有成为默认版本,可能...
linux7中acl,关于Centos7和Centos6中新分区如何开启acl功能
weixin_35797901的博客
05-16 320
关于Centos7和Centos6中新分区如何开启acl功能Centos7第一步:df:查看文件系统使用情况信息第二步:fdisk查看所有分区的详细信息第三步:开始分区fdisk /dev/sda第四步:完成后更新分区,查看新分区第五步:在新分区下建立一个文件系统mkfs.xfx第六步:创建一个新目录,把新分区挂载到新目录下,在里面创建一个文件能够设置acl功能。所以得出如下结论:在centos7...
linux 常用操作
su_sheng_yu的博客
07-16 189
1.常用命令 1)# 与 $ 提示的区别 '#' 表示用户有root权限,一般的以root用户登录提示符为#, '$'提示符表示用户为普通用户 2)ifconfig 查看ip地址 eno1: 代表由主板bios内置的网卡 ens1:代表主板bios内置的PCI_E网卡 enp2s0: PCI-E独立网卡 eth0: 如果以上都不用,则返回默认的网卡名 ens33则属于第二种类型,即说明你的网卡是内置的PCI-E网卡, 这是由网卡特性命名的可以在 /etc/sys
centos7用户、组以及acl权限的操作
zhangjunli的博客
11-18 759
用户: a. 添加用户: useradd lee #添加用户,并建立家目录 useradd lee -s /sbin/nologin -M #添加用户,禁止登录,没有家目录 useradd lee -g wang #添加用户,指定所属组为wang b. 修改密码: passwd lee #修改密码 passwd -d lee #清除lee的密码 passwd -l lee #锁定用户 passwd -u lee #解锁 c. 修改用户:
Linux ACL权限管理
Charge8的博客
02-21 547
关于对文件和目录权限的(文件所有者,所属群组,其他用户)管理,查看文章:Linux 权限管理基本命令 一、ACL权限基础知识 1、什么是 ACL 权限? ACL,是 Access Control List(访问控制列表)的缩写,是一个针对文件/目录的访问控制列表。 在 Linux 系统中, ACL 可实现对单一用户设定访问文件的权限。 也可以这...
linux centos一条命令设置文件夹755,网页文件644权限
sh2018的博客
09-16 2025
方法一【xargs效率高,755权限偶尔报错】 进入指定目录,输入以下指令,作用于当前目录下的所有文件和文件夹 chmod 644 -R ./; find ./ -type d -print|xargs chmod 755; 注意:chmod 644 -R ./是把所有文件和文件夹设置为644 方法二【exec效率低】 chmod 644 -R ./; find ./ -type d ...
centos7 vsftp 虚拟账号,限制目录,上传下载权限
u012219045的专栏
12-28 3797
(1)查看是否已经安装了vsfptd: vsftpd -v (2)下载安装: yum -y install vsftpd (3)创建:chroot_list 文件: touch /etc/vsftpd/chroot_list (4)安装 FTP 虚...
实现centos7下对ftp服务器账户权限的控制
weixin_34290631的博客
01-09 438
一、建立虚拟用户vim /etc/vsftpd/vsuserftp1centosftp2linuxftp3Debain转换成.db文件 【注意:必须是.db结尾】db_load -T -t hash -f vsuser vsuser.db为了安全起见,修改权限chmod 600 vsuser.db二、为虚拟用户创建系统账号(此步是为了让所有的虚拟用户都映射成系统账户)useradd -d /...
Centos7用户,组及文件权限管理
weixin_45467975的博客
11-03 5888
Centos7安装完系统后如果没有创建用户,默认只有root用户,权限最大可以做任何事,但实际生产环境中我们一般不会使用这个用户,因为权限太大所有命令都能执行,很危险,所以在生产环境中会创建一个或者多个用户账户,分配合适的权限来使用操作. /etc/passwd //此文件保存着,用户名、密码、UID、GID、用户描述、主目录 /etc/shadow //此文件记录的行与passwd中的行一一对应,保存着:用户名:密码:最后一次修改时间:最小时间间隔:最大时间间隔...
centos 的权限管理--自主访问控制DAC和访问控制列表 ACL
maweiba163的专栏
05-16 3010
使用的 是:centos/rethat/Fedora 这一系列 目的:为了保证系统能被安全稳定使用,做好权限控制是需要的。centos对权限控制方式有几种方式: 1、一般通过r,w,x 对文档对象进行权限设置基于账户体系进行控制,当某个进程想对文件进行访问时,系统是通过该进程的用户或者用户组,比较文件的权限,进行判定是否访问。这种方式成为自主访问控制DAC chgrp:改变文件的用

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值