Linux权限管理

权限管理

ACL权限

简介与开启

• 查看分区ACL权限是否开启
  # dumpe2fs -h /dev/sda3
dumpe2fs命令是查询指定分区详细文件系统信息的命令
  - h仅显示超级块中信息，而不显示磁盘块组的详细信息
• 临时开启分区ACL权限
  # mount -o remount,acl /重新挂载根分区，并挂载加入acl权限
• 永久开启分区ACL权限
  # vi /etc/fstab
# mount -o remount /重新挂载文件系统或重启动系统，使修改生效

查看与设定

• 查看ACL命令
  # getfacle 文件名查看ACL权限
• 设定ACL权限的命令
  # setfacl 选项 文件名
  选项：
  -m　　设定ACL权限
  -x　　删除指定的ACL权限
  -b　　删除所有的ACL权限
  -d　　设定默认ACL权限
  -k　　删除默认ACL权限
  -R　　递归设定ACL权限
• 给用户设定ACL权限
  例：# setfacl -m u:st:rx /project/设定用户st拥有对目录project的rx权限
• 给用户组设定ACL权限
  例：# setfacl -m g:tgroup2:rwx /project/为组tgroup2分配ACL权限

最大有效权限与删除ACL权限

1. 最大有效权限mask
   mask是用来指定最大有效权限的。如果给用户赋予了ACL权限，需要和mask的权限“相与”才能得到用户的真正权限
   修改最大有效权限：
   # setfacl -m m:rx 文件名设定mask权限为r-x
2. 删除ACL权限
   # setfacl -x u:用户名 文件名　删除指定用户的ACL权限
   # setfacl -x g:组名 文件名　删除指定用户组的ACL权限
   # setfacl -b 文件名　删除文件的所有ACL权限

默认与递归ACL权限

1. 递归ACL权限
   递归是父目录在设定ACL权限时，所有的子文件和子目录也会拥有相同的ACL权限。
   # setfacl -m u:用户名:权限 -R 目录名
2. 默认ACL权限
   默认ACL权限的作用是如果给父目录设定了默认ACL权限，那么父目录中所有新建的子文件都会继承父目录的ACL权限
   # setfacl -m d:u:用户名:权限 目录名

文件特殊权限

SetUID

1. SetUID的功能

• 只有可以执行的二进制程序才能设定SUID权限
• 命令执行者要对该程序拥有x（执行）权限
• 命令执行者在执行该程序时获得该程序文件属主的身份（在执行程序的过程中灵魂附体为文件的属主）
• SetUID权限只在该程序执行过程中有效，也就是说身份改变只在程序执行过程中有效
  如：passwd命令拥有SetUID权限，所以普通用户可以修改自己的密码（命令执行过程中变身root）
  # ll /usr/bin/passwd
  权限：-rwsr-xr-x
  cat命令没有SetUID权限，所以普通用户不能查看/etc/shadow文件内容
  # ll /bin/cat
  权限：-rwxr-xr-x

2. 设定SetUID的方法
   chmod 4755 文件名4代表SUID，2代表GUID
   chmod u+s 文件名
3. 取消SetUID的方法
   chmod 755 文件名
chmod u-s 文件名
4. 危险的SetUID

• 关键目录应严格控制写权限，比如“/”、“/usr”等
• 用户的密码设置要严格遵守密码三原则
• 对系统中默认应该具有SetUID权限的文件做一列表，定时检查有没有这之外的文件被设置了SetUID权限

SetGID

1. SetGID针对文件的作用

• 只有可执行的二进制程序才能设置SGID权限
• 命令执行者要对该程序拥有x（执行）权限
• 命令执行者在执行程序的时候，组身份升级为该程序文件的属组
• SetGID权限同样只在该程序执行过程中有效，也就是说组身份改变只在程序执行过程中有效
  如：# ll /usr/bin/locate
  权限：-rwx–s--x

2. SetGID针对目录的作用

• 普通用户必须对此目录拥有r和x权限，才能进入此目录
• 普通用户在此目录中的有效组会变成此目录的属组
• 若普通用户对此目录拥有w权限，新建的文件的默认属组是这个目录的属组

3. 设定、取消SetGID（同上）

Sticky BIT

1. SBIT粘着位的作用

• 粘着位目前只对目录有效
• 普通用户对该目录有w和x权限，即普通用户拥有在此目录写入权限
• 如果没有粘着位，因为普通用户拥有w权限，所以可以删除此目录下所有文件，包括其他用户建立的文件。一旦赋予了粘着位，除了root可以删除所有文件，普通用户就算拥有w权限，也只能删除自己建立的文件，而不能删除其他用户建立的文件
  如：tmp目录中user1创建的文件user2无法删除，因为tmp目录的权限为drwxrwxrwt，t即Sticky BIT

2. 设置与取消粘着位

• 设置粘着位
  chmod 1755 目录名（注：特殊权限位1一般不会写7，因为每一种特殊权限针对的对象可能不一样，没太大作用）
  chmod o+t 目录名
• 取消粘着位
  chmod 777 目录名
chmod o-t 目录名

文件系统属性chattr权限

1. chattr命令格式
   # chattr [+-=][选项] 文件或目录名（保护文件，防止误操作）
   +：增加权限
   -：删除权限
   =：等于某权限
   选项：

• i：如果对文件设置i属性，那么不允许对文件进行删除、改名，也不能添加和修改数据（相当于把文件锁起来了）；如果对目录设置i属性，那么只能修改目录下文件的数据，但不允许建立和删除文件
• a（追加）：如果对文件设置a属性，那么只能在文件中增加数据，但是不删除数据（相当于把文件中的现有数据锁起来）；如果对目录设置a属性，那么只允许在目录中建立和修改文件，但是不允许删除

2. 查看文件系统属性
   lsattr 选项 文件名
   -a：显示所有文件和目录
   -d：若目标是目录，仅列出目录本身的属性，而不是子文件的

系统命令sudo权限

1. sudo权限

• root把本来只能超级用户执行的命令赋予普通用户执行
• sudo的操作对象是命令

2. sudo使用
   #visudo
   root使用该命令给普通用户赋予权限，实际上是修改/etc/sudoers文件
   以下通过修改配置文件的方式授权：
   user1　　　　ALL=(ALL)　　　　　　　　　　　　　　　ALL
   用户名　　　 被管理主机的地址＝（可使用的身份）　　　授权命令（绝对路径）
   %wheel　　　　ALL=(ALL)　　　　　　　　　　　　　　　ALL
   %组名　　　 被管理主机的地址＝（可使用的身份）　　　授权命令（绝对路径）

3. 授权user1用户可以重启服务器
   # visudo
   user1　　　　ALL=/sbin/shutdown -r now

4. 普通用户执行sudo赋予的命令
   # su - user1
$ sudo -l查看可用的sudo命令
   $ sudo /sbin/shutdown -r now普通用户执行sudo赋予的命令