权限管理
ACL权限
简介与开启
- 查看分区ACL权限是否开启
# dumpe2fs -h /dev/sda3
dumpe2fs
命令是查询指定分区详细文件系统信息的命令
- h
仅显示超级块中信息,而不显示磁盘块组的详细信息 - 临时开启分区ACL权限
# mount -o remount,acl /
重新挂载根分区,并挂载加入acl权限 - 永久开启分区ACL权限
# vi /etc/fstab
# mount -o remount /
重新挂载文件系统或重启动系统,使修改生效
查看与设定
- 查看ACL命令
# getfacle 文件名
查看ACL权限 - 设定ACL权限的命令
# setfacl 选项 文件名
选项:
-m 设定ACL权限
-x 删除指定的ACL权限
-b 删除所有的ACL权限
-d 设定默认ACL权限
-k 删除默认ACL权限
-R 递归设定ACL权限 - 给用户设定ACL权限
例:# setfacl -m u:st:rx /project/
设定用户st拥有对目录project的rx权限 - 给用户组设定ACL权限
例:# setfacl -m g:tgroup2:rwx /project/
为组tgroup2分配ACL权限
最大有效权限与删除ACL权限
- 最大有效权限mask
mask是用来指定最大有效权限的。如果给用户赋予了ACL权限,需要和mask的权限“相与”才能得到用户的真正权限
修改最大有效权限:
# setfacl -m m:rx 文件名
设定mask权限为r-x - 删除ACL权限
# setfacl -x u:用户名 文件名
删除指定用户的ACL权限
# setfacl -x g:组名 文件名
删除指定用户组的ACL权限
# setfacl -b 文件名
删除文件的所有ACL权限
默认与递归ACL权限
- 递归ACL权限
递归是父目录在设定ACL权限时,所有的子文件和子目录也会拥有相同的ACL权限。
# setfacl -m u:用户名:权限 -R 目录名
- 默认ACL权限
默认ACL权限的作用是如果给父目录设定了默认ACL权限,那么父目录中所有新建的子文件都会继承父目录的ACL权限
# setfacl -m d:u:用户名:权限 目录名
文件特殊权限
SetUID
- SetUID的功能
- 只有可以执行的二进制程序才能设定SUID权限
- 命令执行者要对该程序拥有x(执行)权限
- 命令执行者在执行该程序时获得该程序文件属主的身份(在执行程序的过程中灵魂附体为文件的属主)
- SetUID权限只在该程序执行过程中有效,也就是说身份改变只在程序执行过程中有效
如:passwd命令拥有SetUID权限,所以普通用户可以修改自己的密码(命令执行过程中变身root)
# ll /usr/bin/passwd
权限:-rwsr-xr-x
cat命令没有SetUID权限,所以普通用户不能查看/etc/shadow文件内容
# ll /bin/cat
权限:-rwxr-xr-x
- 设定SetUID的方法
chmod 4755 文件名
4代表SUID,2代表GUID
chmod u+s 文件名
- 取消SetUID的方法
chmod 755 文件名
chmod u-s 文件名
- 危险的SetUID
- 关键目录应严格控制写权限,比如“/”、“/usr”等
- 用户的密码设置要严格遵守密码三原则
- 对系统中默认应该具有SetUID权限的文件做一列表,定时检查有没有这之外的文件被设置了SetUID权限
SetGID
- SetGID针对文件的作用
- 只有可执行的二进制程序才能设置SGID权限
- 命令执行者要对该程序拥有x(执行)权限
- 命令执行者在执行程序的时候,组身份升级为该程序文件的属组
- SetGID权限同样只在该程序执行过程中有效,也就是说组身份改变只在程序执行过程中有效
如:# ll /usr/bin/locate
权限:-rwx–s--x
- SetGID针对目录的作用
- 普通用户必须对此目录拥有r和x权限,才能进入此目录
- 普通用户在此目录中的有效组会变成此目录的属组
- 若普通用户对此目录拥有w权限,新建的文件的默认属组是这个目录的属组
- 设定、取消SetGID(同上)
Sticky BIT
- SBIT粘着位的作用
- 粘着位目前只对目录有效
- 普通用户对该目录有w和x权限,即普通用户拥有在此目录写入权限
- 如果没有粘着位,因为普通用户拥有w权限,所以可以删除此目录下所有文件,包括其他用户建立的文件。一旦赋予了粘着位,除了root可以删除所有文件,普通用户就算拥有w权限,也只能删除自己建立的文件,而不能删除其他用户建立的文件
如:tmp目录中user1创建的文件user2无法删除,因为tmp目录的权限为drwxrwxrwt,t即Sticky BIT
- 设置与取消粘着位
- 设置粘着位
chmod 1755 目录名
(注:特殊权限位1一般不会写7,因为每一种特殊权限针对的对象可能不一样,没太大作用)
chmod o+t 目录名
- 取消粘着位
chmod 777 目录名
chmod o-t 目录名
文件系统属性chattr权限
- chattr命令格式
# chattr [+-=][选项] 文件或目录名
(保护文件,防止误操作)
+:增加权限
-:删除权限
=:等于某权限
选项:
- i:如果对文件设置i属性,那么不允许对文件进行删除、改名,也不能添加和修改数据(相当于把文件锁起来了);如果对目录设置i属性,那么只能修改目录下文件的数据,但不允许建立和删除文件
- a(追加):如果对文件设置a属性,那么只能在文件中增加数据,但是不删除数据(相当于把文件中的现有数据锁起来);如果对目录设置a属性,那么只允许在目录中建立和修改文件,但是不允许删除
- 查看文件系统属性
lsattr 选项 文件名
-a:显示所有文件和目录
-d:若目标是目录,仅列出目录本身的属性,而不是子文件的
系统命令sudo权限
- sudo权限
- root把本来只能超级用户执行的命令赋予普通用户执行
- sudo的操作对象是命令
-
sudo使用
#visudo
root使用该命令给普通用户赋予权限,实际上是修改/etc/sudoers文件
以下通过修改配置文件的方式授权:
user1 ALL=(ALL) ALL
用户名 被管理主机的地址=(可使用的身份) 授权命令(绝对路径)
%wheel ALL=(ALL) ALL
%组名 被管理主机的地址=(可使用的身份) 授权命令(绝对路径) -
授权user1用户可以重启服务器
# visudo
user1 ALL=/sbin/shutdown -r now -
普通用户执行sudo赋予的命令
# su - user1
$ sudo -l
查看可用的sudo命令
$ sudo /sbin/shutdown -r now
普通用户执行sudo赋予的命令