Linux运维 权限管理

最新推荐文章于 2022-11-02 19:38:34 发布
最新推荐文章于 2022-11-02 19:38:34 发布
阅读量387 收藏 1
点赞数
分类专栏: Linux运维 文章标签: 数据库 运维 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sjjsaaaa/article/details/107026895
版权

一、ACL 权限

1、ACL 概述: ACL 是用于解决用户对文件身份不足的问题的

在这里插入图片描述

2、开启 ACL

	[root@localhost ~]# dumpe2fs -h /dev/sda3
	#dumpe2fs 命令是查询指定分区详细文件系统信息的命令
	选项:
	-h 仅显示超级块中信息,而不显示磁盘块组的详细信息。
	...省略部分输出...
	Default mount options: user_xattr acl 
	...省略部分输出...

如果没有开启,手工开启分区的 ACL 权限:

	[root@localhost ~]# mount -o remount,acl /
	#重新挂载根分区,并挂载加入 acl 权限

也可以通过修改/etc/fstab 文件,永久开启 ACL 权限:

	[root@localhost ~]# vi /etc/fstab
	UUID=c2ca6f57-b15c-43ea-bca0-f239083d8bd2 / ext4 defaults,acl 1 1 #加入 acl
	[root@localhost ~]# mount -o remount /
	#重新挂载文件系统或重启动系统,使修改生效

3、ACL 基本命令

getfacl 文件名 :查询文件的 ACL 权限
setfacl 选项 文件名 :设定 ACL 权限

  • -m 设定 ACL 权限

  • -b 删除 ACL 权限

  • -x:用户 删除单个用户的 ACL 权限

     setfacl -m u:用户名:权限 文件名
 setfacl -m g:组名:权限 文件名
 setfacl -m u:aa:rwx /test 给 test 目录赋予 aa 是读写执行的 ACL 权限
 setfacl -m u:cc:rx -R soft/ 赋予递归 ACL 权限,只能赋予目录
 -R 递归
 setfacl -m d:u:aa:rwx -R /test ACL 默认权限。 注意:默认权限只能赋予目录
 注意:如果给目录赋予 acl 权限,两条命令都要输入
 递归与默认的区别:
 setfacl -m u:cc:rx -R soft/ 只对已经存在的文件生效
 setfacl -m d:u:aa:rwx -R /test 只对以后新建的文件生效

4、 最大有效权限 mask

	[root@localhost /]# setfacl -m m:rx project/
	#设定 mask 权限为 r-x。使用“m:权限”格式
	[root@localhost /]# getfacl project/
	# file: project/
	# owner: root
	# group: tgroup
	user::rwx
	group::rwx #effective:r-x
	mask::r-x
	#mask 权限变为了 r-x
	other::---

5、删除 ACL 权限

	[root@localhost /]# setfacl -x u:st /project/
	#删除指定用户和用户组的 ACL 权限
	[root@localhost /]# setfacl -b project/
	#会删除文件的所有的 ACL 权限

二、sudo 授权 给普通用户赋予部分管理员权限

/sbin/ 在此目录下命令只有超级用户才能使用
/usr/sbin/

1 root 身份:

visudo 赋予普通用户权限命令,命令执行后和 vi 一样使用

	root ALL=(ALL) ALL
	#用户名 被管理主机的地址=(可使用的身份) 授权命令(绝对路径)
	# %wheel ALL=(ALL) ALL
	#%组名 被管理主机的地址=(可使用的身份) 授权命令(绝对路径)
  • 用户名/组名:代表 root 给哪个用户或用户组赋予命令,注意组名前加“%”
  • 用户可以用指定的命令管理指定 IP 地址的服务器。如果写 ALL,代表可以管理任何主机,如果写固定 IP,代表用户可以管理指定的服务器。(这里真的很奇怪啊,超哥一直认为这里的IP 地址管理的是登录者来源的 IP 地址,查了很多资料也都是这样的。直到有一天超哥查看“man 5 sudoers”帮助,才发现大家原来都理解错误了,这里的 IP 指定的是用户可以管理哪个 IP 地址的服务器。那么如果你是一台独立的服务器,这里写 ALL 和你服务器的 IP 地址,作用是一样的。而写入网段,只有对 NIS 服务这样用户和密码集中管理的服务器才有意义)。如果我们这里写本机的 IP 地址,不代表只允许本机的用户使用指定命令,而代表指定的用户可以从任何 IP 地址来管理当前服务器。
  • 可使用身份:就是把来源用户切换成什么身份使用,(ALL)代表可以切换成任意身份。这 个字段可以省略
  • 授权命令:代表 root 把什么命令授权给普通用户。默认是 ALL,代表任何命令,这个当然不
    行。如果需要给那个命令授权,写入命令名即可,不过需要注意一定要命令写成绝对路径

2、举例

1)举个例子,比如授权用户 user1 可以重启服务器,则由 root 用户添加如下行:

	[root@localhost ~]# visudo
	user1 ALL= /sbin/shutdown –r now
	[user1@localhost ~]$ sudo -l #查看可用的授权

2)授权 aa 用户可以添加其他普通用户

	aa ALL=/usr/sbin/useradd 赋予 aa 添加用户权限.命令必须写入绝对路径
	aa ALL=/usr/bin/passwd 赋予改密码权限,取消对 root 的密码修改
	aa ALL=/usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd "", !/usr/bin/passwd root
	aa 身份
	sudo /usr/sbin/useradd ee 普通用户使用 sudo 命令执行超级用户命令

三、文件特殊权限 SetUID、SetGID、Sticky BIT

1、SetUID

**1)SetUID 是什么
**SetUID 的功能可以这样理解:

  • 只有可以执行的二进制程序才能设定 SUID 权限
  • 命令执行者要对该程序拥有 x(执行)权限
  • 命令执行者在执行该程序时获得该程序文件属主的身份(在执行程序的过程中灵魂附体为文件的属主)
  • SetUID 权限只在该程序执行过程中有效,也就是说身份改变只在程序执行过程中有效

2)举例

	[root@localhost ~]# ll /etc/passwd
	-rw-r--r-- 1 root root 1728 1 月 19 04:20 /etc/passwd
	[root@localhost ~]# ll /etc/shadow
	---------- 1 root root 1373 1 月 19 04:21 /etc/shadow

因为

	[root@localhost ~]# ll /usr/bin/passwd 
	-rwsr-xr-x 1 root root 25980 2 月 22 2012 /usr/bin/passwd

/usr/bin/passwd 命令拥有特殊权限 SetUID ,也就是在属主的权限位的执行权限上是 s。可以这样来理解它:当一个具有执行权限的文件设置 SetUID 权限后,用户执行这个文件时将以文件所有者的身份执行。/usr/bin/passwd 命令具有 SetUID 权限,所有者为 root(Linux 中的命令默认所有者都是 root),也就是说当普通用户使用 passwd 更改自己密码的时候,那一瞬间突然灵魂附体了,实际是在用 passwd命令所有者 root 的身份在执行 passwd 命令,root 当然可以将密码写入/etc/shadow 文件(不要忘记 root这个家伙是 superman 什么事都可以干),所以普通用户也可以修改/etc/shadow 文件,命令执行完成后该身份也随之消失
在这里插入图片描述

如果取消 SetUID 权限,则普通用户就不能修改自己的密码了

3)危险的 SetUID

	[root@localhost ~]# chmod u+s /usr/bin/vim
	[root@localhost ~]# ll /usr/bin/vim
	-rwsr-xr-x 1 root root 1847752 4 月 5 2012 /usr/bin/vim

4)有几点建议:

  • 关键目录应严格控制写权限。比如“/”、“/usr”等;
  • 用户的密码设置要严格遵守密码三原则;
  • 对系统中默认应该具有 SetUID 权限的文件作一列表,定时检查有没有这之外的文件被设置了 SetUID 权限。

2、SetGID

1)针对文件的作用

SGID 即可以针对文件生效,也可以针对目录生效,这和 SUID 明显不同。如果针对文件,SGID 的含义如下:

  • 只有可执行的二进制程序才能设置 SGID 权限

  • 命令执行者要对该程序拥有 x(执行)权限

  • 命令执行在执行程序的时候,组身份升级为该程序文件的属组

  • SetGID 权限同样只在该程序执行过程中有效,也就是说组身份改变只在程序执行过程中有效

     [root@localhost ~]# ll /var/lib/mlocate/mlocate.db 
 -rw-r----- 1 root slocate 1838850 1 月 20 04:29 /var/lib/mlocate/mlocate.db

大家发现属主权限是 r、w,属组权限是 r,但是其他人权限是 0:

	[root@localhost ~]# ll /usr/bin/locate 
	-rwx--s--x 1 root slocate 35612 8 月 24 2010 /usr/bin/locate

当普通用户 user1 执行 locate 命令时,会发生如下事情:

  • /usr/bin/locate 是可执行二进制程序,可以赋予 SGID
  • 执行用户 user1 对/usr/bin/locate 命令拥有执行权限
  • 执 行 /usr/bin/locate 命令时,组身份会升级为 slocate 组,而 slocate 组 对/var/lib/mlocate/mlocate.db 数据库拥有 r 权限,所以普通用户可以使用 locate 命令查询mlocate.db 数据库
  • 命令结束,user1 用户的组身份返回为 user1 组

2)针对目录的作用
如果 SGID 针对目录设置,含义如下:

  • 普通用户必须对此目录拥有 r 和 x 权限,才能进入此目录
  • 普通用户在此目录中的有效组会变成此目录的属组
  • 若普通用户对此目录拥有 w 权限时,新建的文件的默认属组是这个目录的属组

3、文件特殊权限之 Sticky BIT

Sticky BIT 粘着位,也简称为 SBIT。SBIT 目前仅针对目录有效,它的作用如下:

  • 粘着位目前只对目录有效
  • 普通用户对该目录拥有 w 和 x 权限,即普通用户可以在此目录拥有写入权限
  • 如果没有粘着位,因为普通用户拥有 w 权限,所以可以删除此目录下所有文件,包括其他用
    户建立的文件。一但赋予了粘着位,除了 root 可以删除所有文件,普通用户就算拥有 w 权限,也只能删除自己建立的文件,但是不能删除其他用户建立的文件。

4、设定文件特殊权限

特殊权限这样来表示:

  • 4 代表 SUID

  • 2 代表 SGID

  • 1 代表 SBIT

     	[root@localhost ~]# chmod 4755 ftest 
 	#赋予 SUID 权限
 	[root@localhost ~]# chmod 2755 ftest 
 	#赋予 SGID 权限
 	[root@localhost ~]# mkdir dtest
 	[root@localhost ~]# chmod 1755 dtest/
 	#SBIT 只对目录有效,所以建立测试目录,并赋予 SBIT

四、文件系统属性 chattr 权限

1、命令格式

	[root@localhost ~]# chattr [+-=] [选项] 文件或目录名
	选项:
	+: 增加权限
	-: 删除权限
	=: 等于某权限
	i: 如果对文件设置 i 属性,那么不允许对文件进行删除、改名,也不能添加和修改数据;如果对目录设置 i 属性,那么只能修改目录下文件的数据,但不允许建立和删除文件。
	a: 如果对文件设置 a 属性,那么只能在文件中增加数据,但是不能删除也不能修改数据;如果对目录设置 a 属性,那么只允许在目录中建立和修改文件,但是不允许删 除
	e: Linux 中绝大多数的文件都默认拥有 e 属性。表示该文件是使用 ext 文件系统进行存储的,而且不能使用“chattr -e”命令取消 e 属性

2、查看文件系统属性 lsattr

	[root@localhost ~]# lsattr 选项 文件名
	选项:
	-a 显示所有文件和目录
	-d 若目标是目录,仅列出目录本身的属性,而不是子文件的

3、举例

	例 1: #给文件赋予 i 属性
	[root@localhost ~]# touch ftest
	#建立测试文件
	[root@localhost ~]# chattr +i ftest 
	[root@localhost ~]# rm -rf ftest 
	rm: 无法删除"ftest": 不允许的操作
	#赋予 i 属性后,root 也不能删除
	[root@localhost ~]# echo 111 >> ftest 
	-bash: ftest: 权限不够
	#也不能修改文件的数据
	#给目录赋予 i 属性
	[root@localhost ~]# mkdir dtest
	#建立测试目录
	[root@localhost dtest]# touch dtest/abc
	#再建立一个测试文件 abc
	[root@localhost ~]# chattr +i dtest/
	#给目录赋予 i 属性
	[root@localhost ~]# cd dtest/
	[root@localhost dtest]# touch bcd
	touch: 无法创建"bcd": 权限不够
	#dtest 目录不能新建文件
	[root@localhost dtest]# echo 11 >> abc
	[root@localhost dtest]# cat abc
	11
	#但是可以修改文件内容
	[root@localhost dtest]# rm -rf abc
	rm: 无法删除"abc": 权限不够
	#不能删除



	例 2:
	[root@localhost ~]# mkdir -p /back/log
	#建立备份目录
	[root@localhost ~]# chattr +a /back/log/
	#赋予 a 属性
	[root@localhost ~]# cp /var/log/messages /back/log/
	#可以复制文件和新建文件到指定目录
	[root@localhost ~]# rm -rf /back/log/messages 
	rm: 无法删除"/back/log/messages": 不允许的操作
	#但是不允许删除
黎明之道
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
数据库自动化运维平台--自助权限申请
晨夕的博客
06-15 4224
客户端程序访问数据库都需要一个连接数据库的用户名和密码,这个用户一般是DBA帮RD创建。根据安全级别的不同,每个团队都会有不同的授权方式。我们在用户访问数据库安全方面也制定了一套规则:1)读写账号只能有SELECT,DELETE,UPDATE,INSERT权限。 2)用户的白名单IP不能是一个网络,必须是一个IP。3)白名单IP必须是线上的服务器IP,不能是个人测试机IP。 对于白名单IP不能是
Linux运维——权限管理
果子哥丶的博客
03-14 681
一、权限概述、 二、设置权限、 三、属主 与 属组设置、 四、扩展(1) 额外补充:网络基础、 **项目上线流程 (必须掌握)**
zutuanxue.com-权限管理Linux运维
williamgong的博客
06-18 1318
介绍 Linux系统是一个典型的多用户操作系统,不同的用户处于不同的地位,为了保护系统的安全性,linux系统对于不同用户访问同一个文件或目录做了不同的访问控制。而这种控制就是通过权限实现的,本节课我们介绍linux权限的使用 一、基本权限 基本权限的介绍 Linux中每个文件或目录都有3个基本权限位,控制三种访问级别用户的读、写、执行,所以linux的基本权限位一共有9个。基本权限位和另外3个可以影响可执行程序运行的3个特殊权限位一起构成了文件访问模式。三个属性规定了对应三种级别的用户能够如何使用这个文件
Linux运维 第二阶段 (五)权限管理
weixin_33686714的博客
05-03 120
Linux运维第二阶段(五)权限管理1、计算机资源:权限:rwx(八进制数0-7表示权限位,rwx分别用421表示,例如:r(100),w(010),x(001),rwx(111))用户:标识符UID,/etc/passwd,/etc/shadow用户组:容器,关联权限,方便地指派权限,标识符GID,/etc/group,/etc/gshadow2、安全上下文(secure...
Linux运维基础-系统管理之权限管理
biaoju6401的博客
07-28 265
用户和组 用户userLinux用户:username/uid管理员:root,0普通用户:1-65535系统用户:1-499(cetnos6)1-999(centos7)组groupLinux组:groupname/gid管理组:root,0系统组:1-499(centos6)1-999(centos7)普通组:500+(centos6),1000+(centos7) 组的类别主要组:一个用户只...
LINUX运维案例.docx
05-21
LINUX运维案例 Linux 运维是一个非常广泛的领域,涉及到操作系统的安装、配置、管理、优化和故障排除等多方面的内容。本文档对 Linux 运维进行了系统性的介绍,涵盖了 Linux 的发展介绍、常用命令、各种服务搭建、...
Linux运维学习笔记一
最新发布
10-16
Linux 中的一些特殊文件还是要求写 "扩展名" 的,但 Linux 不依赖扩展名来识别文件类型,写这些扩展名是为了帮助运维人员来区分不同的文件类型。 这样的文件扩展名主要有以下几种: 压缩包:Linux 下常见的压缩...
Linux运维基础实战案例及网络配置
12-23
理解并熟练运用这些命令和概念,对于Linux运维人员来说,是进行系统管理、权限控制和安全维护的基础。在实际工作中,根据需求创建、修改和删除用户及组,合理分配权限,可以有效地维护系统的稳定性和安全性。
2023年学习Linux运维手册
01-16
学习Linux运维,不仅需要掌握基本的命令行操作、文件系统管理、用户和权限控制,还要了解网络配置、进程管理、系统监控、安全策略以及脚本编程等。通过深入学习不同发行版的特点,能够更好地适应不同工作场景的需求...
Linux运维工程师简历项目经验【最新版】.docx
07-09
Linux运维工程师是互联网行业中至关重要的角色,他们负责保障服务系统的稳定性和高可用性。随着互联网规模的扩大和技术的快速发展,运维工程师的角色也在不断演变,从基础的系统维护扩展到复杂的技术管理和产品设计...
Linux运维养成记-账户与权限管理
weixin_45181224的博客
06-11 548
目录1. Linux 账户及组的概念2. 创建账户及组2.1 useradd2.2 groupadd3. 修改账户及组3.1 `passwd`3.2 `usermod`4. 删除账户及组4.1 `userdel`4.2 `groupdel`5. 账户与组文件解析5.1 账户信息文件5.2 账户密码文件5.3 组账户信息文件5.4 组账户密码文件6. 文件及目录权限6.1 概念6.2 修改文档属性6...
Linux运维-用户,组和权限
weixin_38697798的博客
11-02 401
Linux用户权限
简述linux系统权限,Linux运维知识之Linux系统权限
weixin_39592026的博客
05-02 73
本文主要向大家介绍了Linux运维知识之Linux系统权限,通过具体的内容向大家展现,希望对大家学习Linux运维知识有所帮助。第1章Linux系统权限1.1简介Linux中的文件或目录的权限和用户及用户组关联很大,Linux中每个文件或目录都有一组共9个基础权限位,每三个字符被分为一组,他们分别是属主权限位(占三个字符)、属组权限位(占三个字符)、其他用户权限位(占三个字符)。比如rwxr...
运维基础--用户的权限管理
weixin_34235457的博客
04-07 396
我们使用Linux操作系统的过程中,必然存在对有限资源使用的限制性,那么操作系统就必须提供一种途径来保证每个用户独立、合理的使用计算机,那么Linux采用的用户权限的管理机制是怎么样的呢?首先,用户的权限有四个部分:普通权限、特殊权限、文件的特殊属性以及FACL--文件访问控制列表;一、普通权限:在用户与群组中,我们提到了进程安全上下文(Secure Context),...
SRE运维工程师笔记-Linux用户组和权限管理
苦难带不走梦想
11-07 776
这里写自定义目录标题用户、组和权限内容概述1. Linux安全模型1.1 用户1.2 用户组1.3 用户和组的关系1.4 安全上下文2. 用户和组的配置文件2.1 用户和组的主要配置文件2.2 passwd文件格式2.3 shadow文件格式2.4 group文件格式2.5 gshadow文件格式2.6 文件操作3 用户和组管理命令3.1 用户创建3.2 用户属性修改3.3 删除用户3.4 查看用户相关的ID信息3.5 切换用户或以其它用户身份执行命令3.6 设置密码3.7 修改用户密码策略3.8 用户相关
运维之用户、组和权限
野马
07-05 6017
github仓库
企业标准化运维权限管理实施方案
weixin_33790053的博客
09-15 1073
企业标准化运维权限管理实施方案目录:1.需求分析2.建设规范3.技术分解3.1sudo基本介绍3.2sudo配置规则3.3sudo别名规范3.4sudo技术误区4.方案规划4.1 信息采集4.2 虚拟组构建4.3 配置文件构建4.4 配置文件测试5.实施计划5.1 时间窗口5.2 测试报告5.3 知识库归档一、需求分析 目前企业服务器初俱规模,运维团...
第5单元搞定Linux——权限管理(二)
qq_27172205的博客
04-21 140
权限管理(二)目录七、Acl权限列表1)acl列表开启标识2)acl列表权限读取3)acl列表的控制4)acl权限优先级5)acl mask控制6)acl列表的默认权限八、attr权限 七、Acl权限列表 功能:在列表中可以设定特殊用户对于特殊文件有特殊权限、 根据以前所学知识,实现只能让root和lee读写,别的用户不能读写 1、 id lee 发现lee在caiwu组里 uid=8001(l...
Linux系统中如何管理权限?全是干货!!!
qwejiaji的博客
04-13 501
#一、权限查看以及读取
Linux运维指南:用户组权限与文件管理详解
Linux基础入门教程中,用户组和权限管理是至关重要的概念,尤其对于运维小白来说,理解这些概念有助于提高系统的安全性与管理效率。Linux的安全模型基于三个核心原则:Authentication(认证)、Authorization...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黎明之道

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值