视频与文档都来自尚硅谷,点此链接(http://www.atguigu.com/linux_video.shtml#linux_yw)
文章目录
权限管理很重要,权限是用来保护服务器的主要手段
一、ACL权限
1、ACL概述
ACL 是用于解决用户对文件身份不足的问题的
- 每个文件只能有一个所有者,所属组,剩下的是其他人,一旦身份变复杂,就无法给它安排权限了。
- 我有很多人想用这个文件,但他们的需求又不一样,给他们的权限自然也不一样,所以不能用统一的其他人权限
↓
引出ACL权限,用来解决用户对文件身份不足的问题
↓
我们不再考虑所有者、所属组,我们直接单独的把用户st拿出来,赋予他相应的权限。
Windows分配权限,和ACL相似
windows忽略所有者、所属组(不代表windows没有所有者、所属组,windows依然有所有者、所属组,但他们不参与到权限当中),哪个用户想要改这个文件,直接把这个用户添加到组里面就行,不需要管这个用户是不是这个文件的所有者,也不要管这个用户在哪个组里
注意每个组下面都可以点击允许、拒绝,这就是给它分配权限。
2、开启ACL,一般都已经默认开启了
[root@localhost ~]# dumpe2fs -h /dev/sda3
#dumpe2fs 命令是查询指定分区详细文件系统信息的命令
选项:
-h 仅显示超级块中信息,而不显示磁盘块组的详细信息。
...省略部分输出...
Default mount options: user_xattr acl
...省略部分输出...
如果没有开启,手工开启分区的 ACL 权限(临时生效):
[root@localhost ~]# mount -o remount,acl /
#重新挂载根分区,并挂载加入 acl 权限
也可以通过修改/etc/fstab 文件,永久开启 ACL 权限:
[root@localhost ~]# vi /etc/fstab
UUID=c2ca6f57-b15c-43ea-bca0-f239083d8bd2 / ext4 defaults,acl 1 1 #加入 acl
[root@localhost ~]# mount -o remount /
#重新挂载文件系统或重启动系统,使修改生效
3、ACL基本命令
+号只能证明有ACL权限存在
user::rw-是所有者权限
group::r–是所属组权限
other::r–是其他人权限
一旦有了ACL权限,ls命令是 不准确的,具体必须用getfacl来查看。
比如给某个目录递归设置ACL权限,ls它目录下的文件,会发现这个文件的所所属组的权限发生变化,这是不准确的,用getfacl才是准确的。
结论:递归会自动给所属组添加权限!
注意:递归和默认的区别(重要)
setfacl -m u:cc:rx -R soft/ 只对已经存在的文件生效
setfacl -m d:u:aa:rwx -R /test 只对以后新建的文件生效
d:default
加一个d的意识是给这个目录设置一个模板,以后每次新建一个文件都按这个模板来
不推荐ACL权限代替所有者、所属组权限,因为他会造成权限溢出
ACL的一个大问题就是权限溢出。ACL权限一旦递归后不可避免的出现权限溢出
我们一般给目录至少都要有5(r+x)的权限,而ACL递归后会导致用户对目录下的文件有执行权限(递归会给所属组添加权限),文件如果有执行权限是非常危险的。这只能一个个地去修改权限
4、最大有效权限mask
不是很重要,似乎不会影响我们的结果。了解一下就行,不要改默认值。
[root@localhost /]# setfacl -m m:rx project/
#设定 mask 权限为 r-x。使用“m:权限”格式
[root@localhost /]# getfacl project/
# file: project/
# owner: root
# group: tgroup
user::rwx
group::rwx #effective:r-x
mask::r-x
#mask 权限变为了 r-x
other::---
mask默认值已经很好了,不需要改。
注意:给某个用户赋予权限,最后得到的权限是给出的权限与mask值相与后得到的。
比如mask是rwx,给出st用户的权限是r-x,相与后的出:r-x
mask是rw-,给出st用户的权限是r-x,相与后的出:r–
mask是—,给出st用户的权限是r-x,相与后的出:—
5、删除ACL权限
[root@localhost /]# setfacl -x u:st /project/
#删除指定用户和用户组的 ACL 权限
[root@localhost /]# setfacl -b project/
#会删除文件的所有的 ACL 权限
ACL用来解决身份不足的问题,但也有风险,不能代替普通权限!!
二、sudo授权
用来给普通用户赋予部分管理员权限,只要合理就能用,跟ACL一样
sudo同样有风险
非常重要的结论:sudo赋予的权限越详细,普通用户得到的权限越小,反之,则越大。牢牢记住,这对服务器来说非常重要
/sbin/
/usr/sbin/
在上两个目录下的命令只有超级用户才能使用
1、root身份
visudo 赋予普通用户权限命令,命令执行后和 vi 一样使用
root ALL=(ALL) ALL
#用户名 被管理主机的地址=(可使用的身份) 授权命令(绝对路径)
# %wheel ALL=(ALL) ALL
#%组名 被管理主机的地址=(可使用的身份) 授权命令(绝对路径)
- 用户名/组名:代表 root 给哪个用户或用户组赋予命令,注意组名前加“%”
- 用户可以用指定的命令管理指定 IP 地址的服务器(也就是我们sudo赋予的命令想在哪个IP上执行,这是被管理者的IP,也不是很重要,了解就行,一般都写ALL)。如果写 ALL,代表可以管理任何主机,如果写固定 IP,代表用户可以管理这个指定的服务器。(这里真的很奇怪啊,超哥一直认为这里的IP 地址管理的是登录者来源的 IP 地址,查了很多资料也都是这样的。直到有一天超哥查看“man 5 sudoers”帮助,才发现大家原来都理解错误了,这里的 IP 指定的是用户可以管理哪个 IP 地址的服务器。那么如果你是一台独立的服务器,这里写 ALL 和你服务器的 IP 地址,作用是一样的。而写入网段,只有对 NIS 服务这样用户和密码集中管理的服务器才有意义)。如果我们这里写本机的 IP 地址,不代表只允许本机的用户使用指定命令,而代表指定的用户可以从任何 IP 地址来管理当前服务器。
- 可使用身份:就是把来源用户切换成什么身份使用,(ALL)代表可以切换成任意身份。这个字段可以省略,没有写就代表切换成root
- 授权命令:代表 root 把什么命令授权给普通用户。默认是 ALL,代表任何命令,这个当然不行。如果需要给那个命令授权,写入命令名即可,不过需要注意一定要命令写成绝对路径,而且一定要写的很详细不要给太大的权限
2、举例
(1)
举个例子,比如授权用户 user1 可以重启服务器,则由 root 用户添加如下行:
[root@localhost ~]# visudo
user1 ALL= /sbin/shutdown –r now
[user1@localhost ~]$ sudo -l #查看可用的授权
1.记得切换到user1,输入sudo -l 查看
2.执行命令的时候注意要用特定的格式:sudo shutdown -r now
(2)
再举个例子,授权一个用户管理你的 Web 服务器,不用自己插手是不是很爽,以后修改设置更新
网页什么都不用管,一定 Happy 死了,Look:
首先要分析授权用户管理 Apache 至少要实现哪些基本授权:
1、可以使用 Apache 管理脚本
2、可以修改 Apache 配置文件
3、可以更新网页内容
假设 Aapche 管理脚本程序为/etc/rc.d/init.d/httpd 。 为满足条件一,用 visudo 进行授权:
[root@localhost ~]# visudo
user1 192.168.0.156=/etc/rc.d/init.d/httpd reload,\
/etc/rc.d/init.d/httpd configtest
/ / 第一个不需要写192.168.0.156,写ALL就行
\是换行符,而且visudo可以一次性赋多个命令用,号隔开
reload:当没有用户使用时,重新加载配置文件,比restart更温和
授权用户 user1 可以连接 192.168.0.156 上的 Apache 服务器,通过 Apache 管理脚本重新读取配置文件让更改的设置生效(reload)和可以检测 Apache 配置文件语法错误(configtest),但不允许其执行关闭(stop)、重启(restart)等操作。(“\”的意思是一行没有完成,下面的内容和上一行是同一行。)
为满足条件二,同样使用 visudo 授权:
[root@localhost ~]# visudo
user1 192.168.0.156=/binvi /etc/httpd/conf/httpd.conf
这句话的意思就是允许用vi修改这个配置文件
/ / 注意:/binvi 后面必须加一个文件
如果只留下一个/binvi,
就代表可以用vi改任何文件,
Linux建立在文件之上,这说明咱们把服务器拱手相让了
/ / 所以给权限一定一定要详细!!!!
/ / 不要笼统
授权用户 user1 可以用 root 身份使用 vi 编辑 Apache 配置文件。
以上两种 sudo 的设置,要特别注意,很多朋友使用 sudo 会犯两个错误:第一,授权命令没有细化到选项和参数;第二,认为只能授权管理员执行的命令。条件三则比较简单,假设网页存放目录为/var/www/html ,则只需要授权 user1 对此目录具有写权限或者索性更改目录所有者为 user1 即可。如果需要,还可以设置 user1 可以通过 FTP 等文件共享服务更新网页。
一定要小心vi,极其危险!!
(3) 授权aa用户可以添加其他普通用户
aa ALL=/usr/sbin/useradd 赋予 aa 添加用户权限.命令必须写入绝对路径
aa ALL=/usr/bin/passwd 赋予改密码权限,取消对 root 的密码修改
不能像第二行这么写,太简单,导致普通用户也可修改root密码。
可能会造成严重后果
aa ALL=/usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd "", !/usr/bin/passwd root
// 得像第三行这么写,*是正则。
!是禁止的意思。
这句话的意思是:允许passwd后加任意字符,
但不允许为空(为空代表可以修改root密码),
也不允许passwd后加root
//注意,号后必须有一个空格才能写新的内容。(如果要添加多个权限的话)
而且这一行的格式不能改,顺序不能颠倒!!!!!
aa 身份
sudo /usr/sbin/useradd ee 普通用户使用 sudo 命令执行超级用户命令
三、文件特殊权限SetUID、SetGID、Sticky BIT
这些是Linux为了应对特殊情况准备的权限,不是太安全,不推荐用户手工修改
SetUID(所有者)和SetGID(所属组)这两个危险性极高(不允许手工赋予,了解就好)
1、SetUID
(1)SetUID是什么
SetUID 的功能可以这样理解(同时也是SUID的一些条件):
- 只有可以执行的文件(不一定是二进制程序)才能设定 SUID 权限
- 命令执行者要对该程序拥有 x(执行)权限。我要对这个命令文件有执行权限!SUID权限只有在用户执行的时候才生效!!
- 命令执行者在执行该程序时获得该程序文件属主的身份(在执行程序的过程中灵魂附体为文件的属主)
- SetUID 权限只在该程序执行过程中有效,也就是说身份改变只在程序执行过程中有效
为什么会出现S?因为这个文件是无效的,他没有x权限
注意设置SUID的前提是他是个可执行文件!!
(2) 举例
[root@localhost ~]# ll /etc/passwd
-rw-r--r-- 1 root root 1728 1 月 19 04:20 /etc/passwd
[root@localhost ~]# ll /etc/shadow
---------- 1 root root 1373 1 月 19 04:21 /etc/shadow
因为
[root@localhost ~]# ll /usr/bin/passwd
-rwsr-xr-x 1 root root 25980 2 月 22 2012 /usr/bin/passwd
/usr/bin/passwd 命令拥有特殊权限 SetUID ,也就是在属主的权限位的执行权限上是 s。可以这样来理解它:当一个具有执行权限的文件设置 SetUID 权限后,用户执行这个文件时将以文件所有者的身份执行。/usr/bin/passwd 命令具有 SetUID 权限,所有者为 root(Linux 中的命令默认所有者都是 root),
也就是说当普通用户使用 passwd 更改自己密码的时候,那一瞬间突然灵魂附体了,实际是在用 passwd命令所有者 root 的身份在执行 passwd 命令,root 当然可以将密码写入/etc/shadow 文件(不要忘记 root这个家伙是 superman 什么事都可以干),所以普通用户也可以修改/etc/shadow 文件,命令执行完成后该身份也随之消失
普通用户可以改自己密码,密码最终写入到shadow文件中,但shadow文件的权限是000,我们怎么写入shadow文件呢?这就是UID的作用,普通用户在执行passwd的时候变成了root。
注意:该自己密码的时候直接passwd回车就行
(3) 危险的SetUID,比sudo还危险
[root@localhost ~]# chmod u+s /usr/bin/vim
[root@localhost ~]# ll /usr/bin/vim
-rwsr-xr-x 1 root root 1847752 4 月 5 2012 /usr/bin/vim
/ / 这相当于把服务器送给别人了
(4)建议
坚决不允许手工给系统命令赋予SUID命令。系统知道的也有保护措施,知道SUID是什么就行
- 关键目录应严格控制写权限。比如“/”、“/usr”等;这些目录绝对不能随便改
- 用户的密码设置要严格遵守密码三原则;
- 对系统中默认应该具有 SetUID 权限的文件作一列表,定时检查有没有这之外的文件被设置了 SetUID 权限。
(5) 检测SetUID的脚本
[root@localhost ~]# vi suidcheck.sh
#!/bin/bash
# Author: shenchao (E-mail: shenchao@atguigu.com)
find / -perm -4000 -o -perm -2000 > /tmp/setuid.check
#搜索系统中所有拥有 SUID 和 SGID 的文件,并保存到临时目录中。
for i in $(cat /tmp/setuid.check)
#做循环,每次循环取出临时文件中的文件名
do
grep $i /root/suid.list > /dev/null
#比对这个文件名是否在模板文件中
if [ "$?" != "0" ]
#如果在,不报错
then
echo "$i isn't in listfile! " >> /root/suid_log_$(date +%F)
#如果文件名不再模板文件中,则报错。并把报错报错到日志中
fi
done
rm -rf /tmp/setuid.check
#删除临时文件
[root@localhost ~]# chmod u+s /bin/vi
#手工给 vi 加入 SUID 权限
[root@localhost ~]# ./suidcheck.sh
#执行检测脚本
[root@localhost ~]# cat suid_log_2013-01-20
/bin/vi isn't in listfile!
#报错了,vi 不再模板文件中。代表 vi 被修改了 SUID 权限
2、SetGID
(1)、针对文件的作用
只要是针对目录的(比如SGID和SBIT)都没有风险
但如果针对文件(SUID和SGID)都危险性极高
SGID 即可以针对文件生效,也可以针对目录生效,这和 SUID 明显不同。如果针对文件,SGID 的含义如下:
- 只有可执行的二进制程序才能设置 SGID 权限
- 命令执行者要对该程序拥有 x(执行)权限
- 命令执行在执行程序的时候,组身份升级为该程序文件的属组
- SetGID 权限同样只在该程序执行过程中有效,也就是说组身份改变只在程序执行过程中有效
[root@localhost ~]# ll /var/lib/mlocate/mlocate.db
-rw-r----- 1 root slocate 1838850 1 月 20 04:29 /var/lib/mlocate/mlocate.db
大家发现locate命令所搜索的数据库文件的所有者权限是 r、w,所属组权限是 r,但是其他人权限是 0:
但为什么我们普通用户也可以用locate命令呢?
因为locate命令赋予了SGID
[root@localhost ~]# ll /usr/bin/locate
-rwx--s--x 1 root slocate 35612 8 月 24 2010 /usr/bin/locate
当普通用户 user1 执行 locate 命令时,会发生如下事情:
- /usr/bin/locate 是可执行二进制程序,可以赋予 SGID
- 执行用户 user1 对/usr/bin/locate 命令拥有执行权限 执 行 /usr/bin/locate 命令时,组身份会升级为 slocate 组,而 slocate 组 对
/var/lib/mlocate/mlocate.db 数据库拥有 r 权限,所以普通用户可以使用 locate 命令查询mlocate.db 数据库 - 命令结束,user1 用户的组身份返回为 user1 组
(2)、针对目录的作用,危险性小,作用也小
主要的风险在于普通用户(也就是其他人的权限要为7)需要有写权限才可以生效(也就是必须给目录赋7权限)
如果 SGID 针对目录设置,含义如下:
- 普通用户必须对此目录拥有 r 和 x 权限,才能进入此目录
- 普通用户在此目录中的有效组会变成此目录的属组
- 若普通用户对此目录拥有 w 权限时,新建的文件的默认属组是这个目录的属组。其他用户必须要有写权限,他才能新建文件,SGID才能起作用(作用就是普通用户在此目录中的有效组会变成此目录的属组,这有啥用?我为什么不手动chgrp改一下呢)。换句话说普通用户必须有7权限,但实际生产中不会出现其他人有7权限的情况。
这样写的实在太难看明白了,举个例子
[root@localhost ~]# cd /tmp/
#进入临时目录做此实验。因为临时目录才允许普通用户修改
[root@localhost tmp]# mkdir dtest
#建立测试目录
[root@localhost tmp]# chmod g+s dtest
#给测试目录赋予 SGID
[root@localhost tmp]# ll -d dtest/
drwxr-sr-x 2 root root 4096 1 月 20 06:04 dtest/
#SGID 已经生效
[root@localhost tmp]# chmod 777 dtest/
#给测试目录权限,让普通用户可以写
[root@localhost tmp]# su – user1
#切换成普通用户 user1
[user1@localhost ~]$ cd /tmp/dtest/
#普通用户进入测试目录
[user1@localhost dtest]$ touch abc
#普通用户建立 abc 文件
[user1@localhost dtest]$ ll
总用量 0 -rw-rw-r-- 1 user1 root 0 1 月 20 06:07 abc
#abc 文件的默认属组不再是 user1 用户组,而变成了 dtest 组的属组 root
结论:SGID针对目录几乎没啥作用,也没啥风险,几乎用不到。风险就在于得给其他人赋7
3、文件特殊权限之Sticky BIT
没啥风险,主要风险在于得给其他人赋7
Sticky BIT 粘着位,也简称为 SBIT。SBIT 目前仅针对目录有效,它的作用如下:
- 粘着位目前只对目录有效
- 普通用户对该目录拥有 w 和 x 权限(当然没有写权限也不行,其实就是7权限),即普通用户可以在此目录拥有写入权限
- 如果没有粘着位,因为普通用户拥有 w 权限,所以可以删除此目录下所有文件,包括其他用户建立的文件。一但赋予了粘着位,除了 root 可以删除所有文件,普通用户就算拥有 w 权限,也只能删除自己建立的文件,但是不能删除其他用户建立的文件。
这样的话,即使tmp目录是777,我们普通用户也只能删自己建的文件,其他用户建的文件删不了。
abc文件是其他用户建的
建议:不要给除tmp目录以外的目录赋SBIT权限
4、设定文件特殊权限
特殊权限这样来表示:
- 4 代表 SUID
- 2代表 SGID
- 1 代表 SBIT
[root@localhost ~]# chmod 4755 ftest
#赋予 SUID 权限
[root@localhost ~]# chmod 2755 ftest
#赋予 SGID 权限
[root@localhost ~]# mkdir dtest
[root@localhost ~]# chmod 1755 dtest/
#SBIT 只对目录有效,所以建立测试目录,并赋予 SBIT
四、文件系统属性chattr权限
没什么风险,但是容易忘,这里能限制root用户,可以理解为给文件上锁的意思
Linux6个常规权限:①rwx ②umask ③ACL ④sudo
⑤UID、GID、BIT ⑥chattr
1、命令格式
[root@localhost ~]# chattr [+-=] [选项] 文件或目录名
选项:
+: 增加权限
-: 删除权限
=: 等于某权限
i: 如果对文件设置 i 属性,那么不允许对文件进行删除、改名,也不能添加和修改数
据;如果对目录设置 i 属性,那么只能修改目录下文件的数据
(也就是说咱锁的是目录,文件名是目录的数据当然不能改,
但目录下的子文件如果没被锁上,文件里的内容仍然可以改!)
但不允许建立和删除文件!!
a: 如果对文件设置 a 属性,那么只能在文件中增加数据,但是不能删除也不能修改数
据;如果对目录设置 a 属性,那么只允许在目录中建立和修改文件,但是不允许删 除
e: Linux 中绝大多数的文件都默认拥有 e 属性。表示该文件是使用 ext 文件系统进行
存储的,而且不能使用“chattr -e”命令取消 e 属性。没什么含义,不要管他。
只能用echo往里面添加数据,不能用vi给文件添加数据!!!!
2、查看文件系统属性 lsattr
注意ll命令看不到chattr权限
[root@localhost ~]# lsattr 选项 文件名
选项:
-a 显示所有文件和目录
-d 若目标是目录,仅列出目录本身的属性,而不是子文件的
3.举例
1: #给文件赋予 i 属性
[root@localhost ~]# touch ftest
#建立测试文件
[root@localhost ~]# chattr +i ftest
[root@localhost ~]# rm -rf ftest
rm: 无法删除"ftest": 不允许的操作
#赋予 i 属性后,root 也不能删除
[root@localhost ~]# echo 111 >> ftest
-bash: ftest: 权限不够
#也不能修改文件的数据
#给目录赋予 i 属性
[root@localhost ~]# mkdir dtest
#建立测试目录
[root@localhost dtest]# touch dtest/abc
#再建立一个测试文件 abc
[root@localhost ~]# chattr +i dtest/
#给目录赋予 i 属性
[root@localhost ~]# cd dtest/
[root@localhost dtest]# touch bcd
touch: 无法创建"bcd": 权限不够
#dtest 目录不能新建文件
[root@localhost dtest]# echo 11 >> abc
[root@localhost dtest]# cat abc
11
#但是可以修改文件内容
[root@localhost dtest]# rm -rf abc
rm: 无法删除"abc": 权限不够
#不能删除
例 2:
[root@localhost ~]# mkdir -p /back/log
#建立备份目录
[root@localhost ~]# chattr +a /back/log/
#赋予 a 属性
[root@localhost ~]# cp /var/log/messages /back/log/
#可以复制文件和新建文件到指定目录
[root@localhost ~]# rm -rf /back/log/messages
rm: 无法删除"/back/log/messages": 不允许的操作
#但是不允许删除
14万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
