0201基本权限与归属、附加权限、ACL策略

已于 2022-03-12 19:13:32 修改
阅读量842 收藏 2
点赞数 1
分类专栏: 02 Engineer云计算应用管理 文章标签: p2p linq 网络协议
于 2022-03-08 10:49:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56619848/article/details/123347700
版权

目录

一:基本权限与归属

1:解析文件/目录权限

2:权限管理

3:调整umask设置,提高安全性

4:新建目录时更改权限

5.归属控制

(1)、设置归属关系

6、Linux中判断用户具备的权限:      

二、附加权限

概述

1.Set  UID(了解)

2.Set GID权限(了解)

3.Sticky Bit

三、ACL策略管理

1、概述

2、设置ACL权限

综合题:让用户lisi可以读取/etc/shadow

一:基本权限与归属

权限:访问权限
   -读取:允许查看内容—read
   -写入:允许修改内容—write
   -可执行:允许运行或者切换—excute
归属:归属关系
   -所有者(属主):拥有此文件/目录的用户—user
   -所属组(属组):拥有此文件的组—group
   -其他用户:除所有者、所属组之外的用户—other

1:解析文件/目录权限

执行   ls   -l    .......查看
ls  -l   /etc/wenjian
     -rw-r--r--.             1          root      root       0    12月16  10:08     a1
类型  权限位     硬连接数  所属者  所属组  大小  最后修改时间    文件名

      以-开头:文本文件

      以d开头:目录

      以l开头:快捷方式

           所属者  所属组   其他

类型    User    Group    Other
  -         rw-        r--           r-- 
 d         rwx       r-x          r-x
  l         rwx       rwx         rwx

-权限位的8进制数表示
r , w , x 分别对应 4 , 2 ,1 。

ls  -l  /etc/passwd   /boot/

2:权限管理

  chmod    基本权限管理
  格式:chmod    [ugoa]   [+-=]   [rwx]    文件...

例子:
  使用字符权限形式
  chmod   g+w,o+w   /etc/wenjian/b1
  使用数字权限形式
  chmod   766  /etc/wenjian/b1

常用命令选项:-R      //递归修改权限(目录本身以及目录下所有
             chmod  -R  777  /opt/aa/bb/cc    只修改的是目录cc

              chmod  -R  777   /opt        #目录/opt  及目录下的所有

权限没有继承属性

对于目录:
   r读取权限:查看目录内容
   w写入权限:能够创建、删除、修改等目录的内容
   x 执行权限:能够cd切换到此目录下

3:调整umask设置,提高安全性

新建文件/目录的默认权限
—一般文件默认均不给x执行权限
—其他取决于umask(权限掩码)设置
—新建目录默认权限为755
—新建文件默认权限为644
  umask  默认0022          777-022=755

  umask  0027      //去除所有默认的other权限
  umask   -S         //查看当前用户创建的文件的权限
  

[root@localhost ~]# umask
0022
[root@localhost ~]# umask 007    #777-007=770   rwxrwx---
[root@localhost ~]# umask
0007
[root@localhost ~]# mkdir  /opt/abc03
[root@localhost ~]# ls  -ld  /opt/abc03
drwxrwx---. 2 root root 6 2月   7 16:19 /opt/abc03

4:新建目录时更改权限

  mkdir  -m   555   /etc/wenjian/mulu2   

5.归属控制

(1)、设置归属关系

chown命令:
     chown    属主     文件路径......
     chown    属主 : 属组     文件路径......
     chown    :属组     文件路径......  = =     chgrp   所属组   路径....
常用的命令选项:
     -R:递归修改归属关系

6、Linux中判断用户具备的权限:      

  1. 查看用户,对于该数据所处的身份,顺序  所有者 > 所属组 > 其他人 ,原则是匹配及停止
  2. 查看相应身份的权限位                                      rwx         rwx        rwx

二、附加权限

概述

特殊权限的作用:
—叠加于权限位的u , g , o 分组之上
—用来传递程序执行身份、限制目录写入权

特殊权限的分类:

1.Set  UID(了解)

—占用属主(User)的 x 位

—显示为 s(有) 或 S(没有),取决于属主是否有 x 权限

仅对可执行的程序有意义

—当其他用户执行带SUID标记的程序时,具有此程序属主的身份和相应权限

[root@localhost ~]# /usr/bin/mkdir  /opt/abc01
[root@localhost ~]# ls /opt/
[root@localhost ~]# /usr/bin/hahadir /opt/abc02
[root@localhost ~]# ls /opt
abc01  abc02  ken  rh
[root@localhost ~]# chmod  u+s  /usr/bin/hahadir
[root@localhost ~]# ls  -l  /usr/bin/hahadir
-rwsr-xr-x. 1 root root 79760 3月   9 10:22 /usr/bin/hahadir
[root@localhost ~]# su - lisi
上一次登录:三 3月  9 09:15:38 CST 2022pts/0 上
[lisi@localhost ~]$ /usr/bin/mkdir zs01
[lisi@localhost ~]$ ls -l
drwxrwxr-x. 2 lisi lisi 6 3月   9 10:24 zs01
[lisi@localhost ~]$ /usr/bin/hahadir zs02
[lisi@localhost ~]$ ls -l
drwxrwxr-x. 2 lisi lisi 6 3月   9 10:24 zs01
drwxrwxr-x. 2 root lisi 6 3月   9 10:25 zs02
[lisi@localhost ~]$

2.Set GID权限(了解)

—占用属组(Group)的 x 位

—显示为 s(有) 或 S(没有),取决于属组是否有 x 权限

—对目录有效

—在一个具有SGID权限的目录下,新建的文档会自动继承此目录的属组身份  

案例:

[root@localhost ~]# mkdir /nsd18
[root@localhost ~]# groupadd tmooc
[root@localhost ~]# chown :tmooc /nsd18
[root@localhost ~]# mkdir /nsd18/test01      #赋予SGID特殊权限之前
[root@localhost ~]# ls -ld /nsd18/test01
drwxr-xr-x. 2 root root 6 3月   9 09:45 /nsd18/test01

[root@localhost ~]# chmod  g+s  /nsd18    #赋予SGID特殊权限
[root@localhost ~]# ls -ld /nsd18
drwxr-sr-x. 3 root tmooc 20 3月   9 09:45 /nsd18

[root@localhost ~]# mkdir /nsd18/test02           #赋予SGID特殊权限之后
[root@localhost ~]# ls -ld /nsd18/test02
drwxr-sr-x. 2 root tmooc 6 3月   9 09:46 /nsd18/test02

3.Sticky Bit

  • 粘滞位,Sticky Bit 权限
  • 占用其他人(Other)的 x 位
  • 显示为 t (有)或 T(没有),取决于其他人是否有 x 权限
  • 适用于目录,用来限制用户滥用写入权
  • 在设置了t权限的文件夹下,即使用户有写入权限,也不能删除或改名其他用户文档 

[root@localhost ~]# mkdir   /home/public
[root@localhost ~]# chmod  777   /home/public
[root@localhost ~]# ls   -ld   /home/public
[root@localhost ~]# chmod  o+t  /home/public
[root@localhost ~]# ls  -ld  /home/public

[root@localhost ~]# su - lisi
[lisi@localhost ~]$ cd /home/public/
[lisi@localhost public]$ touch lisi.txt

[root@localhost ~]# su - dc
上一次登录:二 3月  8 16:53:35 CST 2022pts/0 上
[dc@localhost ~]$ touch /home/public/dc.txt
[dc@localhost ~]$ rm -rf /home/public/lisi.txt
rm: 无法删除"/home/public/lisi.txt": 不允许的操作       

三、ACL策略管理

1、概述

—acl策略的作用
文档归属的局限性:
    任何人之属于三种角色:属主、属组、其他人
    无法实现更精细的控制
acl访问策略:
     能够对个别用户、个别组设置独立的权限
     大多数挂载的EXT3/4 、 XFS 文件系统默认已支持

2、设置ACL权限

定义ACL控制策略
setfacl命令:
         格式:setfacl    [选项]   u:用户名:权限     文件....
                    setfacl    [选项]   g:组名:权限     文件...
         常见命令选项:
                    -m : 定义一条ACL策略
                    -x  : 清除指定的ACL策略
                    -b  : 清除所有已设置的ACL策略
                    -R  : 递归设置ACL策略

  ---  getfacl     /root         //查看acl策略

]# mkdir  /nsd
]# setfacl  -m  u:dc:rx    /nsd    #单独赋予dc权限
]# getfacl    /nsd                   //查看acl策略
]# setfacl   -x   u:dc  /nsd     #删除指定用户ACL
]# setfacl   -b   /nsd        #清除目录所有ACL策略

]# setfacl -Rm u:dc:rx /opt/nsd       #递归设置ACL策略

ACL策略-黑名单的使用(单独拒绝某些用户)

]# setfacl  -m   u:lisi:---    /home/public/

]# getfacl   /home/public/

综合题:让用户lisi可以读取/etc/shadow

1、以所属主身份

     chown  lisi  /etc/shadow
     chmod  u+r /etc/shadow

2、以所属组身份

     chown  :lisi   /etc/shadow
     chmod  g+r   /etc/shadow

3、以其他人身份

     chmod  o+r  /etc/shadow

4、ACL策略

     setfacl  -m  u:lisi:r  /etc/shadow

朱帅杰
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux操作系统用户权限之基础权限acl以及特殊权限
yiweii的博客
07-28 612
一、
Linux系统管理_基本权限归属-Redhat Enterprise 5
weixin_33756418的博客
02-18 94
Linux系统管理_基本权限归属-Redhat Enterprise 5 文件和目录在linux系统中是最为重要的,经常使用root用户登录系统可能没感觉,一旦使用普通用户的时候,就会发现权限这个很棘手的问题,最近一段时间在学习关于文件和目录的权限,想了一下,可以从这四个方面来总结一下:一基本权限归属关系二,文件和目录的权限三,权限的设置:chmod,umask,m...
1/10(基本权限归属附加权限ACL策略管理)
paul__george的博客
01-10 531
一、权限归属概述 1.访问权限:-读取:允许查看内容-read (用r代替) -写入:允许修改内容-write (用w代替) -可执行:允许运行和切换-execute (用x代替) 对于文本文件: -读取权限:cat、less、grep、head、tail -写入权限:vim、>、>> -可执行权限:对于文本文件:shell与python 2.归属关系: -所有者(属主):拥有此文件/目录的用户-user (用u代替) -所属组(属组):拥有此文件/目录的组-group
基本权限归属 附加权限 ACL策略管理
Yosigo_的博客
03-09 406
· 基本权限归属 · 附加权限 · ACL策略管理 基本权限归属关系 root 用户有最高权限,无视所有权限,可以修改权限 基本权限 读取 : 允许查看内容 - read 利用 r 表示 写入 :允许修改内容 - write 利用 w 表示 可执行 :运行运行和切换 - excute 利用 x 表示 对于文本文件 读取权限(r) :cat 、head 、tail 、 less 、 grep 写入权限(w) :
基本权限ACL
qq_45914535的博客
10-28 94
UGO甚至基本权限:只能一个用户,一个组和其他人 ACL设置基本权限:r,w,x 语法 : setfacl -m u:alice:rw /home/test.txt 命令 设置 用户或组:用户名:权限 文件对象 举例说明: ACL基本用法 【1】设置 [root@w_hat ~]#touch /home/test.txt [root@w_hat ~]#ll /home/test.txt [root@w_hat ~]#getfacl /home/test.txt [root@w_hat ~]#setfacl
2.1: 基本权限归属附加权限ACL策略管理.docx
03-04
2.1: 基本权限归属附加权限ACL策略管理.docx
linux基础 –基本权限ACL
01-09
ACL文件权限管理: 设置不同用户,不同的基本权限(r、w、x)。对象数量不同。 UGO设置基本权限: 只能一个用户,一个组和其他人 setfacl命令用法 [root@localhost ~]# setfacl -help 主要用的参数: -m, --modify-acl...
为zookeeper配置相应的acl权限
08-29
主要介绍了为zookeeper配置相应的acl权限的相关实例,具有一定参考价值,需要的朋友可以了解下。
Linux系统基本权限ACL及特殊权限命令操作修改
01-09
Linux系统基本权限ACL及特殊权限命令操作修改 一、基本权限 ACL 1、区分 请思考:使用chmod能针对独立用户设置文件不同的权限吗? user01 rwx file1 user02 rw file1 user03 r file1 user04 rwx file1 user05 rw ...
基本权限 ACL
Unity3d游戏开发
12-01 294
基本权限 ACL ======================================================== 文件权限管理之: ACL设置基本权限(r、w、x) UGO设置基本权限: 只能一个用户,一个组和其他人 ACL 设置基本权限: r,w,x =ACL基本用法= 设置: [root@tianyun ~]# touch /home/test.txt [ro
linux基础 --基本权限ACL
彬彬的博客
02-26 3077
UGO与ACL区别 ACL文件权限管理: 设置不同用户,不同的基本权限(r、w、x)。对象数量不同。 UGO设置基本权限: 只能一个用户,一个组和其他人 setfacl命令用法 [root@localhost ~]# setfacl -help 主要用的参数: -m, --modify-acl 更改文件的访问控制列表 -x, --remove=acl 根据文件中访问控制列表...
20.基本权限ACL与文件特殊权限权限掩码umask
zcffight的博客
07-27 197
代码】20.基本权限ACL与文件特殊权限权限掩码umask。
基本权限归属特殊权限ACL权限
u013862108的博客
10-15 448
权限归属 访问权限 r 读取:允许查看内容-read w 写入:允许修改内容-write x  可执行:允许运行和切换execute 归属关系 u  所有者:拥有此文件/目录的用户user g  所属组:拥有此文件/目录的组 group o  其他用户: 除所有者,所属组以外的用户other 注意:当用户对一个目录有w权限时,即使对此目录下的文件没有w权限,可以通过vim强制修...
Linux这么简单之基本权限ACL与特殊权限
weixin_43911375的博客
11-06 193
基本权限ACL 1、针对用户设置: 用到的命令setfacl,getfacl 图1-1给dir目录增加了一个名叫lisa的用户,并赋予她rwx的权限。 图1-1 图1-2切换到lisa用户,可以创建文件和目录。 图1-3给文件file中加入信息123,由图1-2和图1-3可知lisa用户具有rwx的权限。 图1-2 图1-3 2、针对用户组设置 图2-1给dir1目录增加了名为jerry的用户组,并且权限为rwx 图2-1 3、子文件或子目录继承父目录的权限 图3-1创建dir目.
Linux学习之权限管理-ACL权限-简介与开启
智欣约的博客
12-02 1305
权限简介与开启: 基本权限:用户对文件拥有的所有者、所属组、其他人三类身份;                     每个身份都有都有读、写、执行三种文件读写权限;                    还有对系统的umask 权限(新添加的用户,默认拥有的权限设置) 其他权限: 一、ACL权限 1、ACL权限简介 1)如上,有个项目需要某开发组项目组长、该组的成员共同完成,于是...
Linux中的ACL权限权限掩码及特殊权限
weixin_45440548的博客
03-12 971
一、基本权限ACL 1、什么是ACL? ACL 的全称是 Access ControlList(访问控制列表),一个针对文件/目录的访问控制列表。他在 UGO 权限管理的基础上为文件系统提供一个额外的、更灵活的权限管理机制。它被设计为 unix 文件权限管理的一个补充。ACL 允许你给任何用户或用户组设置任何文件/目录的访问权限。 既然是作为 UGO 权限管理的补充,ACL 自然要有 UGO ...
系统权限模块的几种实现策略
util123的博客
04-11 1339
几种应对系统权限管理模块的主流方案,基于经典的RBAC模式进行展开分析,附带mysql建表语句
文件基本权限-ACL
道常无为
02-12 1149
文件权限管理之: ACL设置基本权限(r、w、x) UGO设置基本权限: 只能一个用户,一个组和其他人 ACL 设置基本权限: r,w,x //Access Control List 访问控制列表 ACL基本用法 设置: [root@localhost ~]# touch /home/test.txt [root@localhost ~]# ll /home/test.txt -r
centos7 文件权限ACL
最新发布
09-28
centos7中的文件权限ACL是一种更细化的文件权限控制机制。通过ACL,我们可以对每个文件或目录设置更详细的权限ACL权限可以让我们定义除了u、g、o三种权限组以外更具体的权限,例如为某个用户或组设置特定的读、写、执行权限等。 在centos7中,我们可以使用getfacl命令来获取某个文件的ACL权限,使用setfacl命令来修改或设置ACL策略。例如,使用getfacl /mnt/a/b命令可以获取/mnt/a/b文件的ACL权限,而使用setfacl -m u:user1:rw /mnt/a/b命令可以将/mnt/a/b文件的ACL权限设置为用户user1可读可写。 常用的setfacl选项包括: -m:修改或设置ACL策略 -R:递归授权,对目录下已存在的目录或文件有ACL策略,但新建的文件没有 -x:去掉某个用户或组的权限 -b:删除所有的ACL策略 -d:默认ACL策略,只针对目录,该目录下新建的目录和文件都会继承ACL策略 mask:定义除其他人和所有者外的最大权限 以下是centos7文件权限ACL的命令及语法示例: getfacl:获取某个文件的ACL权限 setfacl:修改或设置ACL策略

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值