ACL策略管理、总结和答疑

最新推荐文章于 2024-06-21 20:56:56 发布
最新推荐文章于 2024-06-21 20:56:56 发布
阅读量94 收藏
点赞数
分类专栏: linux 文章标签: linux 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_65562581/article/details/132307547
版权
ACL策略管理、总结和答疑

ACL策略管理:

  • 文档归属的局限性:

    • 任何人只属于三种角色:属主、属组、其他用户

    • 针对特殊的人实现更精细的控制

  • acl访问策略作用:

    • 能够对个别用户、个别组设置独立的权限

    • 大多数挂载的EXT3/4、XFS文件系统默认已支持

  • setfacl命令

    • 格式:setfacl [选项] u:用户名:权限 文件...

      setfacl [选项] g:组名:权限 文件...

  • 常用命令选项

    • -m: 修改ACL策略

    • -x:清除指定的ACL策略

    • -b:清除所有已设置的ACL策略

    • -R:递归设置ACL策略

#体验ACL策略的作用例子
[root@localhost ~]# mkdir /NB
[root@localhost ~]# echo 五元>/NB/rmb.txt
[root@localhost ~]# cd /NB/
[root@localhost NB]# ls
rmb.txt
[root@localhost NB]# cat rmb.txt 
五元
[root@localhost NB]# groupadd caiwu
[root@localhost NB]# chmod o=--- /NB
[root@localhost NB]# ls /NB
rmb.txt
[root@localhost NB]# ls -ld  /NB
drwxr-x---. 2 root root 21 8月  13 17:51 /NB
[root@localhost NB]# chmod g+w /NB
[root@localhost NB]# ls -ld /NB
drwxrwx---. 2 root root 21 8月  13 17:51 /NB
[root@localhost NB]# useradd dc
断开重连切换到dc用户
[root@localhost ~]# su dc
[dc@localhost root]$ cd /NB
bash: cd: /NB: 权限不够
断开重连切换到root用户,为dc用户添加ACL策略
[root@localhost NB]# setfacl -m u:dc:rx /NB
断开重连切换到dc用户
[dc@localhost root]$ cd /NB
[dc@localhost NB]$ ls
rmb.txt
[dc@localhost NB]$ cat rmb.txt 
五元
发现ACL策略生效,可以查看
[dc@localhost NB]$ getfacl /NB #这个命令可以查看该文件的ACL策略
getfacl: Removing leading '/' from absolute path names
# file: NB
# owner: root
# group: root
user::rwx
user:dc:r-x
group::rwx
mask::rwx
other::---
#可以继续添加ACL策略用户
[root@localhost ~]# setfacl -m u:lisi:rx /NB
[root@localhost ~]# getfacl /NB #查看ACL策略
getfacl: Removing leading '/' from absolute path names
# file: NB
# owner: root
# group: root
user::rwx
user:lisi:r-x
user:dc:r-x
group::rwx
mask::rwx
other::---
#还可以用ACL策略,单独对一个用户设置禁用权限
[root@localhost ~]# mkdir /nsd19
[root@localhost ~]# chmod 777 /nsd19
[root@localhost ~]# ls -ld /nsd19
drwxrwxrwx. 2 root root 6 8月  14 09:20 /nsd19
[root@localhost ~]# setfacl -m u:lisi:--- /nsd19
[root@localhost ~]# su lisi
[lisi@localhost root]$ cd /nsd19
bash: cd: /nsd19: 权限不够
[root@localhost ~]# getfacl /nsd19 #查看ACL策略
getfacl: Removing leading '/' from absolute path names
# file: nsd19
# owner: root
# group: root
user::rwx
user:lisi:---
group::rwx
mask::rwx
other::rwx
​

linux中判断用户具备的权限:

1.首先查看该用户或组是否有ACL测量

2.查看用户1,对于该数据所处的身份,顺序所有者>所属组>其他人,原则是匹配及停止

3.查看相应身份的权限位

ACL策略练习

[root@localhost ~]# mkdir /nsd22
[root@localhost ~]# setfacl -m u:dc:rx /nsd22
[root@localhost ~]# setfacl -m u:zhangsi:rwx /nsd22
[root@localhost ~]# setfacl -m u:lisi:rx /nsd22
[root@localhost ~]# setfacl -m u:gelin01:rwx /nsd22
[root@localhost ~]# getfacl /nsd22
getfacl: Removing leading '/' from absolute path names
# file: nsd22
# owner: root
# group: root
user::rwx
user:lisi:r-x
user:zhangsi:rwx
user:gelin01:rwx
user:dc:r-x
group::r-x
mask::rwx
other::r-x
[root@localhost ~]# setfacl -x u:zhangsi /nsd22 #删除指定用户ACL
[root@localhost ~]# getfacl /nsd22
getfacl: Removing leading '/' from absolute path names
# file: nsd22
# owner: root
# group: root
user::rwx
user:lisi:r-x
user:gelin01:rwx
user:dc:r-x
group::r-x
mask::rwx
other::r-x
​
[root@localhost ~]# setfacl -x u:dc /nsd22 #删除指定用户ACL
[root@localhost ~]# getfacl /nsd22
getfacl: Removing leading '/' from absolute path names
# file: nsd22
# owner: root
# group: root
user::rwx
user:lisi:r-x
user:gelin01:rwx
group::r-x
mask::rwx
other::r-x
[root@localhost ~]# setfacl -b /nsd22 #清除目录所有的ACL策略
[root@localhost ~]# getfacl /nsd22/
getfacl: Removing leading '/' from absolute path names
# file: nsd22/
# owner: root
# group: root
user::rwx
group::r-x
other::r-x

补充内容:

ACL策略-黑名单的使用(单独拒绝某些用户)

[root@localhost ~]# setfacl -m u:lisi:--- /home/public
[root@localhost ~]# getfacl /home/public

-R:递归设置ACL策略

[root@localhost ~]# setfacl -Rm u:dc:rwx /opt/aa #目录以及下面的文件都设置ACL策略

Linux用户家目录被删除了,怎么办

方法如下:

[root@localhost ~]# id aaa #确认没有aaa用户
id: aaa: no such user
[root@localhost ~]# useradd aaa  #创建aaa用户
[root@localhost ~]# su aaa
[aaa@localhost root]$ su
密码:
[root@localhost ~]# rm -rf /home/aaa/  #删除aaa用户的家目录
[root@localhost ~]# su aaa #再切换到aaa用户,报错
bash-4.2$ 
bash-4.2$
#这时我们开始恢复家目录,非常简单
bash-4.2$ exit
exit
[root@localhost ~]# useradd bbb #我们先创建个新的bbb用户
[root@localhost ~]# ls -A /home/bbb/ #查看bbb家目录下的全部文件
.bash_logout  .bash_profile  .bashrc
[root@localhost ~]# cp -r  /home/bbb/ /home/aaa #把家目录的文件拷贝到aaa用户
[root@localhost ~]# chown -R  aaa:aaa /home/aaa #把属主和属组改成aaa用户
[root@localhost ~]# su aaa #再次切换正常
[aaa@localhost root]$

我们会发现,创建新用户,在相对应的目录下,都会有几个相同的隐藏文件,这些模板都在/etc/skel目录下。

[aaa@localhost root]$ ls  -A  /etc/skel/
.bash_logout  .bash_profile  .bashrc
假如我们在这个文件夹下,创建点新的文件或目录,再次创建用户时,家目录会不会相对应的更新
[aaa@localhost root]$ cd /etc/skel/
[aaa@localhost skel]$ mkdir test
mkdir: 无法创建目录"test": 权限不够
[aaa@localhost skel]$ su
密码:
[root@localhost skel]# mkdir test #创建个test目录
[root@localhost skel]# touch test.txt #创建个test文件
[root@localhost skel]# ls -A #查看目录
.bash_logout  .bash_profile  .bashrc  test  test.txt
[root@localhost skel]# useradd ccc #创建新用户
[root@localhost skel]# ls -A /home/ccc/ #查看ccc用户的家目录发现跟模板的目录下文件一样
.bash_logout  .bash_profile  .bashrc  test  test.txt
​
怡雪~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ACL控制策略
秦庚辰的博客
05-03 5531
1.定义ACL控制策略 问题 1)创建账户:mike、john、kaka 2)创建文件:/data/file1.txt 3)mike对文件有读写权限,john只有读权限。其他用户没有任何权限 4)kaka具有与john相同权限 5)创建lily用户,lily对file1.txt具有读执行权限,其他用户没有任何权限 方案 并不是所有的分区都支持ACL策略设置,后续会学习怎样让一个分区支持ACL。在安...
基本ACL和高级ACL.topo
11-10
该实验能够让你简单的理解基本ACL和高级ACL的基础。ACL是一种应用非常广泛的网络技术。ACL技术总是与防火墙、路由策略、流量过滤、QoS等其它技术结合使用。
ACL】访问控制列表
陌上花开,静待绽放!
03-22 7474
访问控制列表ACL(Access Control List)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
cisco ACL策略配置和查看
weixin_33895016的博客
04-03 8497
首选查看设备有哪些关于ACL的配置,可以使用以下命令:44-SW4#show running-config | section access ip access-group 100 inaccess-list 100 permit eigrp any anyaccess-list 100 deny icmp any any查看acl的具体情况,包括acl类型、acl序号、...
07: 基本权限和归属 、 附加权限 、 ACL策略管理总结答疑
weixin_49048728的博客
11-12 140
CASE Top NSD ENGINEER DAY01 案例1:设置基本权限 案例2:文件/目录的默认权限 设置归属关系 SUID权限测试 ...
云计算之Linux全栈目录(第七节基本权限和归属、附加权限、ACL策略管理
weixin_43051805的博客
11-16 223
学习Linux必须经历的三个阶段 1.ADMIN(云计算系统管理) 2.ENGINEER(云计算应用管理 ) 3.SERVICES(系统,服务管理进阶) 目标不要太远!爱的不要太满!博主不要太帅! 加油,年轻人! --Tuge 目录总结学习Linux必须经历的三个阶段One.ADMIN(云计算系统管理)Two.ENAINEER(云计算应用管理)Three.SERVICES(系统服务管理进阶)七.基本权限和归属,附加权限,ACL策略管理基本权限访问权限归属关系设置权限重要的事情说三遍 One.ADMI
Linux基本防护 、 用户切换与提权 、 SSH访问控制 、 Selinux安全防护 、 总结答疑
qq_36345864的博客
03-17 2488
监控与服务安全 用户账号安全 使用chage工具 -d 0 ,强制修改密码 -E yyyy-mm-dd,指定失效日期(-1取消) -l 查看具体信息 账号的锁定/解锁 使用passwd命令 -l锁定 -u解锁 -S看状态 强制定期修改密码 配置文件/etc/login.defs -对新建用户有效 主要控制属性 伪装登录提示 配置文件/etc/...
51: 系统审计 、 服务安全 、 服务安全 、 Linux安全之打补丁 、 总结答疑
weixin_46575696的博客
11-13 409
CASE Top NSD SECURITY DAY05 案例1:部署audit监控文件 案例2:加固常见服务的安全 案例3:使用diff和patch工具打补丁 ...
IT运维面试问题总结-基础服务、磁盘管理、虚拟平台和系统管理
qq_40907977的博客
10-15 2174
基础服务 1、简述Linux中常见的系统服务,其作用分别是? 常见的系统服务及其作用有: NTP/Chrony:用于时钟同步; DHCP:动态主机配置协议,用于自动分配主机地址,默认使UDP 63端口; DNS:域名解析,运行在UDP协议之上,默认使用53端口; NFS:网络文件系统,依赖于RCP协议,其基本原则是“容许不同的客户端及服务端通过一组RPC分享相同的文件系统”,它是独立于操作系统,容许不同硬件及操作系统的系统共同进行文件的分享 Postfix:邮件服务; rsync:远程数据备份服务。 VP
云计算笔记之admin-day-06-权限和归属、使用LDAP认证、家目录漫游、总结答疑
点点滴滴
03-24 261
Day06-权限和归属、使用LDAP认证、家目录漫游、总结答疑 权限和归属 基本权限 对于文本文件: r:cat,less,head,tail w:vim能够保存 x:针对shell脚本 dr-xr-x—. 5 root root 4096 2月 27 2019 /root 权限位 硬链接数 属主 属组 大小 最后修改时 文件/目录名称 目录的r权限:能够ls浏览此目录的内容 目录的w权限:...
2.1: 基本权限和归属 、 附加权限 、 ACL策略管理.docx
03-04
四、附加权限和ACL策略管理 除了基本的rwx权限外,Linux还提供了额外的权限,如setuid、setgid和sticky bit。setuid允许普通用户以文件所有者的权限运行程序,setgid使得执行文件时继承目录的组权限,sticky bit在...
上网行为管理技术ACL详解.doc
08-24
ACL的规则可以分为数字型ACL和命名型ACL,数字型ACL按照创建ACL时的编号来标识,命名型ACL按照创建ACL时的名称来标识。 ACL的规则匹配报文到达设备时,查找引擎从报文中取出信息组成查找键值,键值与ACL中的规则...
nodejs acl的用户权限管理详解
10-18
主要介绍了nodejs acl的用户权限管理详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Linux】Xshell和Xftp简介_安装_VMware虚拟机使用
wosixiaokeai的博客
06-19 1311
Xftp是一个功能强大的SFTP、FTP文件传输软件,它允许MS Windows用户安全地在UNIX/Linux和Windows PC之传输文件。Xftp支持SFTP协议,确保所有通过该软件的网络流量都是加密的。它采用了标准的Windows风格的向导,用户界面直观易用,可以很好地与其他Windows应用程序协同工作。Xftp的特色功能包括同步功能、直接编辑远程文件、多窗格支持、文件交换协议(FXP)支持等,这些功能使得文件传输更加容易和快捷。
Linux开发讲课7---Linux sysfs文件系统
最新发布
qq_42837317的博客
06-21 1027
Sysfs通过文件和目录的方式组织信息,其中每个文件或目录对应于系统中的一个设备、驱动程序或者其他内核对象。当内核中的设备、驱动程序等对象被创建时,相应的Kobject也会被创建,然后通过Sysfs将其信息暴露给用户空。Sysfs通常被挂载在/sys目录下,它提供了一种方便的方式,让用户空的程序可以动态地获取和管理系统中的设备信息,而无需直接访问内核数据结构。(2)创建sysfs文件。其中attr表示将要创建的文件(属性),而show和store分别表示对应的sysfs文件在读和写操作时的回调函数。
Linux-安装及管理程序
A6985HG的博客
06-19 719
定义:本地Yum源是指将软件包存储在本地服务器或存储设备上的源。这些软件包可以是从官方源下载后本地存储的,也可以是用户自己编译的软件包。优点:本地Yum源的主要优势在于访问速度和可控性。由于软件包位于本地网络或服务器上,因此安装和更新速度快,尤其是在没有稳定互联网连接或需要大规模部署的情况下更为实用。
Linux实时查看Java接口数据
m0_72958694的博客
06-19 855
本文详细介绍了如何在Linux环境中结合Java Spring Boot应用程序和Python脚本来实时(或定期)查看Java接口的数据。
linux 登录ftp报Received message too long 1416128883
weixin_47139678的博客
06-20 246
linux 登录ftp报Received message too long 1416128883。
ensp中查看acl策略的命令
03-28
在ensp中查看acl策略的命令是: 1. 显示所有acl策略:display acl all 2. 显示指定acl策略:display acl name <acl策略名称> 3. 显示指定acl策略的统计信息:display acl name <acl策略名称> statistics 4. 显示...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值