本文详细介绍了Linux系统中的ACL权限管理,包括如何开启、使用、查询和删除ACL权限,以及ACL的基本命令和注意事项。此外,还讲解了sudo授权机制,如何为普通用户赋予特定的管理权限。同时,讨论了SetUID、SetGID和Sticky BIT等特殊权限的用途和设定方法,强调了它们在系统安全中的重要性。最后,提到了chattr命令用于文件系统属性的控制,如i、a和e属性的作用和使用场景。
1.权限管理
1.1.ACL权限
1.1.1.ACL概述
ACL概述:ACL是用于解决用户对文件身份不足的问题的
不足:ACL权限,一旦递归之后,不可避免的出现权限溢出
1.1.2.使用ACL权限
1)开启ACL权限
[root@localhost~]#dumpe2fs -h /dev/sda3
#dumpe2fs命令是查询指定分区详细文件系统信息的命令
选项:
-h 仅显示超级块中信息,而不显示磁盘块组的详细信息。
.省略部分输出...
Defaultmountoptions:userxattracl
...省略部分输出...
#如果没有开启,手工开启分区的ACL权限:
[root@localhost~]#mount-oremount,acl/
#重新挂载根分区,并挂载加入acl权限
也可以通过修改/etc/fstab文件,永久开启ACL权限:
[root@localhost~]#vi/etc/fstab
UUID=c2ca6f57-b15c-43ea-bca0-f239083d8bd2 / ext4 defaults,acll 1
#加入acl
[root@localhost~]#mount-oremount /
#重新挂载文件系统或重启动系统,使修改生效
备注:
dumpe2fs命令只适用于ext格式类型,
可通过df -T查看文件类型
[root@localhost ~]# df -T
xfs格式类型默认开启ACL权限无需再次配置
1.1.3.ACL基本命令
1)查询
getfacl 文件名 查询文件的ACL权限
2)设定
setfacl [参数] 文件名 设定ACL权限
参数:
-m 设定ACL权限
#实例:
setfacl -m u:用户名:权限 文件名
setfacl -m g:组名:权限 文件名
#给www目录赋予用户st读执行的ACL权限
#例1:如下命令一直,权限可用字母也可以数字
[root@localhost ~]# setfacl -m u:st:5 www
[root@localhost ~]# setfacl -m u:st:rx www
#给www目录递归创建用户st读执行的权限
#例2:赋予递归ACL权限
[root@localhost ~]# setfacl -m u:st:rx -R www
[root@localhost ~]# setfacl -md u:st:rx -R www
setfacl -md :u:aa:rwx -R /test ACL默认权限。
注意:默认权限只能赋予目录
注意:如果给目录赋予acl权限,两条命令都要输入
递归与默认的区别:
setfacl-m u:cc:rx -R soft 只对已经存在的文件生效
setfacl-m d:u:aa:rwx -R test 只对以后新建的文件生效,(相当于设置默认acl权限)
1.1.4.最大有效权限musk
[root@localhost ~]# setfacl -m m:rw www
#设定mask权限为rw-。使用“m:权限”格式
[root@localhost ~]# getfacl www
# file: www
# owner: root
# group: root
user::rwx
user:st:r-x #effective:r--
group::r-x #effective:r--
mask::rw-
#mask权限变为了rw-
other::r-x
1.1.5.删除ACL权限
setfacl [参数] 文件名 设定ACL权限
-b 删除ACL权限
-x:用户 删除单个用户的ACL权限
[root@localhost/]#setfacl -x u:st www
#删除指定用户和用户组的ACL权限
[root@localhost/]#setfacl -b www
#会册除文件的所有的ACL权限
1.2.sudo授权
给普通用户赋予部分管理员权限,可以执行授权的命令权限
sudo:赋予的权限越详细,普通用户得到的权限越小
赋予的权限越简单,普通用户的到的权限越大
/sbin/ 在此目录下命令只有超级用户才能使用
/usr/sbin
1.2.1.root身份
root ALL=(ALL) ALL
#用户名 被管理主机的地址(ip地址)=(可使用的身份) 授权命令(绝对路径)
%wheel ALL=(ALL) ALL
#%组名 被管理主机的地址=(可使用的身份) 授权命令(绝对路径)
-
用户名/组名:代表root给哪个用户或用户组赋予命令,注意组名前加“%”
-
用户可以用指定的命令管理指定IP地址的服务器。如果写ALL,代表可以管理任何主机,如果写固定IP,代表用户可以管理指定的服务器。(这里真的很奇怪啊,超哥一直认为这里的IP地址管理的是登录者来源的IP地址,查了很多资料也都是这样的。直到有一天超哥查看“man 5 sudoers”帮助,才发现大家原来都理解错误了,这里的IP指定的是用户可以管理哪个IP地址的服务器。那么如果你是一台独立的服务器,这里写ALL和你服务器的IP地址,作用是一样的。而写入网段,只有对NIS服务这样用户和密码集中管理的服务器才有意义)。如果我们这里写本机的IP地址,不代表只允许本机的用户使用指定命令,而代表指定的用户可以从任何IP地址来管理当前服务器。
-
可使用身份:就是把来源用户切换成什么身份使用,(ALL)代表可以切换成任意身份。这个字段可以省略
-
授权命令:代表root把什么命令授权给普通用户。默认是ALL,代表任何命令,这个当然不行。如果需要给那个命令授权,写入命令名即可,不过需要注意一定要命令写成绝对路径
1.2.2.举例
1)举个例子,比如授权用户user1可以重启服务器,则由root用户添加如下行:
[root@localhost ~]# visudo
user ALL=/sbin/shutdown -r now
[user1@localhost ~]$ sudo -l
#查看可用的权限
2)再举个例子,授权一个用户管理你的Web服务器,:
首先要分析授权用户管理Apache至少要实现哪些基本授权:
1、可以使用Apache管理脚本
2、可以修改Apache配置文件
3、可以更新网页内容
假设Aapche管理脚本程序为/etc/rc.d/init.d/httpd
为满足条件一,用visudo进行授权:
[root@localhost~]#visudo
user1 192.168.0.156=/etc/rc.d/init.d/httpd reload,/etc/rc.d/init.d/httpd configtest
授权用户user1可以连接192.168.0.156上的Apache服务器,通过Apache管理脚本重新读取配置文件让更改的设置生效(reload)和可以检测Apache配置文件语法错误(configtest),但不允许其执行关闭(stop)、重启(restart)等操作。(“\”的意思是一行没有完成,下面的内容和上一行是同一行。)
3)授权aa用户可以添加其他普通用户
#赋予aa添加用户权限.命令必须写入绝对路径
aa ALL =/usr/bin/passwd
#赋予改密码权限,取消对root的密码修改
aaALL = /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd "", !/usr/bin/passwd root
#普通用户使用sudo命令执行超级用户命令
aa身份
[aa@localhost~] sudo /usr/sbin/useradd ee
1.3文件特殊权限SetUID、SetGID、StickyBIT
SUID:只针对执行程序
SGID:既可以针对执行文件,也可以针对目录文件
SBIT:只能针对目录
1.3.1.SetUID
1)SetUID是个危险的权限,不允许手工赋予此权限,系统默认自带某些文件有此权限,当一个具有执行权限的文件设置SetUID权限后,用户执行这个文件时将以管理员身份执行。
2)如果手工赋予某个文件SetUid权限,他将以root权限执行此文件,会导致意想不到的后果,如运用setuid权限删除有关于root的账户信息,相当于将服务器暴露给其他人。
3)SetUID是什么
SetUID的功能可以这样理解:
- 只有可以执行的二进制程序才能设定SUID权限
- 命令执行者要对该程序拥有x(执行)权限
- 命令执行者在执行该程序时获得该程序文件属主的身份(在执行程序的过程中灵魂附体为文件的属主)
- SetUID权限只在该程序执行过程中有效,也就是说身份改变只在程序执行过程中有效
4)有几点建议:
◇关键目录应严格控制写权限。比如“/”、“/usr”等;
◇用户的密码设置要严格遵守密码三原则;
◇对系统中默认应该具有SetUID权限的文件作一列表,定时检查有没有这之外的文件被设置了SetUID权限
检测SetUID的脚本,防范系统中有系统外其他SetUID的文件
[root@localhost~]#vi suidcheck.sh
#!/bin/bash
find / -perm -4000 -o -perm -2000 >/tmp/setuid.check
#搜索系统中所有拥有SUID和SGID的文件,并保存到临时目录中。
for i in $(cat /tmp/setuid.check)
#做循环,每次循环取出临时文件中的文件名
do
grep $i /root/suid.list > /dev/null
#比对这个文件名是否在模板文件中
if [ ”$?” != ”0” ]
#如果在,不报错
then
echo "$i isn't inlistfile! " >> /root/suid_log_$(date +%F)
#如果文件名不再模板文件中,则报错。并把报错报错到日志中
fi
done
rm -rf /tmp/setuid.check
#删除临时文件
测试
[root@localhost~]#chmod u+s /bin/vi
#手工给vi加入SUID权限
[root@localhost~]#./suidcheck.sh
#执行检测脚本
[root@localhost~]#cat suid_log_
/bin/vi isntinlistfile!
#报错了,vi不再模板文件中。代表vi被修改了SUID权限
1.3.2.SetGID
1)针对文件作用,当一个具有执行权限的文件设置SetGID权限后,用户执行这个文件时将以程序的所属组执行。
2)针对目录作用,目录需要有777权限,普通用户对目录进行添加目录时,所添加目录及文件的所属组为原目录的所属组
3)如果SGID针对目录设置,含义如下:
- 普通用户必须对此目录拥有r和x权限,才能进入此目录
- 普通用户在此目录中的有效组会变成此目录的属组
- 若普通用户对此目录拥有w权限时,新建的文件的默认属组是这个目录的属组
1.3.3.Sticky BIT
1)针对目录作用,
StickyBIT粘着位,也简称为SBIT。SBIT目前仅针对目录有效,它的作用如下:
- 粘着位目前只对目录有效
- 普通用户对该目录拥有w和x权限,即普通用户可以在此目录拥有写入权限
- 如果没有粘着位,因为普通用户拥有w权限,所以可以删除此目录下所有文件,包括其他用户建立的文件。一但赋予了粘着位,除了root可以删除所有文件,普通用户就算拥有w权限,也只能删除自己建立的文件,但是不能删除其他用户建立的文件。
1.3.4.设定文件特殊权限
设定特殊权限这样表示
4000代表SUID 4755 / u+s
2000代表SGID 2755 / g+s
1000代表SBIT 1755 / o+t
chmod 4755 ftest
#赋予suid权限
chmod 2755 ftest
#赋予sgid权限
chmod 1755 ftest
#赋予sbit权限
1.4.文件系统属性chattr权限
1.4.1.chattr命令格式
[root@localhost ~]# chattr [+-=][参数] 文件或目录名
+:增加权限
-:删除权限
=:等于某权限
参数:
i:(插入)
如果对文件设置i属性,那么不允许对文件进行删除、改名,也不能添加和修改数据;
如果对目录设置i属性,那么只能修改目录下文件的数据,但不允许建立和删除文件
a:(追加)
如果对文件设置a属性,那么只能在文件中增加数据,但是不能删除也不能修改数据;
如果对目录设置a属性,那么只允许在目录中建立和修改文件,但是不允许删除
#对于有a属性的文件无法用vi进行编辑,用如下命令
echo 1111 >> wh
e:
Linux中绝大多数的文件都默认拥有e属性。表示该文件是使用ext文件系统进行存储的,而且不能使用“chattr -e”命令取消e属性。
1.4.2.查看文件系统属性lsattr
[root@localhost ~]# lsattr 参数 文件名
参数:
-a 显示所有文件和目录
-d 查看目录chattr权限
[root@localhost ~]# lsattr 文件名 不加参数也能查看,不够具体
,那么只允许在目录中建立和修改文件,但是不允许删除
#对于有a属性的文件无法用vi进行编辑,用如下命令
echo 1111 >> wh
e:
Linux中绝大多数的文件都默认拥有e属性。表示该文件是使用ext文件系统进行存储的,而且不能使用“chattr -e”命令取消e属性。
### 1.4.2.查看文件系统属性lsattr
[root@localhost ~]# lsattr 参数 文件名
参数:
-a 显示所有文件和目录
-d 查看目录chattr权限
[root@localhost ~]# lsattr 文件名 不加参数也能查看,不够具体
扫一扫
1693
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
