Linux学习 day07之高级权限

最新推荐文章于 2023-03-02 20:02:55 发布
最新推荐文章于 2023-03-02 20:02:55 发布
阅读量134 收藏
点赞数
分类专栏: Linux 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuzeipero/article/details/110194526
版权

这里写高级权限

一 文件权限管理四:ACL

简介

用命令setfacl设置的ACL(Access Control List) 权限是UGO权限的扩展,ACL可以针对单一用户、单一文件或目录来进行r,w,x的权限控制,对于需要特殊权限的使用状况有一定帮助。

ps:UGO中的O即其他人,涵盖了非常大的范围,我们使用setfacl可以将用户对文件的权限进行进一步细化,

基本操作

文件一旦设置了acl权限后,查看信息会出现一个加号,以后包括UGO在内的权限都可以用setfacl来设置

修改属主的权限
setfacl -m u::权限 a.txt

修改属组的权限
setfacl -m g::权限 a.txt

修改其他人的权限
setfacl -m o::权限 a.txt

修改具体某一个用户的权限
setfacl -m u:用户名:权限 a.txt

修改具体某一个组的权限
setfacl -m g:组名:权限 a.txt # 组必须存在

  • 也可以给目录设置,都一样

查看与删除

# 查看
getfacl /opt/a.txt

# 删除
setfacl -x g:group1 /opt/a.txt # 删除组hr的权限
setfacl -b /opt/a.txt #删除所有acl权限

应用

应用:当前用户如果检索不到对应的acl权限或者检索到后发现权限为空,都会对应到other权限上

应用场景1: 其他人对文件没有任何权限,然后单独设置其他人里的egon01对文件有r权限、egon02对文件有w权限

setfacl -b b.txt # 可以先清理掉所有的acl权限,保证实验环境干净
setfacl -m o::- b.txt
setfacl -m u:egon01:r b.txt
setfacl -m u:egon02:w b.txt
# egon01 对 b.txt的权限为r
# egon02 对 b.txt的权限为w
# 剩余的其他人中:
# 例如egon03 对 b.txt的权限为-

应用场景2:其他人对文件有rw权限,然后单独设置其他人里的egon01对文件有r权限、egon02对文件有w权限

setfacl -b b.txt # 可以先清理掉所有的acl权限,保证实验环境干净
setfacl -m o::rw b.txt
setfacl -m u:egon01:r b.txt
setfacl -m u:egon02:w b.txt
# egon01 对 b.txt的权限为r
# egon02 对 b.txt的权限为w
# 剩余的其他人中:
# 例如egon03 对 b.txt的权限为rw

应用示例

[root @ web01 ~] # pwd
/ root

[root @ web01 ~] # echo 1111 > b.txt
[root @ web01 ~] # getfacl b.txt
# file: b.txt
# owner: root
# group: root
user::rw -
group::r - -
other::r - -

[root @ web01 ~] # setfacl -m o::- b.txt
[root @ web01 ~] # setfacl -m u:egon01:r b.txt
[root @ web01 ~] # setfacl -m u:egon02:w b.txt
[root @ web01 ~] # getfacl b.txt
# file: b.txt
# owner: root
# group: root
user::rw -
user: egon01:r - -
user: egon02:-w -
group::r - -
mask::rw -
other::---

[root @ web01 ~] # su - egon01 -c "cat /root/b.txt"
1111

[root @ web01 ~] # su - egon01 -c "echo 222 >> /root/b.txt"
-bash: / root / b.txt: 权限不够

[root @ web01 ~] # su - egon02 -c "cat /root/b.txt"
cat: / root / b.txt: 权限不够

[root @ web01 ~] # su - egon02 -c "echo 222 >> /root/b.txt"

ACL高级用法

mask

设置mask命令如下。
setfacl -m m:rw /opt/a.txt**
设置完mask后,除了所有者和other不受影响,其他都会受到mask的影响,mask决定了他们的最高
权限)
mask值就像一个筛子,文件属主和other之外的所有权限都需要被它筛一遍,如果mask值为rw-则代表
该筛子只放行rw权限。本质原理是权限A需要与maskB进行按位与运算,得到的结果才是effective
效权限
在这里插入图片描述
建议:为了方便管理文件权限,其他人的权限置为空:chmod o=- /opt/a.txt

  1. 保证其他人对/opt/a.txt没有权限,然后展开实验
[root@egon ~]# echo 111 > /opt/a.txt
[root@egon ~]# setfacl -m o::- /opt/a.txt
[root@egon ~]# getfacl /opt/a.txt
getfacl: Removing leading '/' from absolute path names
# file: opt/a.txt
# owner: root
# group: root
user::rwgroup::r--
other::---
  1. 添加acl权限
[root@egon opt]# setfacl -m u:egon:rw /opt/a.txt # 其他人egon对a.txt有rw权限
[root@egon opt]# setfacl -m u:lili:r /opt/a.txt # 其他人lili对a.txt有r权限
[root@egon opt]# getfacl /opt/a.txt # 可以看到mask默认值为rwgetfacl: Removing leading '/' from absolute path names
# file: opt/a.txt
# owner: root
# group: root
user::rwuser:lili:r--
user:egon:rwgroup::r--
mask::rwother::---

[root@egon opt]# ll /opt/a.txt
-rw-rw----+ 1 root root 4 10月 29 19:33 /opt/a.txt
  1. 按位与运算
    lili权限:r--
    mask权限:rwlili最终权限: r--
[root@egon opt]# su - lili -c "cat /opt/a.txt"
111
222

[root@egon opt]# su - lili -c "echo 666 >> /opt/a.txt"
-bash: /opt/a.txt: 权限不够

egon权限:rwmask权限:rw最终权限: rw-

[root@egon opt]# su - egon -c "cat /opt/a.txt"
111

[root@egon opt]# su - egon -c "echo 222 >> /opt/a.txt"
  1. 设置mask
[root@egon opt]# setfacl -m m:- /opt/a.txt
[root@egon opt]# getfacl /opt/a.txt
getfacl: Removing leading '/' from absolute path names
# file: opt/a.txt
# owner: root
# group: root
user::rwuser:lili:r-- #effective:---
user:egon:rw- #effective:---
group::r-- #effective:---
mask::---
other::---

[root@egon opt]# su - egon -c "cat /opt/a.txt"
cat: /opt/a.txt: 权限不够

[root@egon opt]# su - lili -c "cat /opt/a.txt"
cat: /opt/a.txt: 权限不够

ps:我们一般不更改 mask 权限,只要赋予 mask最大权限(也就是rwx),则给用户或群组设定的ACL权限本身就是有效的。

default: 继承(默认)

要求: 希望egon能够对/home以及以后在/home下新建的文件有读、写、执行权限
思路:

  1. 步骤一: 赋予egon/home读、写、执行权限
[root@localhost ~]# setfacl -m u :egon: rwx /home
  1. 步骤二: 赋予egon对以后在/home下新建的文件有读、写、执行权限 (使egon的权限继承),注意:是作用到子目录,对当前文件没有相应权限
[root@localhost ~]# setfacl -m d:u :egon: rwx /home
[root@egon opt]# mkdir /test
[root@egon opt]# setfacl -m u:egon:rwx /test
[root@egon opt]# setfacl -m d:u:egon:rwx /test
[root@egon opt]# getfacl /test
getfacl: Removing leading '/' from absolute path names
# file: test
# owner: root
# group: root
user::rwx
user:egon:rwx
group::r-x
mask::rwx
other::r-x
default:user::rwx
default:user:egon:rwx
default:group::r-x
default:mask::rwx
default:other::r-x

[root@egon opt]# mkdir /test/aaa
[root@egon opt]# touch /test/b.txt
[root@egon opt]# getfacl /test/aaa/
getfacl: Removing leading '/' from absolute path names
# file: test/aaa/
# owner: root
# group: root
user::rwx
user:egon:rwx
group::r-x
mask::rwx
other::r-x
default:user::rwx
default:user:egon:rwx
default:group::r-x
default:mask::rwx
default:other::r-x

[root@egon opt]# getfacl /test/b.txt
getfacl: Removing leading '/' from absolute path names
# file: test/b.txt
# owner: root
# group: root
user::rwuser:egon:rwx #effective:rw- # 权限已经继承过来了,但是因为mask的影响,变成
了rwgroup::r-x #effective:r--
mask::rwother::r--

二 文件权限管理五:文件属性(权限)

[root@localhost ~]# touch /opt/{1..3}.txt
[root@localhost ~]# chmod 000 /opt/*
[root@localhost ~]# lsattr /opt/
---------------- /opt/1.txt
---------------- /opt/2.txt
---------------- /opt/3.txt

[root@localhost ~]# chattr +a /opt/1.txt # 允许追加内容
[root@localhost ~]# chattr +i /opt/2.txt # 禁止任何修改,有些病毒程序会对文件加上该权限
[root@localhost ~]# chattr +A /opt/3.txt # 不更改文件访问时间
[root@localhost ~]#
[root@localhost ~]# lsattr /opt/
-----a---------- /opt/1.txt
----i----------- /opt/2.txt
-------A-------- /opt/3.txt


# 验证
[root@localhost ~]# echo 111 >> /opt/1.txt
[root@localhost ~]# cat /opt/1.txt
111
[root@localhost ~]# rm -rf /opt/1.txt
rm: 无法删除"/opt/1.txt": 不允许的操作


# 去掉
[root@localhost ~]# chattr -a /opt/1.txt
[root@localhost ~]# chattr -i /opt/2.txt
[root@localhost ~]# chattr -A /opt/3.txt

实验

[root@localhost ~]# echo 123131231 > e.txt
[root@localhost ~]# chattr +A e.txt
[root@localhost ~]# stat e.txt
文件:"e.txt"
大小:10 块:8 IO 块:4096 普通文件
设备:803h/2051d Inode:17154806 硬链接:1
权限:(0644/-rw-r--r--) Uid:( 0/ root) Gid:( 0/ root)
最近访问:2020-08-11 19:15:15.548257742 +0800
最近更改:2020-08-11 19:15:15.548257742 +0800
最近改动:2020-08-11 19:15:22.494283808 +0800
创建时间:-

[root@localhost ~]# cat e.txt
123131231

[root@localhost ~]# stat e.txt
文件:"e.txt"
大小:10 块:8 IO 块:4096 普通文件
设备:803h/2051d Inode:17154806 硬链接:1
权限:(0644/-rw-r--r--) Uid:( 0/ root) Gid:( 0/ root)
最近访问:2020-08-11 19:15:15.548257742 +0800
最近更改:2020-08-11 19:15:15.548257742 +0800
最近改动:2020-08-11 19:15:22.494283808 +0800
创建时间:-
跃上青空
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
权限管理之高级权限 ACL
Shawn派大星
12-12 522
引入 前一篇所说的基础权限 u, g, o 以及特殊权限都是针对一类用户设置的 但如果咱们想要自定义用户分配,也就是更精细化的控制权限分配 比如 :让某一个用户对某个文件具有某种权限 这时咱们就可以使用到文件的访问控制列表 ACL(Access Control List) ⛅"u g o"只能设置一个用户, 一个组或者other ⛅"ACL" 可以对 "r w x" 进行用户设置(允许谁和不允许谁) ⛅"ACL"只能是 "root" 来设置 ⛅相关命令: getfacl(查看), se
Linux基础学习Day5之环境变量与文件查找
weixin_52603463的博客
07-13 389
Linux基础学习之环境变量与文件查找 代码雨
9-高级权限
Forgetfanhua的博客
04-01 170
高级权限 suid,sgid,sticky suid 针对二进制文件(可执行文件) 提权 让普通用户对文件有超级用户的权限 sgid sticky 问题1: 为什么会失败! [root@fanhua ~]# ll /root/file1.txt -rw-r--r-- 1 root root 4 7月 27 14:14 /root/file1.txt [alice@fanhua ~]$ cat...
第六讲-高级权限
lendq的Blog
05-13 245
一. UMASK 反掩码 本质上是 为了指派 默认权限 查看 > umask root 用户反掩码 0022 普通用户反掩码 0002 作用 推导用户创建FILE的权限 目录缺省权限 = 777 - UMASK 文件缺省权限 = 777 - UMASK -> 根据的是 有x则减 无x则不变 修改用户 反掩码 umask 权限值 目录创建 直接减就可以了 文件创建 根据的是 有x则减 无x则不变 二. SUID (super uid) 权限弥补 三. SGID 权限
高级权限 以及 进程管理
qq_44089897的博客
07-26 240
chmod -R xx 递归权限设置 chmod 777 * suid chmod u+s /usr/bin/cat 针对文件(命令) which rm /usr/bin/rm 使普通用户能够使用 sgid chmod g+s /home/hr 针对目录 添加完高级权限后,新建的文件会继承目录的属组 sticky 添加完高级权限以后,用户只能够删除自己创建的文件 lisa lisa1 给rm命令给权 要求 lisa用户能删除/root/dir2/1.txt lisa用户只能删除自己创建的文件(如果
十七、高级权限setfacl、su与sudo
作者的博客园已搬家到CSDN,访问博客园主页将默认跳转至CSDN
10-30 568
今日内容: 1、高级权限 setfacl 2、sudo su sudo 一、高级权限setfacl 概念:可以更精确的控制权限的分配 PS:chmod命令可以把权限分为u,g,o三个组,而setfacl可以对每一个文件、目录设置更精确的文件权限,可针对单一用户、单一文件、单一目录来进行r,w,x的权限控制,对需要特殊权限的使用状况有一定帮助。 [root@peng ~]# getfacl 1.txt #查看用户、组、其他人对文件的权限 # file: 1.txt # owner:.
Linux课程Day2
02-17
在“Linux课程Day2”中,我们将会深入探讨Linux操作系统的核心概念和常用命令,这是学习Linux系统管理和自动化工作流程的基础。Linux是一种免费且开源的操作系统,它的灵活性和稳定性使其成为服务器、开发环境以及...
五:Day01-Linux虚拟机
最新发布
10-08
7. **权限管理**:Linux采用用户和组的概念,通过`chmod`改变文件权限,`chown`和`chgrp`更改文件所有者和组,理解`rwx`(读、写、执行)权限对系统安全至关重要。 8. **包管理器**:Linux发行版通常配备包管理器,...
web安全day27:linux下调整文件及目录权限
小梁的博客
01-01 1451
目录 查看权限 查看文件权限 查看目录权限 对象赋权 普通赋权法 8进制赋权法 粘滞位 sgid位 suid位 改变所属 调整属性 限制文件修改 谈权限的时候,我们其实是在谈一个文件或者一个目录属于谁,能被哪些人进行什么样的操作。把握住这个理解,可以快速理解权限的概念。 查看权限 查看文件权限 ls -l test.txt ll test.txt 查看目录权限 ls -ld testdir/ 我们可以通过下图来理解这些字段的含义。 对象赋权
Linux操作系统学习
Echo_165的博客
03-15 7178
一、操作系统 1、什么是操作系统(OS)? 用来管理计算机硬件与软件资源的计算机程序,是计算机的核心和基石。 是连接用户和计算机的媒介 是所有硬件设备组装后的第一层软件,能够让用户使用硬件设备的软件。 2、常见的操作系统 桌面操作系统:Windows、macOS、Linux 移动端操作系统:iOS、Android 服务器操作系统:Linux、Windows server 嵌入式操作系统:Android(底层是Linux) 二、Linux系统的介绍 与服务器设备进行交互 1、Linux操作
linux 高级权限,linux权限高级权限、特殊权限讲解
weixin_35503004的博客
04-30 353
查出以下目录的权限,不能修改权限,否则出问题/ rwxr-xr-x 755/etc rwxr-xr-x 755/var rwxr-xr-x 755/var/ftp rwxr-xr-x 755/etc/shadow r-------- 400/etc...
linux常用命令之高级权限
qq_45429357的博客
03-02 376
三个高级权限的案例
Linux高级权限管理
andrewllll的博客
11-02 336
高级权限acl 修改属主的权限 setfacl -m u::权限 a.txt 修改属组的权限 setfacl -m g::权限 a.txt 修改其他人的权限 setfacl -m o::权限 a,txt 修改具体某一个用户的权限 setfacl -m u::用户名:权限a.txt 修改具体某一个组的权限 setfacl -m g:组名:权限 a.txt 继承: setfacl -m d:u:egon01:rw a.txt 应用场景: 1、其他人对文件没有任何权限,然后单独设.
Linux学习之路-高级权限11
CUTTUP的博客
08-16 281
Linux学习之路高级权限 注: 文章仅为作者学习笔记,不足之处请多指教 一、高级权限 (一)高级权限有哪些 1、冒险位(SETUID) 冒险位,指文件操作者(用户)临时拥有文件拥有者的权限 冒险位,一般针对的是命令或者脚本文件 冒险位,用字母表示是s或S;数字表示是4 冒险位的设置: chmod u+s 文件名 或者 chmod 4xxx 文件名 2、强制位(SETGID) 强制位,一般针对的是目录 如果一个目录拥有强制位,那么任何用户在该目录里所创建的任何文件的属组都会继承该目录的属组。/dir1
20181126文件权限管理之:高级权限suid
weixin_33858336的博客
11-26 188
文件权限管理之:高级权限suid [root@dong ~]# touch /root/file1.txt[root@dong ~]# ll /root/file1.txt-rw-r--r--. 1 root root 0 11月 9 09:02 /root/file1.txt [dong1@dong ~]$ cat /root/file1.txtcat: /root/file1.txt: 权限...
Linux系统之文件权限管理
RAB
08-25 965
Linux系统之文件权限管理。
setfacl命令的基本用法
热门推荐
jin's blog
01-15 9万+
1、setfacl的用途 setfacl命令可以用来细分linux下的文件权限。 chmod命令可以把文件权限分为u,g,o三个组,而setfacl可以对每一个文件或目录设置更精确的文件权限。 换句话说,setfacl可以更精确的控制权限的分配。 比如:让某一个用户对某一个文件具有某种权限。 这种独立于传统的u,g,o的rwx权限之外的具体权限设置叫ACL(Access Control
linux权限(特殊权限/高级权限
n_u_l_l_的博客
10-17 661
      举个栗子:在linux中同个系统可以有多个用户,用户的创建就是在passwd文件、shadow文件、group文件、gshadow文件中添加记录,修改密码时,root用户可以修改所有的,普通用户也可以修改自己的密码,但是这些都是对shadow文件的修改,换句话说普通用户在文件中可以修改root密码造成系统的不安全。 linux中通过特殊权限来处理...
Android 7.0上app所需高级权限的解除限制的方法
maetelibom的博客
10-26 1万+
---- by Shengwen.Wei 一、    概述         随着移动互联网的发展,用户对于自身的信息安全越来越重视,基于此,android系统对于用户自身的信息安全特别是android M(6.0)以后,对于权限的管理尤为严格。 二、    高级权限的使用限制及解限         目前,android系统按照安全级别大致将权限分两种:一般权限、危险权限。 对于一般权限
Linux文件权限与uniq命令详解
此外,文件权限和安全在Linux中至关重要。文件和目录都有权限位,用于控制不同用户对它们的访问。权限分为读(r)、写(w)和执行(x)三种,分别对应于文件的属主、同组用户和其他用户的访问权限。例如,`ls -l`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值