8.1 ACL权限
8.1.1 简介与开启
用于解决身份不够用的问题
ACL(access control list) 访问控制表
ACL是存在于计算机中的一张表,它使操作系统明白每个用户对特定系统对象,例如文件目录或单个文件的存取权限。
这张表对于每个系统用户有拥有一个访问权限。
最一般的访问权限包括读文件(包括所有目录中的文件),写一个或多个文件和执行一个文件(如果它是一个可执行文件或者是程序的时候)。
ACL权限是对分区而言的。
查看分区ACL权限是否开启
1、查看分区情况 report file system disk space usage
df -h
2、查看分区是否开启ACL权限
dumpe2fs -h /dev/sda3 dump ext2/ext3/ext4 filesystem information
#dumpe2fs命令是查询指定分区详细文件系统的命令
-h 仅显示超级块中信息,而不显示磁盘块组的详细信息
3、Default mount options: user_xattr acl
分区默认开启ACL权限
临时开启分区ACL权限
mount -o remount,acl /
#重新挂载根分区,并挂载加入acl权限
永久开启分区ACL权限 分两步
1、vi /etc/fstab #系统的开机自动挂载文件
UUID=ec77....af / ext4 defaults,acl 1 1 #加入acl。defaults默认开启acl权限。
2、mount -o remount /
#重新挂载文件系统或重启动系统,使修改生效
8.1.2 查看与设定ACL权限
getfacl 文件名
#查看acl权限 get file access control lists
setfacl 选项 文件名
-m 设定ACL权限 modify
-x 删除指定的ACL权限 remove
-b 删除所有的ACL权限 remove all
-d 设定默认ACL权限 default
-k 删除默认ACL权限 remove default
-R 递归设定ACL权限 recursive
实验步骤:
mkdir /project
useradd user1
useradd user2
useradd st
groupadd tgroup
gpasswd -a user1 tgroup
gpasswd -a user2 tgroup
chown root:tgroup /project
chmod 770 /project
setfacl -m u:st:rx /project/
#给用户st赋予rx权限,使用“u:用户名:权限”格式
给用户组设定ACL权限
groupadd tgroup2
setfacl -m g:tgroup2:rwx /project/
#为组tgroup2分配ACL权限。使用“g:组名:权限”格式
8.1.3 最大有效权限与删除ACL权限
最大有效权限mask:
mask是用来指定最大有效权限的。
如果给用户赋予了ACL权限,是需要和mask的权限“相与”才能得到用户的真正权限
影响ACL权限和所属组的权限,所有者权限不受影响。
如
user::rwx
user:st:rwx #真正权限是r-x
group::rwx #真正权限是r-x
mask::r-x
setfacl -m m:rx /project/ #设定mask权限为rx。使用“m:权限”格式
删除ACL权限:
setfacl -x u:用户名 文件名
#删除指定用户的ACL权限
setfacl -x g:组名 文件名
#删除指定用户组的ACL权限
setfacl -b 文件名
#删除文件的所有ACl权限
8.1.4 默认与递归ACL权限
递归ACL权限:
递归是父目录在设定ACL权限时,所有的子文件和子目录也会拥有相同的ACL权限
setfacl -m u:用户名:权限 -R 目录名
默认ACL权限:
默认ACL权限的作用是
如果给父目录设定了默认ACL权限,那么父目录中所有新建的子文件都会继承父目录的ACL权限
setfacl -m d:u:用户名:权限 目录名
8.2 文件特殊权限
8.2.1 SetUID
SetUID #普通用户在执行此程序时获得文件所有者身份
只有可执行的二进制程序才能设定SUID权限
命令执行者要对该程序拥有x(执行)权限
命令执行者在执行该程序时获得该程序文件属主的身份(在执行程序的过程中灵魂附体的文件的属主)
SetUID权限只在该程序执行过程中有效,也就是说身份改变只在程序执行过程中有效
passwd命令拥有SetUID权限,普通用户执行时,变成root,所以普通用户可以修改自己的密码
cat命令没有SetUID权限,所以普通用户不能查看/etc/shadow文件内容
设定SetUID的方法:
chmod 4755 文件名 #4代表SUID
chmod u+s
取消SetUID的方法:
chmod 755 文件名
chmod u-s 文件名
危险的SetUID
红色代表权限不合理的危险文件
不建议用户自己设定SUID权限
关键目录应严格控制写权限。比如“/”、“/usr”等
用户的密码设置要严格遵守密码三原则
应该对系统中默认应该具有SetUID权限的文件作一列表,用shell脚本定时检查有没有这之外的文件被设置了SetUID权限
8.2.2 SetGID
针对文件的作用:
只有可执行的二进制程序才能设置SGID权限
命令执行者要对该程序拥有x(执行)权限
命令执行在执行程序的时候,组身份升级为该程序文件的属组
SetGID权限同样只在该程序执行过程中有效,也就是说组身份改变只在程序执行过程中有效
例子
/usr/bin/locate
-rwx--s--x root slocate ...
/var/lib/mlocate/mlocate.db
-rw-r----- root slocate ...
/usr/bin/locate是可执行二进制程序,可以赋予SGID
执行用户lamp对/usr/bin/locate命令拥有执行权限
执行/usr/bin/locate命令时,组身份会升级为slocate组,而slocate组对/var/lib/mlocate/mlocate.db数据库拥有r权限,所以普通用户可以使用locate命令查询mlocate.db数据库
命令结束,lamp用户的组身份返回为lamp组
针对目录的作用:
普通用户必须对此目录拥有r和x权限,才能进入此目录
普通用户在此目录中的有效组会变成此目录的属组
若普通用户对此目录拥有w权限时,新建的文件的默认属组是这个目录的属组
设定SetGID
2代表SGID
chmod 2755 文件名
chmod g+s 文件名
取消SetGID
chmod 755 文件名
chmod g-s 文件名
8.2.3 Sticky BIT
SBIT粘着位作用:
粘着位目前只对目录有效
普通用户对该目录拥有w和x权限,即普通用户可以在此目录拥有写入权限
如果没有粘着位,因为普通用户拥有w权限,所以可以删除此目录下所有文件,包括其他用户建立的文件。
一旦赋予了粘着位,除了root可以删除所有文件,普通用户就算拥有w权限,也只能删除自己建立的文件,但是不能删除其他用户建立的文件。
例子
/tmp
drwxrwxrwt root root
设置粘着位:
chmod 1755 目录名
chmod o+t 目录名
取消粘着位:
chmod 777 目录名
chmod o-t 目录名
8.3 文件系统属性chattr权限
change file attributes on a Linux file system
修改文件系统属性:
chattr +-= 选项 文件或目录名
+ 增加权限
- 删除权限
= 等于某权限
选项
i:(防止误操作)锁定命令
如果对文件设置i属性,那么不允许对文件进行删除、改名,也不能添加和修改数据,针对root生效
如果对目录设置i属性,那么只能修改目录下文件的数据,但不允许建立和删除文件
a:
如果对文件设置a属性,那么只能在文件中增加数据,但是不能删除也不能修改数据
如果对目录设置a属性,那么只允许在目录中建立和修改文件,但是不允许删除
查看文件系统属性:
lsattr 选项 文件名
-a 显示所有文件和目录
-d 若目标是目录,仅列出目录本身的属性,而不是子文件
8.4 系统命令sudo权限
sudo权限:
root把本来只能超级用户执行的命令赋予普通用户执行
sudo的操作对象是系统命令
sudo使用:
visudo #实际修改的是/etc/sudoers文件,即命令vi /etc/sudoers
root ALL=(ALL) ALL
#用户名 被管理主机的地址=(可使用的身份) 授权命令(绝对路径)
#(ALL)可以省略
%wheel ALL=(ALL) ALL
#%wheel组名 被管理主机的地址=(可使用的身份) 授权命令(绝对路径)
例子:
赋予user1用户重启服务器权限
user1 ALL= /sbin/shutdown -r now
普通用户执行sudo赋予的命令
sudo -l #查看可用的sudo命令
sudo /sbin/shutdown -r now #普通用户执行sudo赋予的命令
)
)
