8.1 ACL權限
8.1.1 簡介與開啟
用于解決身份不夠用的問題
ACL(access control list) 訪問控制表
ACL是存在于計算機中的一張表���,它使操作系統明白每個用戶對特定系統對象,例如文件目錄或單個文件的存取權限���。
這張表對于每個系統用戶有擁有一個訪問權限���。
最一般的訪問權限包括讀文件(包括所有目錄中的文件),寫一個或多個文件和執行一個文件(如果它是一個可執行文件或者是程序的時候)���。
ACL權限是對分區而言的。
查看分區ACL權限是否開啟
1���、查看分區情況 report file system disk space usage
df -h
2、查看分區是否開啟ACL權限
dumpe2fs -h /dev/sda3 dump ext2/ext3/ext4 filesystem information
#dumpe2fs命令是查詢指定分區詳細文件系統的命令
-h 僅顯示超級塊中信息���,而不顯示磁盤塊組的詳細信息
3、Default mount options: user_xattr acl
分區默認開啟ACL權限
臨時開啟分區ACL權限
mount -o remount,acl /
#重新掛載根分區���,并掛載加入acl權限
永久開啟分區ACL權限 分兩步
1���、vi /etc/fstab #系統的開機自動掛載文件
UUID=ec77....af / ext4 defaults,acl 1 1 #加入acl。defaults默認開啟acl權限���。
2、mount -o remount /
#重新掛載文件系統或重啟動系統���,使修改生效
8.1.2 查看與設定ACL權限
getfacl 文件名
#查看acl權限 get file access control lists
setfacl 選項 文件名
-m 設定ACL權限modify
-x 刪除指定的ACL權限remove
-b 刪除所有的ACL權限remove all
-d 設定默認ACL權限default
-k 刪除默認ACL權限remove default
-R 遞歸設定ACL權限recursive
實驗步驟:
mkdir /PRoject
useradd user1
useradd user2
useradd st
groupadd tgroup
gpasswd -a user1 tgroup
gpasswd -a user2 tgroup
chown root:tgroup /project
chmod 770 /project
setfacl -m u:st:rx /project/
#給用戶st賦予rx權限,使用“u:用戶名:權限”格式
給用戶組設定ACL權限
groupadd tgroup2
setfacl -m g:tgroup2:rwx /project/
#為組tgroup2分配ACL權限���。使用“g:組名:權限”格式
8.1.3 最大有效權限與刪除ACL權限
最大有效權限mask:
mask是用來指定最大有效權限的���。
如果給用戶賦予了ACL權限,是需要和mask的權限“相與”才能得到用戶的真正權限
影響ACL權限和所屬組的權限���,所有者權限不受影響���。
如
user::rwx
user:st:rwx #真正權限是r-x
group::rwx #真正權限是r-x
mask::r-x
setfacl -m m:rx /project/ #設定mask權限為rx。使用“m:權限”格式
刪除ACL權限:
setfacl -x u:用戶名 文件名
#刪除指定用戶的ACL權限
setfacl -x g:組名 文件名
#刪除指定用戶組的ACL權限
setfacl -b 文件名
#刪除文件的所有ACl權限
8.1.4 默認與遞歸ACL權限
遞歸ACL權限:
遞歸是父目錄在設定ACL權限時���,所有的子文件和子目錄也會擁有相同的ACL權限
setfacl -m u:用戶名:權限-R 目錄名
默認ACL權限:
默認ACL權限的作用是
如果給父目錄設定了默認ACL權限,那么父目錄中所有新建的子文件都會繼承父目錄的ACL權限
setfacl -m d:u:用戶名:權限 目錄名
8.2 文件特殊權限
8.2.1 SetUID
SetUID #普通用戶在執行此程序時獲得文件所有者身份
只有可執行的二進制程序才能設定SUID權限
命令執行者要對該程序擁有x(執行)權限
命令執行者在執行該程序時獲得該程序文件屬主的身份(在執行程序的過程中靈魂附體的文件的屬主)
SetUID權限只在該程序執行過程中有效���,也就是說身份改變只在程序執行過程中有效
passwd命令擁有SetUID權限���,普通用戶執行時,變成root���,所以普通用戶可以修改自己的密碼
cat命令沒有SetUID權限,所以普通用戶不能查看/etc/shadow文件內容
設定SetUID的方法:
chmod 4755 文件名 #4代表SUID
chmod u+s
取消SetUID的方法:
chmod 755 文件名
chmod u-s 文件名
危險的SetUID
紅色代表權限不合理的危險文件
不建議用戶自己設定SUID權限
關鍵目錄應嚴格控制寫權限���。比如“/”���、“/usr”等
用戶的密碼設置要嚴格遵守密碼三原則
應該對系統中默認應該具有SetUID權限的文件作一列表,用shell腳本定時檢查有沒有這之外的文件被設置了SetUID權限
8.2.2 SetGID
針對文件的作用:
只有可執行的二進制程序才能設置SGID權限
命令執行者要對該程序擁有x(執行)權限
命令執行在執行程序的時候���,組身份升級為該程序文件的屬組
SetGID權限同樣只在該程序執行過程中有效���,也就是說組身份改變只在程序執行過程中有效
例子
/usr/bin/locate
-rwx--s--x root slocate ...
/var/lib/mlocate/mlocate.db
-rw-r----- root slocate ...
/usr/bin/locate是可執行二進制程序���,可以賦予SGID
執行用戶lamp對/usr/bin/locate命令擁有執行權限
執行/usr/bin/locate命令時,組身份會升級為slocate組���,而slocate組對/var/lib/mlocate/mlocate.db數據庫擁有r權限���,所以普通用戶可以使用locate命令查詢mlocate.db數據庫
命令結束���,lamp用戶的組身份返回為lamp組
針對目錄的作用:
普通用戶必須對此目錄擁有r和x權限,才能進入此目錄
普通用戶在此目錄中的有效組會變成此目錄的屬組
若普通用戶對此目錄擁有w權限時���,新建的文件的默認屬組是這個目錄的屬組
設定SetGID
2代表SGID
chmod 2755 文件名
chmod g+s 文件名
取消SetGID
chmod 755 文件名
chmod g-s 文件名
8.2.3 Sticky BIT
SBIT粘著位作用:
粘著位目前只對目錄有效
普通用戶對該目錄擁有w和x權限���,即普通用戶可以在此目錄擁有寫入權限
如果沒有粘著位,因為普通用戶擁有w權限���,所以可以刪除此目錄下所有文件���,包括其他用戶建立的文件���。
一旦賦予了粘著位���,除了root可以刪除所有文件,普通用戶就算擁有w權限���,也只能刪除自己建立的文件,但是不能刪除其他用戶建立的文件���。
例子
/tmp
drwxrwxrwt root root
設置粘著位:
chmod 1755 目錄名
chmod o+t 目錄名
取消粘著位:
chmod 777 目錄名
chmod o-t 目錄名
8.3 文件系統屬性chattr權限
change file attributes on a linux file system
修改文件系統屬性:
chattr +-= 選項 文件或目錄名
+ 增加權限
- 刪除權限
= 等于某權限
選項
i:(防止誤操作)鎖定命令
如果對文件設置i屬性���,那么不允許對文件進行刪除、改名���,也不能添加和修改數據���,針對root生效
如果對目錄設置i屬性���,那么只能修改目錄下文件的數據���,但不允許建立和刪除文件
a:
如果對文件設置a屬性���,那么只能在文件中增加數據���,但是不能刪除也不能修改數據
如果對目錄設置a屬性,那么只允許在目錄中建立和修改文件���,但是不允許刪除
查看文件系統屬性:
lsattr 選項 文件名
-a 顯示所有文件和目錄
-d 若目標是目錄,僅列出目錄本身的屬性���,而不是子文件
8.4 系統命令sudo權限
sudo權限:
root把本來只能超級用戶執行的命令賦予普通用戶執行
sudo的操作對象是系統命令
sudo使用:
visudo #實際修改的是/etc/sudoers文件���,即命令vi /etc/sudoers
root ALL=(ALL) ALL
#用戶名 被管理主機的地址=(可使用的身份) 授權命令(絕對路徑)
#(ALL)可以省略
%wheel ALL=(ALL) ALL
#%wheel組名 被管理主機的地址=(可使用的身份) 授權命令(絕對路徑)
例子:
賦予user1用戶重啟服務器權限
user1 ALL= /sbin/shutdown -r now
普通用戶執行sudo賦予的命令
sudo -l #查看可用的sudo命令
sudo /sbin/shutdown -r now #普通用戶執行sudo賦予的命令
