权限管理

Posted on 2015-12-09 21:33  Y-HKL  阅读(170)  评论(0编辑  收藏  举报

1.ACL权限。2.文件特殊权限。3.文件系统属性chattr权限。4.系统命令sudo权限

1.ACL权限

1.1查看分区ACL权限是否开启

语法:dumpe2fs  -h /dev/sda3

dumpe2fs命令是查询指定分区详细文件系统信息的命令

选项:

  -h  仅显示超级块中信息,而不显示磁盘块组的详细信息

1.2临时开启分区ACL权限

例:mount -o remount,acl/

     重新挂载根分区,并加载ACL权限

1.3永久开启分区ACL权限

开启

mount -o remount /

重新挂载文件系统或重启系统,使修改生效

1.4查看ACL命令

语法:getfacle 文件名      //查看ACL权限

1.5设定ACL权限的命令

语法:setfacl 选项 文件名

选项:

  -m      设定ACL权限

  -x      删除指定的ACL的权限

  -b      删除所有的ACL权限

  -d      设定默认的ACL权限

  -k      删除默认的ACL权限

  -R      递归设定ACL权限

给用户设定ACL权限

给用户组设定ACL权限

1.6最大有效权限与删除

1.6.1最大有效权限mask

mask是用来指定最大有效权限的。如果给用户赋予了ACL权限,是需要和mask的权限“相与”才能得到用户的真正权限

1.6.2删除ACL权限

语法:setfacl -x u:用户名 文件名

删除指定用户的ACL权限

语法:setfacl -x g:组名 文件名

删除指定用户组的ACL权限

语法:setfacl -d 文件名

删除文件的所有的ACL权限

1.7默认与递归ACL权限

1.7.1递归ACL权限

语法:setfacl -m u:用户名 :权限 -R 文件名

1.7.2默认ACL权限

默认ACL权限的作用是如果给父目录设定了默认ACL权限,那么父目录中所有新建的子目录都会继承父目录的ACL权限

语法:setfacl -m d:u:用户名:权限  文件名

默认ACL权限只针对新建的子目录对老目录无用

2.文件特殊权限

2.1SetUID

2.1.1 SetUID的功能

*只有可以执行的二进制程序才能设定SUID权限

*命令执行者要对该程序拥有执行权限

*命令执行者在执行该过程时获得该程序文件属主的身份(在执行程序的过程中灵魂附体为文件的属主)

*SetUID权限只在该程序行过程中有效,也就是说身份改变只在程序执行过程中有效

2.1.2设定SetUID的方法

  4代表SUID

    chmod  4755 文件名

    chmod   u+s  文件名

2.1.3取消SetUID的方法

  chmod 755 文件名

  chomd  u-s 文件名

2.1.4危险的SetUID

*关键目录应严格控制写权限。比如“/”  “/usr”等

*用户的密码设置要严格遵守密码三规则

*对系统中默认应该具有SetUID权限的文件作一列表,定时检查有没有这之外的文件被设置了SetUID权限

2.2SerGID

2.2.1SetGID针对文件的作用

*只有可以执行的二进制程序才能设定SGID权限

*命令执行者要对该程序拥有执行权限

*命令执行在执行程序的时候组文件升级为该程序文件的属组

*SetUID权限只在该程序行过程中有效,也就是说身份改变只在程序执行过程中有效

2.2.2设定SetGID

2代表SGID

  chmod 2755 文件名

  chmod  g+s 文件名

2.2.3取消SetGID

  chmod 755 文件名

  chmod g-s 文件名

2.3 Sticky BIT

2.3.1SBIT粘着位作用

*粘着位目前只对目录有效

*普通用户对该目录拥有w和x权限,即普通用户可以在此目录拥有写权限

2.3.2设定SBIT

1代表SBIT

  chmod  1755 目录名

  chmod o+t 目录名

2.3.3取消SBIT

  chmod  755 目录名

  chmod  o-t   目录名

3.chattr权限(文件系统属性)

3.1chattr命令格式

语法:chattr [+-=] [选项] 文件或目录名

  +:增加权限

  -:删除权限

  =:等于某权限

选项:

  i:如果对文件设置i属性,那么不允许对文件进行删除、改名,也不能添加和修改数据;如果对目录设置i属性,那么只能修改目录下文件的数据,但是不允许建立和删除文件

  a:如果对文件设置a属性,那么只能在文件中增加数据,但是不能删除也不能修改数据;如果对目录设置a属性,那么只允许在目录中建立和修改文件,但是不允许删除

3.2查看文件系统属性

语法:lsattr 选项 文件名

选项:

  -a  显示所有文件和目录

      -d  若目标是目录,仅列出目录本身的属性,而不是子文件的

4.系统命令sudo权限

4.1 sudo权限

*root把本来只能超级用户执行的命令赋予普通用户执行

*sudo的操作对象是系统命令

4.2sudo使用

#visudo       //实际修改的是/etc/sudoers文件

root   ALL=(ALL)   ALL

//用户名   被管理主机的地址=(可使用的身份)    授权命令(绝对路径)