linux权限管理
一、ACL权限
1. ACL概述:
ACL是用于解决用户对文件身份不足的问题的
2. 开启ACL
1 | [root@localhost ~]# dumpe2fs -h /dev/sda3 |
如果没有开启,手工开启分区的ACL权限:
1 | [root@localhost ~]# mount -o remount,acl / |
也可以通过修改/etc/fstab文件,永久开启ACL权限:
1 | [root@localhost ~]# vi /etc/fstab |
ACL基本命令
getfacl 文件名查询文件的ACL权限
setfacl 选项文件名设定ACL权限
-m 设定ACL权限
-b 删除ACL权限
-x:用户删除单个用户的ACL权限
setfacl -m u:用户名:权限 文件名
setfacl -m g:组名:权限 文件名
setfacl -m u:aa:rwx /test 给test目录赋予aa是读写执行的ACL权限
setfacl -m u:cc:rx -R soft/ 赋予递归ACL权限,只能赋予目录
-R 递归
setfacl -m d:u:aa:rwx -R /test ACL默认权限。 注意:默认权限只能赋予目录
注意:如果给目录赋予acl权限,两条命令都要输入
递归与默认的区别:
setfacl -m u:cc:rx -R soft/ 只对已经存在的文件生效
setfacl -m d:u:aa:rwx -R /test 只对以后新建的文件生效
4. 最大有效权限mask
1 | [root@localhost /]# setfacl -m m:rx project/ |
5. 删除ACL权限
1 | [root@localhost /]# setfacl -x u:st /project/ |
二、sudo授权(给普通用户赋予部分管理员权限)
/sbin/ 在此目录下命令只有超级用户才能使用
/usr/sbin/
1. root身份:
visudo赋予普通用户权限命令,命令执行后和vi一样使用
1 | root ALL=(ALL) ALL |
- 用户名/组名:代表root给哪个用户或用户组赋予命令,注意组名前加“%”
- 用户可以用指定的命令管理指定IP地址的服务器。如果写ALL,代表可以管理任何主机,如果写固定IP,代表用户可以管理指定的服务器。(这里的IP指定的是用户可以管理哪个IP地址的服务器。那么如果你是一台独立的服务器,这里写ALL和你服务器的IP地址,作用是一样的。而写入网段,只有对NIS服务这样用户和密码集中管理的服务器才有意义)。如果我们这里写本机的IP地址,不代表只允许本机的用户使用指定命令,而代表指定的用户可以从任何IP地址来管理当前服务器。
- 可使用身份:就是把来源用户切换成什么身份使用,(ALL)代表可以切换成任意身份。这个字段可以省略
- 授权命令:代表root把什么命令授权给普通用户。默认是ALL,代表任何命令,这个当然不行。如果需要给那个命令授权,写入命令名即可,不过需要注意一定要命令写成绝对路径
2. 举例
1)
举个例子,比如授权用户user1可以重启服务器 ,则由root用户添加如下行:
1 | [root@localhost ~]# visudo |
2)
再举个例子,授权一个用户管理你的Web服务器,不用自己插手是不是很爽,以后修改设置更新网页什么都不用管,一定Happy死了,Look:
首先要分析授权用户管理Apache至少要实现哪些基本授权:
1、可以使用Apache管理脚本
2、可以修改Apache配置文件
3、可以更新网页内容
假设Aapche管理脚本 程序为/etc/rc.d/init.d/httpd 。为满足条件一,用visudo进行授权:
1 | [root@localhost ~]# visudo |
授权用户user1可以连接192.168.0.156上的Apache服务器 ,通过Apache管理脚本重新读取配置文件让更改的设置生效(reload)和可以检测Apache配置文件语法错误(configtest),但不允许其执行关闭(stop) 、重启(restart)等操作。 (“\”的意思是一行没有完成,下面的内容和上一行是同一行。)
为满足条件二,同样使用visudo授权:
1 | [root@localhost ~]# visudo |
授权用户user1可以用root身份使用vi编辑Apache配置文件。
以上两种sudo的设置,要特别注意,很多朋友使用sudo会犯两个错误:第一,授权命令没有细化到选项和参数;第二,认为只能授权管理员执行的命令。条件三则比较简单,假设网页存放目录为/var/www/html ,则只需要授权user1对此目录具有写权限或者索性更改目录所有者为user1即可。如果需要,还可以设置user1可以通过FTP等文件共享服务更新网页。
3)授权aa用户可以添加其他普通用户
aa ALL=/usr/sbin/useradd 赋予aa添加用户权限.命令必须写入绝对路径
aa ALL=/usr/bin/passwd 赋予改密码权限,取消对root的密码修改
aa ALL=/usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd “”, !/usr/bin/passwd root
aa身份
sudo /usr/sbin/useradd ee 普通用户使用sudo命令执行超级用户命令
三、文件特殊权限 SetUID、SetGID、Sticky BIT
1. SetUID
1)SetUID是什么
SetUID的功能可以这样理解:只有可以执行的二进制程序才能设定SUID权限命令执行者要对该程序拥有x(执行)权限命令执行者在执行该程序时获得该程序文件属主的身份(在执行程序的过程中灵魂附体为文件的属主)SetUID权限只在该程序执行过程中有效,也就是说身份改变只在程序执行过程中有效
2)举例
1 | [root@localhost ~]# ll /etc/passwd |
因为
1 | [root@localhost ~]# ll /usr/bin/passwd |
/usr/bin/passwd命令拥有特殊权限SetUID,也就是在属主的权限位的执行权限上是s。可以这样来理解它:当一个具有执行权限的文件设置SetUID权限后,用户执行这个文件时将以文件所有者的身份执行。/usr/bin/passwd命令具有SetUID权限,所有者为root(Linux中的命令默认所有者都是root),也就是说当普通用户使用passwd更改自己密码的时候,那一瞬间突然灵魂附体了,实际是在用passwd命令所有者root的身份在执行passwd命令,root当然可以将密码写入/etc/shadow文件(不要忘记root这个家伙是superman什么事都可以干),所以普通用户也可以修改/etc/shadow文件,命令执行完成后该身份也随之消失
如果取消SetUID权限,则普通用户就不能修改自己的密码了
3)危险的SetUID
1 | [root@localhost ~]# chmod u+s /usr/bin/vim |
4)有几点建议:
- 关键目录应严格控制写权限。比如“/”、“/usr”等;
- 用户的密码设置要严格遵守密码三原则;
- 对系统中默认应该具有SetUID权限的文件作一列表,定时检查有没有这之外的文件被设置了SetUID权限。
2. SetGID
1)针对文件的作用 SGID即可以针对文件生效,也可以针对目录生效,这和SUID明显不同。如果针对文件,SGID的含义如下:
- 只有可执行的二进制程序才能设置SGID权限
- 命令执行者要对该程序拥有x(执行)权限
- 命令执行在执行程序的时候,组身份升级为该程序文件的属组
- SetGID权限同样只在该程序执行过程中有效,也就是说组身份改变只在程序执行过程中有效
1 | [root@localhost ~]# ll /var/lib/mlocate/mlocate.db |
大家发现属主权限是r、w,属组权限是r,但是其他人权限是0:
1 | [root@localhost ~]# ll /usr/bin/locate |
当普通用户user1执行locate命令时,会发生如下事情:
- /usr/bin/locate是可执行二进制程序,可以赋予SGID
- 执行用户user1对/usr/bin/locate命令拥有执行权限
- 执行/usr/bin/locate命令时,组身份会升级为slocate组,而slocate组对/var/lib/mlocate/mlocate.db数据库拥有r权限,所以普通用户可以使用locate命令查询mlocate.db数据库
- 命令结束,user1用户的组身份返回为user1组
2)针对目录的作用如果SGID针对目录设置,含义如下:
- 普通用户必须对此目录拥有r和x权限,才能进入此目录
- 普通用户在此目录中的有效组会变成此目录的属组
- 若普通用户对此目录拥有w权限时,新建的文件的默认属组是这个目录的属组
这样写的实在太难看明白了,举个例子:
1 | [root@localhost ~]# cd /tmp/ |
3. 文件特殊权限之Sticky BIT
Sticky BIT粘着位,也简称为SBIT。SBIT目前仅针对目录有效,它的作用如下:
- 粘着位目前只对目录有效
- 普通用户对该目录拥有w和x权限,即普通用户可以在此目录拥有写入权限
- 如果没有粘着位,因为普通用户拥有w权限,所以可以删除此目录下所有文件,包括其他用户建立的文件。一但赋予了粘着位,除了root可以删除所有文件,普通用户就算拥有w权限,也只能删除自己建立的文件,但是不能删除其他用户建立的文件。
4、设定文件特殊权限特殊权限这样来表示:
- 4代表SUID
- 2代表SGID
- 1代表SBIT
1 | [root@localhost ~]# chmod 4755 ftest |
四、文件系统属性chattr权限
1. 命令格式
1 | [root@localhost ~]# chattr [+-=] [选项] 文件或目录名 |
2. 查看文件系统属性lsattr
1 | [root@localhost ~]# lsattr 选项 文件名 |
3. 举例
1 | 例1: |
1 | 例2: |