首页 > 学院 > 操作系统 > 正文

8 权限管理

2024-06-28 16:03:24
字体:
来源:转载
供稿:网友

8.1 ACL权限

8.1.1 简介与开启

用于解决身份不够用的问题

ACL(access control list)  访问控制表 

ACL是存在于计算机中的一张表,它使操作系统明白每个用户对特定系统对象,例如文件目录或单个文件的存取权限。

这张表对于每个系统用户有拥有一个访问权限。

最一般的访问权限包括读文件(包括所有目录中的文件),写一个或多个文件和执行一个文件(如果它是一个可执行文件或者是程序的时候)。

 

ACL权限是对分区而言的。

查看分区ACL权限是否开启

1、查看分区情况  report file system disk space usage

df -h  

2、查看分区是否开启ACL权限

dumpe2fs -h /dev/sda3        dump ext2/ext3/ext4 filesystem information

#dumpe2fs命令是查询指定分区详细文件系统的命令

-h  仅显示超级块中信息,而不显示磁盘块组的详细信息

3、Default mount options:    user_xattr acl

分区默认开启ACL权限

 

临时开启分区ACL权限

mount -o remount,acl /

#重新挂载根分区,并挂载加入acl权限

 

永久开启分区ACL权限 分两步

1、vi /etc/fstab   #系统的开机自动挂载文件

UUID=ec77....af  /  ext4  defaults,acl  1  1  #加入acl。defaults默认开启acl权限。

2、mount -o remount /

#重新挂载文件系统或重启动系统,使修改生效

 

8.1.2 查看与设定ACL权限

getfacl 文件名

#查看acl权限    get file access control lists

 

setfacl 选项 文件名

-m 设定ACL权限modify

-x 删除指定的ACL权限remove

-b 删除所有的ACL权限remove all

-d 设定默认ACL权限default

-k 删除默认ACL权限remove default

-R 递归设定ACL权限recursive

 

实验步骤:

mkdir /PRoject

useradd user1

useradd user2

useradd st

groupadd tgroup

gpasswd -a user1 tgroup

gpasswd -a user2 tgroup

chown root:tgroup /project

chmod 770 /project

setfacl -m u:st:rx /project/

#给用户st赋予rx权限,使用“u:用户名:权限”格式

 

给用户组设定ACL权限

groupadd tgroup2

setfacl -m g:tgroup2:rwx /project/

#为组tgroup2分配ACL权限。使用“g:组名:权限”格式

 

8.1.3 最大有效权限与删除ACL权限

最大有效权限mask:

mask是用来指定最大有效权限的。

如果给用户赋予了ACL权限,是需要和mask的权限“相与”才能得到用户的真正权限

影响ACL权限和所属组的权限,所有者权限不受影响。

user::rwx

user:st:rwx #真正权限是r-x

group::rwx #真正权限是r-x

mask::r-x

 

setfacl -m m:rx /project/ #设定mask权限为rx。使用“m:权限”格式

 

 

删除ACL权限:

setfacl -x u:用户名 文件名

#删除指定用户的ACL权限

 

setfacl -x g:组名 文件名

#删除指定用户组的ACL权限

 

setfacl -b 文件名

#删除文件的所有ACl权限

 

8.1.4 默认与递归ACL权限 

递归ACL权限:

递归是父目录在设定ACL权限时,所有的子文件和子目录也会拥有相同的ACL权限

setfacl -m u:用户名:权限-R 目录名

 

默认ACL权限:

默认ACL权限的作用是

如果给父目录设定了默认ACL权限,那么父目录中所有新建的子文件都会继承父目录的ACL权限

setfacl -m d:u:用户名:权限 目录名

 

8.2 文件特殊权限

8.2.1 SetUID

SetUID     #普通用户在执行此程序时获得文件所有者身份

只有可执行的二进制程序才能设定SUID权限

命令执行者要对该程序拥有x(执行)权限

命令执行者在执行该程序时获得该程序文件属主的身份(在执行程序的过程中灵魂附体的文件的属主)

SetUID权限只在该程序执行过程中有效,也就是说身份改变只在程序执行过程中有效

 

passwd命令拥有SetUID权限,普通用户执行时,变成root,所以普通用户可以修改自己的密码

cat命令没有SetUID权限,所以普通用户不能查看/etc/shadow文件内容

 

设定SetUID的方法:

chmod 4755 文件名  #4代表SUID

chmod u+s

 

取消SetUID的方法:

chmod 755 文件名

chmod u-s 文件名

 

危险的SetUID

红色代表权限不合理的危险文件

不建议用户自己设定SUID权限

关键目录应严格控制写权限。比如“/”、“/usr”等

用户的密码设置要严格遵守密码三原则

应该对系统中默认应该具有SetUID权限的文件作一列表,用shell脚本定时检查有没有这之外的文件被设置了SetUID权限

 

8.2.2 SetGID

针对文件的作用:

只有可执行的二进制程序才能设置SGID权限

命令执行者要对该程序拥有x(执行)权限

命令执行在执行程序的时候,组身份升级为该程序文件的属组

SetGID权限同样只在该程序执行过程中有效,也就是说组身份改变只在程序执行过程中有效

 

例子

/usr/bin/locate

-rwx--s--x  root slocate ...

/var/lib/mlocate/mlocate.db

-rw-r-----  root slocate ...

 

/usr/bin/locate是可执行二进制程序,可以赋予SGID

执行用户lamp对/usr/bin/locate命令拥有执行权限

执行/usr/bin/locate命令时,组身份会升级为slocate组,而slocate组对/var/lib/mlocate/mlocate.db数据库拥有r权限,所以普通用户可以使用locate命令查询mlocate.db数据库

命令结束,lamp用户的组身份返回为lamp组

 

针对目录的作用:

普通用户必须对此目录拥有r和x权限,才能进入此目录

普通用户在此目录中的有效组会变成此目录的属组

若普通用户对此目录拥有w权限时,新建的文件的默认属组是这个目录的属组

 

设定SetGID

2代表SGID

chmod 2755 文件名

chmod g+s 文件名

 

取消SetGID

chmod 755 文件名

chmod g-s 文件名

 

8.2.3 Sticky BIT

SBIT粘着位作用:

粘着位目前只对目录有效

普通用户对该目录拥有w和x权限,即普通用户可以在此目录拥有写入权限

如果没有粘着位,因为普通用户拥有w权限,所以可以删除此目录下所有文件,包括其他用户建立的文件。

一旦赋予了粘着位,除了root可以删除所有文件,普通用户就算拥有w权限,也只能删除自己建立的文件,但是不能删除其他用户建立的文件。

 

例子

/tmp

drwxrwxrwt root root

 

设置粘着位:

chmod 1755 目录名

chmod o+t 目录名

 

取消粘着位:

chmod 777 目录名

chmod o-t 目录名

 

8.3 文件系统属性chattr权限

change file attributes on a linux file system

修改文件系统属性:

chattr +-= 选项 文件或目录名

+ 增加权限

- 删除权限

= 等于某权限

 

选项

i:(防止误操作)锁定命令

如果对文件设置i属性,那么不允许对文件进行删除、改名,也不能添加和修改数据,针对root生效

如果对目录设置i属性,那么只能修改目录下文件的数据,但不允许建立和删除文件

 

a:

如果对文件设置a属性,那么只能在文件中增加数据,但是不能删除也不能修改数据

如果对目录设置a属性,那么只允许在目录中建立和修改文件,但是不允许删除

 

 

查看文件系统属性:

lsattr 选项 文件名

-a 显示所有文件和目录

-d 若目标是目录,仅列出目录本身的属性,而不是子文件

 

8.4 系统命令sudo权限

sudo权限:

root把本来只能超级用户执行的命令赋予普通用户执行

sudo的操作对象是系统命令

 

sudo使用:

visudo  #实际修改的是/etc/sudoers文件,即命令vi /etc/sudoers

 

root ALL=(ALL) ALL

#用户名 被管理主机的地址=(可使用的身份) 授权命令(绝对路径)

#(ALL)可以省略

 

%wheel ALL=(ALL) ALL

#%wheel组名 被管理主机的地址=(可使用的身份) 授权命令(绝对路径)

 

例子:

赋予user1用户重启服务器权限

user1 ALL= /sbin/shutdown -r now

 

普通用户执行sudo赋予的命令

sudo -l      #查看可用的sudo命令

sudo /sbin/shutdown -r now       #普通用户执行sudo赋予的命令

 

 


发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表