十三、权限管理
1、ACL权限开启
1)dumpe2fs -h /dev/sda3查看分区ACL权限是否开启
-h:仅显示超级块中信息,而不显示磁盘块组的详细信息
2)mount -o remount.acl / 重新挂载根分区,并挂载加入acl权限(临时开启分区acl权限)
3)在/etc/fstab文件中修改挂载目录的选项为defaults,或在其后加“,acl”。使永久开启acl
2、acl权限查看与设定
1)getfacle 文件名 查看acl命令
2)setfacl 选项 文件名 设定acl权限的命令
选项:
-m:设定acl权限 setfacl -m u:用户:权限 文件名 setfacl -m g:组:权限 文件名
-x:删除文件指定用户的acl权限 setfacl -x u(g):名:权限
-b:删除文件的所有的acl权限
-R:递归设置acl权限
3)mask 最大有效权限 setfacl -m m:权限 文件名
用户真实权限为最大有效权限&分配的权限(除所有者)
4)默认acl权限(如果给父目录设定了默认acl权限,那么父目录中所有未来新建的子文件都会继承父母来的acl权限)
setfacl -m d:u:用户:权限 文件名
5)递归acl权限(父目录在设定acl权限时,所有的子文件和子目录也会有相同的acl权限)
setfacl -m u:用户:权限 -R 文件
3、文件特殊权限
1)SetUID
i只有可执行的二进制程序才能设定SUID权限
ii命令执行者要对该程序拥有x权限(执行)
iii命令执行者在执行该程序时获得该程序文件所有者的身份
iv SetUID权限旨在该程序执行过程中有效
v 设定SetUID
chmod 4755 文件名 4代表SUID
chmod u+s 文件名
vi 取消SetUID
chmod 755 文件名
chmod u-s 文件名
vii 危险的SUID
关键目录应严格控制写权限。比如“/”、“/usr”等
用户的密码设置要严格遵守密码三原则
对系统中默认应该具有SetUID权限的文件作一列表,定时检查有没有这之外的文件被设置了SetUID权限
