第八讲 权限管理

第八讲 权限管理

一、ACL权限-简介与开启

　　1.1 简介与开启

　　　　1.1.1 ACL权限简介

　　　　　　为了解决所有者，所属组，其他人三个权限不足的情况

　　　　1.1.2查看分区ACL权限是否开启

　　　　　　dumpe2fs -h /dev/sd3 #dumpe2fs 命令是查询指定分区详细文件系统信息的命令

　　　　　　选项：

　　　　　　　　-h 仅显示超级块中信息，而不显示磁盘块组的详细信息

　　　　　　注意：在centos6时使用dumpe2fs而在centos7之后使用的都是xfs_growfs

　　　　　　默认都开启

　　　　1.1.3 临时开启分区ACL权限

　　　　　　mount -o remount,acl /    #重新挂载根分区，并挂载加入acl权限

　　　　1.1.4 永久开启分区ACL权限

　　　　　　vi /etc/fstab #fstab是系统开机自动挂载的文件

　　　　　　UUID=d898ba2b-12ec-4b3d-aa3b-d9e0a8aa9555 /boot xfs defaults,acl 0 0 #加入acl

　　　　　　mount -o remount / #重新挂载文件系统或重启系统，使修改生效

　　1.2 查看与设定

　　　　1.2.1 查看ACL权限命令

　　　　　　getfacl 文件名 #查看acl权限

　　　　1.2.2 设定ACL权限命令

　　　　　　setfacl [选项] 文件名

　　　　　　选项：

　　　　　　　　-m　　设定ACL权限

　　　　　　　　-x　　 删除ACL权限

　　　　　　　　-b　　 删除所有的ACL权限

　　　　　　　　-d　　 设定默认ACL权限

　　　　　　　　-k　　 删除默认ACL权限

　　　　　　　　-R　　 递归设定ACL权限

　　　　1.2.3 给用户设定目录的ACL权限

　　　　　　范例：

　　　　　　　　mkdir /project

　　　　　　　　groupadd tgroup

　　　　　　　　useradd zhangsan

　　　　　　　　gpasswd -a zhangsan tgroup

　　　　　　　　useradd lisi

　　　　　　　　gpasswd -a lisi tgroup

　　　　　　　　useradd st

 

　　　　　　　　chown root:tgroup /project/

　　　　　　　　chmod 770 /project/

　　　　　　　　setfacl -m u:st:rx /project

　　　　　　　　#给用户st赋予r-x权限，使用"u:用户名:权限名"

　　　　1.2.4 给用户组设定目录的ACL权限

　　　　　　groupadd tgroup2

　　　　　　setfacl -m g:tgroup2:rwx project/

　　　　　　#为组tgroup2分配ACL权限，使用"g:组名:权限"格式

　　1.3 最大有效权限与删除ACL权限

　　　　1.3.1 最大有效权限mask

　　　　　　mask是用来指定最大有效权限的。如果我们给用户赋予了ACL权限，是需要和mask权限"相与"

　　　　　   才能得到用户的真正权限。

　　　　　　理解：设定的权限与mask都有某一权限，则代表有此权限。都为真，则为真，有一假，则为假。

　　　　1.3.2 修改最大有效权限

　　　　　　setfacl -m m:rx 文件名

　　　　　　#设定mask权限为r-x。使用"m:权限"格式

　　　　1.3.3 删除ACL权限

　　　　　　setfacl -x u:用户名 文件名

　　　　　　#删除指定用户的ACL权限

　　　　　　setfacl -x g:组名 文件名

　　　　　　#删除指定用户组的ACL权限

　　　　　　setfacl -b 文件名

　　　　　　#删除所有的ACL权限

　　1.4 默认ACL权限和递归ACL权限(只针对目录)

　　　　1.4.1 递归ACL权限

　　　　　　递归是父级目录在设定ACL权限时，所有的子文件和子目录也会拥有相同的ACL权限

　　　　　　setfacl -m u:用户名:权限 -R 文件名

　　　　　　注意：只针对现有文件操作，新建的文件不会有此ACL权限

　　　　1.4.2 默认ACL权限

　　　　　　默认ACL权限的作用是如果父目录设定了默认ACL权限，那么父目录中所有新建的子文

　　　　　　都会继承父目录的ACL权限

　　　　　　setfacl -m d:u:用户名:权限 文件名　　

　　　　　　注意：此法只针对新建文件的ACL权限，现有文件不会更改器ACL权限

二、文件特殊权限

　　2.1 SetUID 

　　　　2.1.1 SetUID的功能

　　　　　　只有可以执行的二进制程序才能设定SUID权限

　　　　　　命令执行者要对该程序拥有x(执行)权限

　　　　　　命令执行者在执行该程序时获得该程序文件属主(所有者)的身份

　　　　　  （在执行程序的过程中灵魂附体为文件的属主）

　　　　　　SetUID权限只能在该程序执行过程中有效，也就是说身份改变只在程序执行过程中有效

　　　　　　passwd命令拥有SID权限，所以普通用户可以修改自己的密码

　　　　　　例如：ll /usr/bin/passwd

　　　　　　#-rwsr-xr-x. 1 root root 27856 Mar 31 2020 /usr/bin/passwd

　　　　　　cat没有SetUID权限，所以普通用户不能查看/etc/shadow文件内容

　　　　　　例如：ll /bin/cat

　　　　　　#-rwxr-xr-x. 1 root root 54080 Aug 20 2019 /bin/cat

　　　　2.1.2 设定SetUID的方法

　　　　　　4代表SUID

　　　　　　chmod 4755 文件名

　　　　　　tips:如果文件的权限为644，即所有者也没有执行权限，再添加SUID时，会出现

　　　　　　　　-rwSr--r--. 1 root root 0 Apr 23 10:29 abc

　　　　　　　　字母大写，代表此权限出错。因为SUID添加的文件必须要有执行权限"x"

　　　　　　chmod u+s 文件名

　　　　2.1.3 取消SetUID的方法

　　　　　　chmod 755 文件名

　　　　　　chmod u-s 文件名

　　　　2.1.4 危险的SetUID

　　　　　　关键目录应严格控制写权限。比如"/"、"/usr"等

　　　　　　用户的密码设置要严格遵守密码三原则

　　　　　　对系统中默认应具有SetUID权限的文件作一列表

　　　　　   定时检查有没有这之外的文件被设置了SetUID权限。

　　2.2 SetGID

　　　　2.2.1 SetGID 针对文件的作用

　　　　　　只有可执行的二进制程序才能设置SGID权限

　　　　　　命令执行者要对该程序拥有x(执行)权限

　　　　　　命令执行在执行程序的时候，组身份升级为改程序文件的所属组

　　　　　　SetGID权限同样只在该程序执行过程中有效

　　　　　  也就是说组身份改变只在程序执行过程中有效

　　　　　　范例：

　　　　　　　　ll /usr/bin/locate

　　　　　　　　# -rwx--s--x. 1 root slocate 40520 Apr 10 2018 /usr/bin/locate

　　　　　　　　ll /var/lib/mlocate/mlocate.db

　　　　　　　　# -rw-r-----. 1 root slocate 1355854 Apr 23 03:06 /var/lib/mlocate/mlocate.db

 

　　　　　　理解：locate查找文件时，是从mlocate.db数据库中查找，但是我们可以看到，

　　　　　　　　   普通用户时没有权限读取这个文件的但是因为locate命令具有SGID权限，

　　　　　　　　   所以，普通用户在执行locate命令时，其所属组变为了slocate组，而slocate组

　　　　　　　　  正好是mlocate.db文件的所属组，具有读的权限，因此，普通用户也可以使用locate命令查找文件。

　　　　2.2.2 SetGID 针对目录的作用

　　　　　　普通用户必须对此目录拥有r和x权限，才能进入此目录

　　　　　　普通用户在此目录中的有效组会变成此目录的所属组

　　　　　　若普通用户对此目录拥有w权限时，新建的文件默认所属组是这个目录的所属组

　　　　2.2.3 设定SetGID

　　　　　　2代表SGID

　　　　　　　　chmod 2755 文件名

　　　　　　　　chmod g+s 文件名

　　　　　　范例：

　　　　　　　　cd /tmp/

　　　　　　　　mkdir dtest

　　　　　　　　chmod g+s dtest

　　　　　　　　ll -d dtest/

　　　　　　　　chmod 777 dtest/

　　　　　　　　su - tuser

　　　　　　　　cd /tmp/dtest/

　　　　　　　　touch tfiile

　　　　　　　　ll

　　　　2.2.4 取消SetGID

　　　　　chmod 755 文件名

　　　　　chmod g-s 文件名

　　2.3 L文件特殊权限-Sticky BIT

　　　　2.3.1 SBIT粘着位作用

　　　　　　粘着位目前只对目录有效

　　　　　　普通用户对该目录拥有w和x权限，即普通用户可以在此目录拥有写入权限

　　　　　　如果没有粘着位，因为普通用户拥有w权限，所以可以删除此目录下的所有文件，

　　　　　　包括其他用户建立的文件一旦赋予了粘着位，除了root用户可以删除所有文件，

　　　　　　普通用户即使拥有w权限，也只能删除自己建立的文件但是不能删除其他用户建立的文件

　　　　2.3.2 设置和取消粘着位

　　　　　　设置粘着位

　　　　　　　　chmod 1755 目录名

　　　　　　　　chmod o+t 目录名

　　　　　　取消粘着位

　　　　　　　　chmod 755 目录名

　　　　　　　　chmod o-t 目录名

三、文件系统属性chattr权限

　　3.1 chattr命令格式

　　　　chattr [+-=] [选项] 文件或目录

　　　　　　+　　增加权限

　　　　　　-　　删除权限

　　　　　　=　　等于某权限

　　　　　　选项：

　　　　　　　　i：如果对文件设置i属性，那么不允许对文件进行删除、改名，也不能添加和修改数据；

　　　　　　　　　 如果对目录设置i属性，那么只能修改目录下文件的数据，但不允许建立和删除文件。

　　　　　　　　a：如果对文件设置a属性，那么只能在文件中增加数据，但是不能删除也不能修改数据；

　　　　　　　　　 如果对目录设置a属性，那么只允许在目录中建立和修改文件，但是不允许删除

　　　3.2 查看文件系统属性

　　　　　lsattr 选项 文件名

　　　　　　选项：

　　　　　　　　-a　　显示所有文件和目录

　　　　　　　　-d　　若目标是目录，仅列出目录本身的属性，而不是子文件的　　 

四、系统命令sudo权限

　　4.1 sudo权限

　　　　　root把本来只能超级用户执行的命令赋予普通用户执行

　　　　sudo的操作是系统命令

　　4.2 sudo使用

　　　　　 visudo #实际修改的事/etc/sudoers文件

　　　　root 　　　　ALL=(ALL) 　　　　　　　　　　 　　ALL  

　　　　#用户名 　　被管理主机的地址=(可使用的身份)　　  命令(绝对路径)

　　　　#%wheel　　ALL=(ALL)　　　　　　　　　　　　  ALL

　　　　#%组名　　 被管理主机的地址=(可使用的身份) 　　 授权命令

　　4.3 授权testuser用户可以重启服务器

　　　　visudo

　　　　testuser ALL=  /sbin/shutdown -r now

　　4.4 普通用户执行sudo赋予的命令

　　　　 su - testuser #切换用户

　　　　sudo -l #查看可用的命令

　　　　sudo /usr/sbin/shutdown -r now #普通用户执行sudo赋予的命令

　　　　注意：不要给普通用户赋予"vi"等工具命令的sudo权限