Linux特殊权限

Linux权限管理之特殊权限

  ACL(访问控制列表)

  用来解决用户对权限的身份不足的问题

  使用ACL必须要有文件系统的支持才行

  Linux平台上，常见的支持ACL的文件系统有 ext2\ext3\ext4，JFS，XFS等

  查看分区ACL权限是否开启

  dumpe2fs -h 设备名 | grep "Default mount options"   #查看设备的默认挂载权限 (dumpe2fs 只支持ext2/3/4文件系统)

  XFS文件系统的超级快信息使用xfs_growfs命令查看

  临时开启分区ACL权限

    mount -o remount,acl /   #重新挂载根分区并加入acl权限 

  永久开启ACL权限，修改/etc/fstab

  查看ACL权限

  getfacl 文件名

范例:

[root@VM_0_8_centos home]# getfacl av

# file: av              #文件名

# owner: tony #属主

# group: stu            #属组

user::rwx               #属主的权限

user:lw:r-x             #lw用户的权限

group::rwx     #属组的权限( effective:r-x  #属组的真正权限)

group:tgroup2:rwx #tgroup2组的权限(effective:r-x #tgroup2组的真实权限)

mask::r-x

other::---

ACL最大有效权限mask

  mask是用来指定最大有效权限的。给某用户赋予的ACL权限需要和mask权限"相与"才能得到用户的真正权限

       配置mask方法:

            setfacl -m m:权限 文件名  #设定文件的mask权限

  设定ACL权限

  setfacl [option] acl参数 文件名

  -m :设定ACL权限

  -x :删除指定ACL权限

  -b :删除所有ACL权限

  -d :设定默认ACL权限

  -k :删除默认ACL权限

  -R :递归设定ACL权限

  ACL参数主要由三部分组成:

  三种身份：对应身份名:三种权限

  [u|g|o] : [用户名|组名]:[rwx]

  给用户设定ACL权限：

  setfacl -m u:用户名:相应权限 文件名

  给用户组设定ACL权限：

  setfacl -m g:组名:相应权限 文件名

  范例:

  setfacl -m u:tom:rw- test.txt

  setfacl -m g:stu:rw- hello.txt

    删除ACL权限:

    setfacl -x u:用户名 文件名  #删除指定用户ACL权限

    setfacl -x g:组名 文件名 #删除指定用户组ACL权限

        setfacl -b 文件名        #删除文件的所有ACL权限

  ACL默认权限与递归权限

  递归ACL权限

  递归是父目录在设定ACL权限时，所有的子文件和子目录也会拥有相同的ACL权限,易导致权限溢出

设定ACL权限时 使用-R权限

递归权限仅能赋予目录，不能赋予文件

递归权限设置时，只会对目录下已经创建的文件和子目录授予相同的ACL权限，此后新建的文件和子目录

不会被授予相同的ACL权限

范例；

setfacl -m u:lw:rw -R /hello.txt

    默认ACL权限

    默认ACL权限的作用是如果给父目录设定了默认的ACL权限，那么父目录中所有新建的子文件都会继承父目录的ACL权限

    setfacl -m d:u:用户名:权限  文件名

-----------------------------------------------------------------------------------------------------------------------

Linux sudo 权限

root把本来只能超级用户执行的命令赋予普通用户执行

sudo的操作对象是系统命令

给普通用户赋予超级用户的权限

visudo命令

visudo命令打开的文件中给普通用户/用户组赋予权限的格式:

用户名 被管理主机的地址=(可使用的身份) 授权的命令(必须是绝对路径)

%组名  被管理主机的地址=(可使用的身份) 授权的命令(必须是绝对路径)

   普通用户执行root用户赋予的命令:

    sudo 命令的绝对路径

Linux 文件特殊权限 （特殊权限精量少修改)

SetUID

只有可以执行的二进制程序才能设定SUID权限

命令执行者要对该程序拥有x(执行)权限

命令执行者在执行该程序时获得该程序文件属主的身份(在执行程序的过程中灵魂附体为文件的属主)

SetUID权限只在该程序执行过程中有效，也就是说身份改变只在程序执行过程中有效

设定SetUID的方法

4代表SUID

      chmod 4755 文件名

      chmod u+s  文件名

    取消SetUID的方法

          chmod 0755 文件名

          chmod u-s  文件名

危险的SetUID

关键目录应严格控制写权限。

用户的密码设置要严格遵守密码三原则

对系统中默认应该具有SetUID权限的文件作一列表，定时检查有没有这之外的文件被设置了SetUID权限

SetGID

SetGID针对文件的作用

    只有可以执行的二进制程序才能设定SGID权限

命令执行者要对该程序拥有x(执行)权限

命令执行在执行程序的时候，组身份升级为该程序文件的属组

SetGID权限同样只在该程序执行过程中有效，也就是说组身份改变只在程序执行过程中有效。

SetGID针对目录的作用

普通用户必须对此目录拥有r和x权限，才能进入此目录

普通用户在此目录中的有效组会变成此目录的属组

如普通用户对此目录拥有w权限时，新建的文件的默认属组是这个目录的属组

设定SetGID

2代表SGID

chmod 2755 文件名

chmod g+s  文件名

Sticky BIT权限(粘着位权限)

粘着位目前只对目录有效

普通用户对该目录拥有w和x权限，既普通用户可以在此目录拥有写入权限

如果没有粘着位，因为普通用户拥有w权限，所以可以删除此目录下所有文件，包括其他用户建立的文件

一担赋予了粘着位，除了root可以删除所有文件，普通用户就算拥有w权限，也只能删除自己建立的文件

但是不能删除其他用户建立的文件。

设置粘着位

chmod 1755 目录名

chnod o+t  目录名

取消粘着位

chmod 0777 目录名

chmod o-t  目录名

Linux 不可改变位权限(chattr权限)

chattr命令格式

chattr [+ - =] [option] 文件或目录名

+：增加权限

-: 删除权限

=: 等于某权限

选项:

i:如果对文件设置i属性，那么不允许对文件进行删除、改名、也不能添加修改数据；如果对目录设置i属性，那么只能修改目录下文件的数据，但不允许建立和删除文件

a:如果对文件设置a属性，那么只能在文件中增加数据，但是不能删除也不能修改数据；如果对目录设置a属性，那么只允许在目录中建立和修改文件，但是不允许删除。

查看文件系统属性:

lsattr

  -a :显示所有文件和目录

  -d :如目标是目录，仅列出目录本身的属性，而不是子文件的