Linux学习笔记（13）权限管理

1 ACL权限

（1）简介和开启方式

ACL（Access Control List）权限的目的是在提供传统的owner、group、others的read、write、execute权限之外的局部权限设定。ACL可以针对单个用户，单个文件或目录进行r、w、x的权限设定。特别适用于需要特殊权限的使用。

1）查看分区的ACL权限是否开启

查看指定分区详细文件系统信息的命令为：

dumpe2fs –h 指定分区

其中，-h选项表示只显示超级块中的信息，而不显示磁盘块组的详细信息。

例：查看根分区是否开启ACL权限：

[root@localhost ~]# dump2fs -h /dev/sda5

……

Default mount options:    user_xattr acl

可以看到，sda5分区的ACL权限默认开启。

2）临时开启分区ACL权限

如果分区的ACL权限尚未开启，可以采用重新挂载根分区，同时加入ACL权限，其命令如下所示：

mount –o remount,acl /

3）永久开启分区ACL权限

可以通过修改/etc/fstab配置文件来永久开启ACL权限。具体方法如下：

[root@localhost ~]# vim /etc/fstab

#然后将UUID=9288c490--471c-b63a-6e56699065d5 / ext4  defaults  1中的defaults后加上",acl"，即：

UUID=9288c490--471c-b63a-6e56699065d5  /  ext4  defaults,acl   

（2）查看和设定ACL权限

1）设定ACL权限，其命令格式为：

setfacl [选项] 文件名

其中，选项-m表示修改ACL权限，-x表示删除指定ACL权限，-b表示删除所有的ACL权限，-d表示设定默认ACL权限，-k表示删除默认ACL权限，-R表示递归设定ACL权限。

2）查看ACL命令，其命令格式为：

getfacl 文件名

3）给用户设定ACL权限。

例：新建一个目录project，用户名和所属组分别为root，tgrp。新建一个用户ws，现在想要对project目录具有r、x权限，且其所属组和所属用户均为默认创建的ws。可以通过如下方法对ws用户设定ACL权限：

[root@localhost tmp]# mkdir project

[root@localhost tmp]# groupadd tgrp

[root@localhost tmp]# chown root:tgrp project/

[root@localhost tmp]# chmod  project/

[root@localhost tmp]# useradd ws

[root@localhost tmp]# passwd

更改用户 root 的密码 。

新的 密码：

无效的密码： WAY 过短

无效的密码： 过于简单

重新输入新的 密码：

passwd： 所有的身份验证令牌已经成功更新。

[root@localhost tmp]# setfacl -m u:ws:rx project/

注意给用户ws赋予r-x权限，使用“u:用户名:权限”格式。

使用getfacl命令查看ACL权限：

[root@localhost tmp]# getfacl project/

# file: project/

# owner: root

# group: tgrp

user::rwx

user:ws:r-x

group::rwx

mask::rwx

other::---

随后使用ws用户登录，尝试在project目录下新建文件，则会出现如下错误：

[root@localhost tmp]# su - ws

[ws@localhost ~]$ cd /tmp/project/

[ws@localhost project]$ touch file

touch: 无法创建"file": 权限不够

4）给用户组设定ACL权限

为组分配ACL权限时，使用“g:组名:权限”格式。

例：新建tgrp2组，并为该组分配ACL权限r、w、x。

[root@localhost tmp]# groupadd tgrp2

[root@localhost tmp]# setfacl -m g:tgrp2:rwx project/

[root@localhost tmp]# getfacl project/　　　　#使用getfacl查看project目录的ACL权限：
# file: project/

# owner: root

# group: tgrp

user::rwx

user:ws:r-x

group::rwx

group:tgrp2:rwx

mask::rwx

other::---

（3）最大有效权限与删除ACL权限

1）观察getfacl命令查询ACL权限后的结果可以看到有mask字段。mask是用来指定最大有效权限的，如果给用户赋予了ACL权限，是需要和mask的权限“相与”才能得到用户的真正权限。因此可以修改最大有效权限，其命令格式为：

setfacl –m m:权限 文件名

注意，设定mask权限时，使用“m:权限”格式。

例：将mask的权限修改为r-x，然后修改ws的ACL权限为rwx，然后查询ACL权限：

[root@localhost tmp]# setfacl -m m:rx project/

[root@localhost tmp]# getfacl project/

# file: project/

# owner: root

# group: tgrp1

user::rwx

user:ws:rwx                     #effective:r-x

group::rwx                      #effective:r-x

mask::r-x

other::---

2）删除ACL权限

删除指定用户的ACL权限，其命令格式为：

setfacl –x u:用户名 文件名

删除指定用户组的ACL权限，其命令格式为：

setfacl –x g:组名 文件名

删除文件所有的ACL权限，其命令格式为：

setfacl –b 文件名

（4）递归ACL权限与默认ACL权限

1）递归ACL权限是父目录在设定ACL权限时，所有的子文件和子目录也会拥有相同的ACL权限，其命令格式为：

setfacl –m u:用户名:权限 –R 文件名

2）默认ACL权限的作用是：如果给父目录设定了默认ACL权限，那么父目录中所有新建的子文件都会继承父目录的权限，其命令格式为：

setfacl –m d:u:用户名:权限 文件名

2 文件特殊权限

（1）SetUID

1）SetUID需要注意的地方有：只有可以执行的二进制程序才能设定SUID权限；命令执行者（一般为普通用户）要对该程序拥有x（执行）权限；命令执行者在执行该程序时获得该程序文件属主的身份；SetUID权限只在该程序执行过程中有效，也就是说身份改变只在程序过程中有效。

例：passwd命令拥有SetUID权限，所以普通用户可以修改自己的密码。

[root@localhost tmp]# ll /usr/bin/passwd

-rwsr-xr-x.  root root  2月    /usr/bin/passwd

其中的s表示具有SUID权限。

cat命令没有SetUID权限，所以普通用户不能查看/etc/shadow文件内容。如使用ws登陆。

[ws@localhost ~]$ ll /bin/cat

-rwxr-xr-x.  root root  11月   /bin/cat

[ws@localhost ~]$ cat /etc/shadow

cat: /etc/shadow: 权限不够

2）设定SetUID的方法，其命令格式为：

chmod 4755 文件名              或          chmod u+s 文件名

其中数字4代表SUID。

例：新建文件file，然后将其权限设定为SUID：

[root@localhost ~]# touch file

[root@localhost ~]# chmod  file

[root@localhost ~]# chmod u+s file

[root@localhost ~]# ls -l file

-rwSr--r--.  root root  1月   : file

其中的大写字母S表示该命令无法正确执行。

3）取消SetUID的方法，其命令格式为：

chmod 755 文件名         或          chmod u-s 文件名

4）SetUID的设定是很危险的，需要注意：关键目录应严格控制写权限，如”/“，”/usr“等；用户的密码设置要严格遵守密码的三原则；对系统中默认的应该具有SetUID权限的文件做一列表，定时检查有没有除此之外的文件被设置了SetUID权限。

（2）SetGID

1）SetGID可作用于文件和目录。针对文件的作用是：只有可执行的二进制程序才能设置SGID权限；命令执行者要对该程序拥有x（执行）权限；命令执行者在执行程序时，组身份升级为该程序文件的属组；SetGID权限同样只在该程序执行过程中有效，也就是说，组身份改变只是在程序执行过程中有效。

例：locate具有SGID权限：

[ws@localhost ~]$ ll /usr/bin/locate

-rwx--s--x.  root slocate  10月   /usr/bin/locate

[root@localhost ~]# ll /var/lib/mlocate/mlocate.db

-rw-r-----.  root slocate  1月   : /var/lib/mlocate/mlocate.db

其主要过程是：/usr/bin/locate是可执行的二进制程序，可以赋予SGID，执行用户ws对/usr/bin/locate命令具有执行权限。执行/usr/bin/locate命令时，组身份会升级为slocate组，而slocate组对/var/lib/mlocate/mlocate.db数据库拥有r权限，所以普通用户ws可以使用locate命令查询mlocate.db数据库。命令结束，ws用户的组身份返回ws组。

针对目录的作用是：普通用户必须对此目录拥有r和x权限，才能进入此目录；普通用户在此目录中的有效组会变成此目录的属组；若普通用户对此目录拥有w权限时，新建文件的默认属组是这个目录的属组。

2）设定SetGID，其命令格式为：

chmod 2755 文件名              或          chmod g+s 文件名

其中2代表SGID。

例：在/tmp目录下新建test目录，然后对其设置SGID权限。然后以ws用户登录系统，并在test目录下新建文件test1，然后查看test1的权限：

[root@localhost tmp]# mkdir test

[root@localhost tmp]# chmod  test/

[root@localhost tmp]# ll -d test/

drwxr-srwx.  root root  1月   : test/

[root@localhost tmp]# su - ws

[ws@localhost ~]$ cd /tmp/test/

[ws@localhost test]$ touch test1

[ws@localhost test]$ ll test1

-rw-rw-r--.  ws root  1月   : test1

可以看到，ws用户创建的test的属组变为了test目录下的数组root了。

3）取消SetGID，其命令格式为：

chmod 755 文件名         或          chmod g-s 文件名

（3）stick BIT

1）SBIT粘着位目前只对目录有效：普通用户对该目录拥有w和x权限，即普通用户可以在此目录拥有写入权限；如果没有粘着位，因为普通用户拥有w权限，所以可以删除此目录下的所有文件，包括其他用户创建的文件。一旦赋予了粘着位，除了root可以删除所有文件，普通用户就算拥有w权限，也只能删除自己创建的文件，不能删除其他用户创建的文件。

例：将/tmp设定粘着位，使用ws用户登录，然后尝试删除其中的文件：

[root@localhost tmp]# chmod  test/

[root@localhost tmp]# ll -d test/

drwxrwsrwt.  root root  1月   : test/

[root@localhost tmp]# touch /tmp/test/file1

[root@localhost tmp]# su - ws

[ws@localhost ~]$ cd /tmp/test/

[ws@localhost test]$ ls

file1  test1

[ws@localhost test]$ rm -f file1

rm: 无法删除"file1": 不允许的操作

2）设置和取消粘着位

设置粘着位的命令格式为：chmod 1777 目录名 或   chmod o+t 目录名；

取消粘着位的命令格式为：chmod 777 目录名   或   chmod o-t 目录名

注：每一种特殊权限针对的操作对象不同，因此一般不会赋予文件或目录7777权限的。

3 文件系统属性chattr权限

1）命令格式：

chattr [+-=] [选项] 文件或目录名

其中，“+”表示增加权限，“-”表示删除权限，“=”表示等于某权限。

选项i的含义是：如果对文件设置i属性，那么不允许对文件进行删除、改名，也不能添加和修改数据；如果对目录设置i属性，那么只能修改目录下文件的数据，但不允许建立和删除文件（此限制也适用于root）。

选项a的含义是：如果对文件设置a属性，那么只能在文件中增加数据，但不能删除，也不能修改数据；如果对目录设置a属性，那么只允许在目录中建立和修改文件，但是不允许删除。

2）查看文件系统属性，其命令格式为：

lsattr [选项] 文件名

其中，-a选项表示显示所有文件和目录，-d选项表示目标是目录，仅列出目录本身的属性，而不是子文件的。

4 系统命令sudo权限

1）sudo权限：root把本来只能超级用户执行的命令赋予普通用户执行，sudo的操作对象是系统命令。

2）sudo的使用

visudo命令实际修改的是/etc/sudoers文件。其中：

root          ALL=(ALL)           ALL

其中，root表示用户名，等号左边的ALL表示被管理主机的地址，等号右边括号的ALL表示可使用的身份，最后一个ALL表示授权命令（绝对路径）。

%wheel    ALL=(ALL)            ALL

其中wheel是组名，第一个ALL是被管理主机的地址，第二个ALL表示可使用的身份，第三个ALL表示授权命令（绝对路径）。

3）授权ws用户可以重启服务器

方法为：visudo，然后添加：ws     ALL=/sbin/shutdown –r now，注意命令写的越细致，表示赋予ws用户的权限越小。

4）普通用户执行sudo赋予的命令，注意普通用户不能直接执行shutdown –r now，而应该是：sudo /sbin/shutdown –r now

如果普通用户想要查看sudo赋予的命令，可以执行sudo –l命令。