linux权限管理

Posted 2021-10-20 武云医生

（一）acl权限：

（1）acl权限的作用和意义：

①用户对文件只有三种身份，就是属主、属组和其他人；每种用户身份拥有读（read）、写（write）和执行（execute）三种权限

②根目录中有一个 /project 目录，这是班级的项目目录。班级中的每个学员都可以访问和修改这个目录，老师也需要对这个目录拥有访问和修改权限，其他班级的学员当然不能访问这个目录。需要怎么规划这个目录的权限呢？应该这样：老师使用 root 用户，作为这个目录的属主，权限为 rwx；班级所有的学员都加入 tgroup 组，使tgroup组作为/project目录的属组，权限是 rwx；其他人的权限设定为 0。这样这个目录的权限就可以符合我们的项目开发要求了。

③有一天，班里来了一位试听的学员st，她必须能够访问/project 目录，所以必须对这个目录拥有r和x 权限；但是她又没有学习过以前的课程，所以不能赋予她w权限，怕她改错了目录中的内容，所以学员st的权限就是 r-x。可是如何分配她的身份呢？变为属主？当然不行，要不 root 该放哪里？加入 tgroup 组？也不行，因为 tgroup 组的权限是 rwx，而我们要求学员 st 的权限是 r-x。如果把其他人的权限改为 r-x 呢？这样一来，其他班级的所有学员都可以访问 /project 目录了。难道在给他新建一个组，把该用户放到该组里面？也不行，linux中一个文件只能属于一个组

③当出现这种情况时，普通权限中的三种身份就不够用了。ACL 权限就是为了解决这个问题的。在使用 ACL 权限给用户 st 陚予权限时，st 既不是 /project 目录的属主，也不是属组，仅仅赋予用户 st 针对此目录的 r-x 权限。这有些类似于 Windows 系统中分配权限的方式，单独指定用户并单独分配权限，这样就解决了用户身份不足的问题。

（2）查看是否支持acl权限：｛要查看文件的分区是否支持｝

dumpe2fs -h /dev/sda1

（3）临时开启分区acl权限：｛linux默认全是开启的｝

mount -o remount,acl

（4）永久开启分区acl权限：

vim /etc/fstab

UUID=c35eee58-356d-449a-b283-2f1672d7da87 /boot ext4 defaults,acl 1

① mount -o remount //重新挂载文件系统或重启系统，使修改生效

（5）getfacl test //查看acl权限：

getfacl test

（6）setfacl [选项] 文件名 //给用户设置acl权限

setfacl -m u:tongxue3:rx /root/zuoye/ //u后面是用户；用户后面是读写执行权限的分配；最后面是目录或者文件

①选项：

m：设定acl权限

x：删除指定的acl权限

b：删除所有的acl权限

d：设定默认的acl权限

k：删除默认的acl权限

R：递归设定acl权限

（7）给用户组设定acl权限：

setfacl -m g:banji2:rwx zuoye

（8）演示1：给用户设定特殊权限

①环境如下：

mkdir zuoye

useradd tongxue1

useradd tongxue2

groupadd banji

gpasswd -a tongxue1 banji

gpasswd -a tongxue2 banji

chown root:banji /root/zuoye/

chmod 770 /root/zuoye/

②这时候来了一个新用户“tongxue3”不属于那个组，但有不能是root，就需要用到acl权限：

setfacl -m u:tongxue3:rx /root/zuoye/

③测试：su - tongxue3

（9）删除acl权限和最大权限：

①最大有效权限：如果我给用户赋予了acl权限，是需要和mask权限“相与”才能得到用户的真正权限

②修改最大有效权限：

setfacl -m m:rx [文件名] //将这个文件的最大权限设置为rx，不管你给这个用户设置了多大的权限

③删除acl的组的权限：

1、setfacl -x g:banji2 /zuoye/ //｛-x是删除某一个用户或者某一个组的最大权限｝

2、setfacl -b /zuoye/｛-b是删除所有的最大权限｝

（10）acl递归权限：｛只能针对现有的文件进行设置，且未来生成的文件不会拥有递归过来的权限，只能重新递归｝

①递归acl权限：递归是父目录在设定acl权限时，所有的子文件目录也会拥有相同的acl权限

②演示1：设置递归acl权限：

setfacl -m u:tongxue3:rw -R /zuoye/

（11）默认acl权限：｛只能针对新生成的文件，以前的文件还是需要使用递归的方式继承｝

①默认ACL权限的作用是如果给父目录设定了默认ACL权限，那么父目录中所有新建的子文件都会继承父目录的ACL权限。

②演示1：设置acl默认权限

setfacl -m d:tongxue3:rw /zuoye/

（二）文件特殊权限：

（1）setuid权限｛4代表suid｝：只有二进制才能设置suid权限，对该程序要有x执行权限，命令在执行的时候获得该程序文件属主的身份，setuid权限只有该程序执行过程中有效，也就是说身份改变只有程序执行过程中有效

①当用户修改自己密码的时候，都会暂时获得这个文件的所有者权限，这个所有者权限｛root权限｝，就可以修改｛修改密码其实就是修改｝//shadowd这个文件，这个文件虽然都是不能读，但是这个权限对所有者来说是没有意义的

②设定SUID的方法：4就代表suid

chmod 4755 文件名

chmod u+s 文件名

③取消SUID的方法：

chmod 755 文件名

chmod u-s 文件名

④特殊：文件由于取消了“x”权限，所以a文件显示一个“大写的S”，这是一个报错的提示，拥有SUID的权限必须拥有“x”权限才可以

⑤注意事项：

关键目录应该严格控制写权限，比如“/”，和“usr”等，用户的密码设置要遵守三原则，对系统中默认应该具有setUID权限的文件做一列表，定时检查有没有这几个之外的文件被设置了setUiD权限；假设给vim给了setuid 权限，那么vim普通用户就可以调用root权限，使用vim来修改系统或者密码等文件

（2）setgid：｛2代表sgid｝

①针对文件：只有可执行的二进制程序才能设置SGID权限，命令执行者要对该程序拥有x（执行）权限命令执行在执行程序的时候，组身份升级为该程序文件的属组；SetGID权限同样只在该程序执行过程中有效，也就是说组身份改变只在程序执行过程中有效

1、图中的情况说明，普通用户去搜索数据库按道理来说是没有权限的，但是locate命令拥有“g”s，当执行locate命令的同时 ，身份组就会切换成“slocate”这个组，而“slocate这个组是拥有r权限的”这个数据库的所属组就是“slocate”，这样普通用户就可以利用“locate”搜索文件，间接的执行去搜索数据库，，命令结束时就有恢复到普通的身份

②针对目录：普通用户必须对此目录拥有r和x权限，才能进入此目录；普通用户在此目录中的有效组会变成此目录的属组；若普通用户对此目录拥有w权限时，新建的文件的默认属组是这个目录的属组{就是在这个文件中新建文件就是所属的组新建的不是，虽然是自己新建的，但所属的组但不是自己}

chmod 2755 /tmp/test

chmod g+s /tmp/test

③设置setgid方法：和755无关，755是ugo的权限

1、chmod 2755 /tmp/test

2、chmod g+s /tmp/test

④取消setgid方法：和755无关，755是ugo的权限

1、chmod 755 /tmp/test

2、chmod g-s /tmp/test

（3）sticky BIT:｛用1表示｝粘着位目前只对目录有效;普通用户对该目录拥有w和x权限，即普通用户可以在此目录拥有写入权限;如果没有粘着位，因为普通用户拥有w权限，所以可以删除此目录下所有文件，包括其他用户建立的文件。一但赋予了粘着位 ，除了root可以删除所有文件，普通用户就算拥有w权限，也只能删除自己建立的文件，但是不能删除其他用户建立的文件

①设置粘着位:｛1就代表粘着位，和755无关，755是ugo的权限｝

chmod 1755 [目录名]

chmod o+t [目录名]

②取消粘着位:和755无关，755是ugo的权限

chmod 755 [目录名]

chmod o-t [目录名]

（4）文件系统属性chattr权限：｛防止无删除｝

①chattr [+-=] [选项] 文件或目录

+：增加权限

-：删除权限

=：等于某权限

②选项：｛对root用户也有效｝

i：+如果对文件设置i属性，那么不允许对文件进行删除、改名，也不能添加和修改数据；如果对目录设置i属性，那么只能修改目录下文件的数据，但不允许建立和删除文件。

a：如果对文件设置a属性，那么只能在文件中增加数据｛不能使用vim，因为在vim里面无法判断是增还是加只能用echo的方式去追加｝，但是不能删除也不能修改数据；如果对目录设置a属性，那么只允许在目录中建立和修改文件，但是不允许删除

③lsattr 查看文件系统属性：

a：显示所有文件和目录

d：如目标是目录，仅列出目录本身的属性，而不是子文件的

（5）sudo权限：root把本来只能超级用户执行的命令赋予普通用户执行，sudo的操作对象是系统命令

①visudo //实际打开的是这个文件/etc/sudoers

②添加某个用户使用的命令：

99 ## Allow root to run any commands anywhere

100 root ALL｛被管理主机的地址｝=(ALL)｛可使用的身份｝ ALL｛命令｝，这里写命令的话写的越详细，就执行越详细的，别的都执行不了，如果没写详细，那和他相关的命令都能执行

tongxue3 ALL=/sbin/shuadown -r now

tongxue3 192.168.0.2==/sbin/shuadown -r now //例子｛这里的ip地址不是来源ip而是被访问的ip地址， 允许某一个用户执行那一条命令，在那一台计算机上，如果写all或者写当前本机都代表允许某一个用户在我当前计算机上执行那些命令，如果写一个网段，那就是在某些服务比如nssa服，举个例子就是把用户名和密码都集中在一台服务器上管理，这个时候写网段才有意义｝