前言
接着上篇文章基本权限,这篇文章带你了解特殊权限。合理分配权限,真的很重要。学会修改文件权限,再也不用担心自己的小电影被发现了,啊呸。呵呵,套你猴子的,你这个闷骚男,我是来学习知识的,不是来get
番号的。嘴上说不要,身体很诚实。八连杀,好强大,我要我要我还要,编不下去了,恶心到自己了…
正文
通过目录你可以get
到哪些知识。
目录
- 文件ACL权限
- 文件特殊权限
- 文件不可改变位权限
- 文件sudo权限
一、文件ACL权限
首先查看分区ACL
权限是否开启
ACL
权限
注意:在centos7
中,如果你的系统分区格式是xfs,请用xfs_growfs
命令,不确定系统分区格式,如下图查看:
df
查看系统分区
dumpe2fs -h /dev/sda1
,查询指定分区详细文件系统信息的命令- -h,仅显示超级块中信息,而不显示磁盘块组的详细信息
mount -o remount,acl /dev/sda5
,重新挂在根分区,并挂载acl
权限- 修改fstab文件永久生效,
vim /etc/fstab
,修改时请注意这个文件会影响系统的启动
设置ACL
权限,setfacl
【选项】文件
- -m,设置ACL权限
- -x,删除指定的ACL权限
- -b,删除所有的ACL权限
- -d,设置默认的ACL权限
- -k,删除默认的ACL权限
- -R,递归设置ACL权限
递归权限针对目录,不对文件有效
设置ACL
权限,setfacl
-m 文件:
- u:用户名:权限 文件名,为用户分配ACL权限
- g:组名:权限 文件名,为组分配ACL权限
- 例如:
setfacl -m u:sky:rx /home/av
,赋予sky这个用户读和执行的权限,av代表目录
查询ACL
权限,getfacl
【选项】文件
- 有设置,当然也有查询。通过getacl av,查看av目录的ACL权限
mask
, 用来指定最大有效权限。如果给用户赋予ACL权限,是需要与mask的权限做“相与”逻辑运算才能得到用户的真正权限。
删除指定用户ACL
权限。例如,bols波老师代表文件名
- 删除指定用户的,
setfacl -x u:sky bols
- 删除指定组的,
setfacl -x g:sky bols
删除所有ACL
权限,例如
- setfacl -b 文件名,删除这个文件所有ACL权限
设置默认ACL
权限
- 例如:
setfacl -m d:u:sky:rx -R /home/av
,如果给av这个父目录下所有子文件赋予了读和执行默认的ACL权限,之前新建的是不会生效的,针对赋予权限之后新建的文件
删除默认ACL
权限
- 例如:
setfacl -m d:u:sky:rx -R /home/av
,删除av
这个目录下所有文件和子目录的默认ACL权限
递归ACL
权限,递归是父目录在设定ACL权限时,所有的子文件和子目录也会拥有相同的ACL权限,这时设定的是针对已经存在的文件。
- u:用户名:权限 文件名,为用户分配ACL权限
- 例如:
setfacl -m u:sky:rx -R /home/av
,赋予sky这个用户读和执行的权限,av目录下所有文件都赋予了读和执行的权限。尽量少用递归ACL权限,会造成权限溢出。
二、文件不可改变位权限
chattr
命令 [+ - =]【选项】文件或目录名
- +:增加权限
- -:删除权限
- =:等于某权限
最常用的是-i
和-a
-
-i
:文件不可删,不可修改。如果对文件设置i属性,那么不允许对文件进行删除、改名,也不能添加和修改数据;如果对目录设置i属性,那么只能修改目录下文件的数据,但不允许建立或删除文件。例如:此时对
bols
文件进行了赋予chattr +i bols
属性命令。使用lsattr
命令查看你会发现多了i属性,而且不能对其进行删除如下图:
设置了+i属性,不让删除
-
-a
:文件不可删,可修改。如果对文件设置a属性,那么只能在文件中增加数据,但不能删除和修改数据;如果对目录设置a属性,那么只允许在目录中建立和修改文件,但不允许删除文件。例如:此时对
bols
文件进行了赋予chattr +a bols
属性命令,也可以用lsattr命令查看发现多了a属性如下图:
设置+a属性了,也是不让删除的
注意:使用vi
进行修改是行不通的,系统不好判断是修改还是新增。但使用echo >> av /home/user1/bols
重定向输出是可行的。
三、文件特殊权限
通过观看学习视频,总结了下,大致的把文件特殊权限分为这三个:suid(SetUID
),sgid(SetGID
),sbit(Sticky BIT
)。
首选来了解下suid
,下面我就采用简写了。
- 只有可执行的二进制程序才能设定suid权限。
- 命令执行者要对该程序拥有X(执行)权限。
- 命令执行者在执行该程序时获得该程序文件属组的身份(在执行程序的过程中灵魂附体为文件是属组)。
- suid权限只在该程序执行过程中有效,身份改变只在程序执行过程中生效。
passwd
命令拥有suid
权限,所以普通用户可以修改自己的密码
cat
命令没有suid
权限,普通用户不能查看/etc/shadow
文件中的类容
设定suid
的方法,4代表suid
- chmod 4755 文件名
- chmod u+s 文件名
有设定当然也有对应的取消suid
的方法
- chmod 0755 文件名
- chmod u-s 文件名
使用suid权限时得慎重,这家伙也是很危险的。
- 关键目录应该严格控制写权限。例如:"/","usr"等等
- 用户密码设置严格遵守密码三原则
- 对系统中默认应该具有suid权限的文件作一列表,定时检查有没有以外的文件被设置的suid权限
了解了suid权限后,再来了解下sgid
(SetUID
)权限,针对文件的作用。
- 只有可执行的二进制程序才能设定sgid权限。
- 命令执行者要对该程序拥有X(执行)权限。
- 在执行程序的时候,组身份升级为该程序文件的属组
- sgid权限一样也只在该程序执行过程中有效,组身份改变只在程序执行过程中生效。
sgid
针对目录的作用
- 普通用户必须对此目录拥有r(读)和x(写)权限,才能进入此目录
- 普通用户在此目录中的有效组会变成此目录的属组
- 普通用户对此目录拥有w(写)权限时,新建文件的默认属组是这个目录的属组
例如:
/usr/bin/locate
是可执行二进制程序,可以赋予sgid
特使权限- 执行用户lamp对
/usr/bin/locate
命令拥有执行权限 - 执行
/usr/bin/locate
命令时,组身份会升级为slocate组,而slocate组对/var/lib/mlocate/mlocate.db
数据库拥有r(读)权限,普通用户可以使用locate命令查询mlocate.db数据库 - 命令结束时,用户lamp的组身份返回lamp组
设定sgid
,2代表sgid
- chmod 2755 文件名
- chmod g+s 文件名
取消sgid
- chmod 0755 文件名
- chmod g-s 文件名
了解完sgid,就剩下最后的sbit
特殊权限了,粘着位作用。
- 粘着位目前只对目录有效
- 普通用户对该目录拥有
w
(写)和x
(执行)权限,普通用户在此目录拥有写入权限 - 如果没有粘着位,普通用户拥有
w
(写)权限,所以可以删除此目录下所有文件,包括其他用户建立的文件。一旦赋予了粘着位,只有root
可以删除所有文件,普通用户就算拥有w
(写)权限,也只能删除自己建立的文件,但不能删除其他用户建立的文件。
四、sudo权限
sudo
权限,把原本只能超级用使用的命令对普通用户赋予权限,操作对象是系统命令。
sudo
使用
visudo
,实际修改的是/etc/sudoers
文件root
用户名ALL
被管理主机的地址 = (ALL
)可使用的身份ALL
授权命令(绝对路径)#%wheel
#%组名ALL
被管理主机的地址 = (ALL
)可使用的身份ALL
授权命令(绝对路径)
例如:授权普通用户可以重启服务器
visudo,user1 ALL = /sbin/shutdown -r now
- 注意:命令写的越简单,相对而言赋予的权限越大。
例如:普通用户执行sudo
赋予的命令
- 切换到普通用户,
su - user1
sudo -l
,查看可用的sudo命令- 普通用户执行sudo赋予的命令,
sudo /sbin/shutdown -r now
例如:授权普通用户可以添加其他用户
visudo,usr1 ALL = /usr/sbin/useradd
,添加用户usr1 ALL = /usr/bin/passwd
,授予用户设定密码的权限- 设置不能设定root用户密码,
usr1 ALL = /usr/bin/passwd[A-Za-z]*
,!/usr/bin/passwd""
,!/usr/bin/passwd root
尾声
好了,到此为止就是此篇文章的全部内容了,能看到这的都是帅哥靓妹啊!!!善于总结,其乐不穷。好记性不如烂笔头,多收集自己第一次尝试的成果,收获也颇丰。你会发现,自己的知识宝库越来越丰富。