ACL权限
1:ACL权限简介和开启
A:不再考虑身份。用户或用户组直接拿过来给它改权限
B:查看分区ACL权限是否开启
dumpe2fs -h /dev/sda3 #dump2fs命令是查询指定分区详细文件系统信息的命令
选项:-h 仅显示超级块中信息,而不显示磁盘块组的详细信息- 步骤1:df -h #查看当前系统分区使用情况,容量,已用,可用,挂载点,找到用户所在分区。
- 步骤2:dumpe2fs -h /dev/sda3
- C:临时开启分区ACL权限
mount -o remount,acl / #重新挂载根分区,并载入acl权限 - D:永久开启分区ACL权限
- 步骤1:vi /etc/fstab #加入acl
UUID=c2cq6f57-b15c-43ea-bca0-f239083d8bd2 / ext4 defaults,acl 1 1 #defaults后面加了一个acl - 步骤2:mount -o remount / #重新挂载文件系统或重启动系统,使修改生效
- 步骤1:vi /etc/fstab #加入acl
2:查看与设定ACL权限
A:查看ACL命令 getfacl 文件名 #查看ACL权限
B:设定ACL权限 setfacl 选项 文件名
12345678910选项:-m 设定ACL权限给用户设置ACL权限 setfacl -m u:qingwa:rx /project/给用户组设定ACL权限 setfacl -m g:xxgroup:rwx project/-x 删除指定的ACL权限 setfacl -x g:xxgroup /project/ #删除xxgroup在project下面的ACL权限-b 删除所有的ACL权限 setfacl -b /project/ #会删除在project下面所有用户用户组的ACL权限-d 设定默认的ACL权限-k 删除默认ACL权限-R 递归设定ACL权限
3:最大有效权限与删除ACL权限
最大有效权限mask
mask是用来指定最大有效权限的。如果我给用户赋予了ACL权限,是需要和mask的权限“相与”才能得到用户的真正权限。(相与—相当于逻辑的与 一个为假就都为假)
4:默认ACL权限和递归ACL权限
递归是父目录在设定ACL权限时,所有的子文件和子目录也会拥有相同的ACL权限。
默认ACL权限
默认ACL权限的作用是如果给父目录设定了ACL权限,那么父目录中所有新建的子文件都会继承父目录的ACL权限。
文件特殊权限
1: SetUID
SetUID的功能
- 只有可以执行的二进制程序才能设定SUID权限
- 命令执行者要对该程序拥有x(执行)权限
- 命令执行者在执行该程序时获得该程序文件宿主的身份(在执行程序的过程中灵魂附体为文件的属主)
- SetUID权限只在该程序执行过程中有效,也就是说身份改变只在程序执行过程中有效。
设置SUID:
取消SUID:
危险的SetUID:
2: SetGID
SetGID针对文件的作用:
- 只有可执行的二进制程序才能设置SGID权限
- 命令执行者要对该程序拥有x(执行)权限
- 命令执行在执行程序的时候,组身份升级为该程序文件的属组
- SetGID权限同样只在该程序执行过程中有效,也就是说组身份改变只在程序执行过程中有效
SetGID针对目录的作用:
- 普通用户必须对此目录拥有r和x权限,才能进入此目录
- 普通用户在此目录中的有效组会变成此目录的属组
- 若普通用户对此目录拥有w权限时,新建的文件的默认属组是这个目录的属组
设定SetGID:
3: Sticky BIT
SBIT粘着位作用
- 粘着位目前只对目录有效
- 普通用户对该目录拥有w和x权限,即普通用户可以在此目录拥有写入权限
- 如果没有粘着位,因为普通用户拥有w权限,所以可以删除此目录下所有文件,包括其他用户建立的文件。一旦赋予了粘着位,除了root可以删除所有文件,普通用户就算拥有w权限,也只能删除自己建立的文件,但是不能删除其他用户建立的文件。
设置与取消粘着位
取消粘着位
文件系统属性chattr权限
chattr[+-=][选项]文件或目录名
2、查看文件系统属性:lsattr 选项 文件名
选项:
- -a 显示所有文件和目录
- -d若目标是目录,仅列出目录本身的属性,而不是子文件的。
系统命令sudo权限
- 1:
- root把本来只能超级用户执行的命令赋予普通用户执行
- sudo的操作对象是系统命令
- 2:sudo使用
visudo #需要超级管理员执行这个命令 实际修改的是/etc/sudoers
文件