1.权限管理

1.1.ACL权限

1.1.1.ACL概述

ACL概述：ACL是用于解决用户对文件身份不足的问题的

不足：ACL权限，一旦递归之后，不可避免的出现权限溢出

1.1.2.使用ACL权限

1）开启ACL权限

[root@localhost~]#dumpe2fs -h /dev/sda3 #dumpe2fs命令是查询指定分区详细文件系统信息的命令 选项： -h 仅显示超级块中信息，而不显示磁盘块组的详细信息。 .省略部分输出... Defaultmountoptions：userxattracl ...省略部分输出... #如果没有开启，手工开启分区的ACL权限： [root@localhost~]#mount-oremount，acl/ #重新挂载根分区，并挂载加入acl权限 也可以通过修改/etc/fstab文件，永久开启ACL权限： [root@localhost~]#vi/etc/fstab UUID=c2ca6f57-b15c-43ea-bca0-f239083d8bd2 / ext4 defaults，acll 1 #加入acl [root@localhost~]#mount-oremount / #重新挂载文件系统或重启动系统，使修改生效 备注： dumpe2fs命令只适用于ext格式类型， 可通过df -T查看文件类型 [root@localhost ~]# df -T xfs格式类型默认开启ACL权限无需再次配置

1.1.3.ACL基本命令

1）查询

getfacl 文件名 查询文件的ACL权限

2）设定

setfacl [参数] 文件名 设定ACL权限 参数： -m 设定ACL权限 #实例： setfacl -m u：用户名：权限 文件名 setfacl -m g：组名：权限 文件名 #给www目录赋予用户st读执行的ACL权限 #例1：如下命令一直，权限可用字母也可以数字 [root@localhost ~]# setfacl -m u:st:5 www [root@localhost ~]# setfacl -m u:st:rx www #给www目录递归创建用户st读执行的权限 #例2：赋予递归ACL权限 [root@localhost ~]# setfacl -m u:st:rx -R www [root@localhost ~]# setfacl -md u:st:rx -R www setfacl -md :u:aa:rwx -R /test ACL默认权限。 注意：默认权限只能赋予目录 注意：如果给目录赋予acl权限，两条命令都要输入 递归与默认的区别： setfacl-m u:cc:rx -R soft 只对已经存在的文件生效 setfacl-m d:u:aa:rwx -R test 只对以后新建的文件生效,(相当于设置默认acl权限)

1.1.4.最大有效权限musk

[root@localhost ~]# setfacl -m m:rw www #设定mask权限为rw-。使用“m：权限”格式 [root@localhost ~]# getfacl www # file: www # owner: root # group: root user::rwx user:st:r-x #effective:r-- group::r-x #effective:r-- mask::rw- #mask权限变为了rw- other::r-x

1.1.5.删除ACL权限

setfacl [参数] 文件名 设定ACL权限 -b 删除ACL权限 -x:用户 删除单个用户的ACL权限 [root@localhost/]#setfacl -x u:st www #删除指定用户和用户组的ACL权限 [root@localhost/]#setfacl -b www #会册除文件的所有的ACL权限

1.2.sudo授权

给普通用户赋予部分管理员权限，可以执行授权的命令权限

sudo：赋予的权限越详细，普通用户得到的权限越小

​ 赋予的权限越简单，普通用户的到的权限越大

/sbin/ 在此目录下命令只有超级用户才能使用

/usr/sbin

1.2.1.root身份

root ALL=(ALL) ALL #用户名 被管理主机的地址（ip地址）=(可使用的身份) 授权命令（绝对路径） %wheel ALL=(ALL) ALL #%组名 被管理主机的地址=(可使用的身份) 授权命令（绝对路径）

用户名/组名：代表root给哪个用户或用户组赋予命令，注意组名前加“%”

用户可以用指定的命令管理指定IP地址的服务器。如果写ALL，代表可以管理任何主机，如果写固定IP，代表用户可以管理指定的服务器。(这里真的很奇怪啊，超哥一直认为这里的IP地址管理的是登录者来源的IP地址，查了很多资料也都是这样的。直到有一天超哥查看“man 5 sudoers”帮助，才发现大家原来都理解错误了，这里的IP指定的是用户可以管理哪个IP地址的服务器。那么如果你是一台独立的服务器，这里写ALL和你服务器的IP地址，作用是一样的。而写入网段，只有对NIS服务这样用户和密码集中管理的服务器才有意义)。如果我们这里写本机的IP地址，不代表只允许本机的用户使用指定命令，而代表指定的用户可以从任何IP地址来管理当前服务器。

可使用身份：就是把来源用户切换成什么身份使用，(ALL)代表可以切换成任意身份。这个字段可以省略

授权命令：代表root把什么命令授权给普通用户。默认是ALL，代表任何命令，这个当然不行。如果需要给那个命令授权，写入命令名即可，不过需要注意一定要命令写成绝对路径

1.2.2.举例

1）举个例子，比如授权用户user1可以重启服务器，则由root用户添加如下行：

[root@localhost ~]# visudo user ALL=/sbin/shutdown -r now [user1@localhost ~]$ sudo -l #查看可用的权限

2）再举个例子，授权一个用户管理你的Web服务器，：

首先要分析授权用户管理Apache至少要实现哪些基本授权：

1、可以使用Apache管理脚本

2、可以修改Apache配置文件

3、可以更新网页内容

假设Aapche管理脚本程序为/etc/rc.d/init.d/httpd

为满足条件一，用visudo进行授权：

[root@localhost~]#visudo user1 192.168.0.156=/etc/rc.d/init.d/httpd reload,/etc/rc.d/init.d/httpd configtest

授权用户user1可以连接192.168.0.156上的Apache服务器，通过Apache管理脚本重新读取配置文件让更改的设置生效(reload)和可以检测Apache配置文件语法错误(configtest)，但不允许其执行关闭(stop)、重启(restart)等操作。(“＼”的意思是一行没有完成，下面的内容和上一行是同一行。)

3)授权aa用户可以添加其他普通用户

#赋予aa添加用户权限.命令必须写入绝对路径 aa ALL =/usr/bin/passwd #赋予改密码权限，取消对root的密码修改 aaALL = /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd "", !/usr/bin/passwd root #普通用户使用sudo命令执行超级用户命令 aa身份 [aa@localhost~] sudo /usr/sbin/useradd ee

1.3文件特殊权限SetUID、SetGID、StickyBIT

SUID：只针对执行程序

SGID：既可以针对执行文件，也可以针对目录文件

SBIT：只能针对目录

1.3.1.SetUID

1）SetUID是个危险的权限，不允许手工赋予此权限，系统默认自带某些文件有此权限,当一个具有执行权限的文件设置SetUID权限后，用户执行这个文件时将以管理员身份执行。

2）如果手工赋予某个文件SetUid权限，他将以root权限执行此文件，会导致意想不到的后果，如运用setuid权限删除有关于root的账户信息，相当于将服务器暴露给其他人。

3）SetUID是什么 SetUID的功能可以这样理解：

只有可以执行的二进制程序才能设定SUID权限命令执行者要对该程序拥有x(执行)权限命令执行者在执行该程序时获得该程序文件属主的身份(在执行程序的过程中灵魂附体为文件的属主)SetUID权限只在该程序执行过程中有效，也就是说身份改变只在程序执行过程中有效

4)有几点建议： ◇关键目录应严格控制写权限。比如“/”、“/usr”等； ◇用户的密码设置要严格遵守密码三原则； ◇对系统中默认应该具有SetUID权限的文件作一列表，定时检查有没有这之外的文件被设置了SetUID权限

检测SetUID的脚本，防范系统中有系统外其他SetUID的文件 [root@localhost~]#vi suidcheck.sh #!/bin/bash find / -perm -4000 -o -perm -2000 >/tmp/setuid.check #搜索系统中所有拥有SUID和SGID的文件，并保存到临时目录中。 for i in $(cat /tmp/setuid.check) #做循环，每次循环取出临时文件中的文件名 do grep $i /root/suid.list > /dev/null #比对这个文件名是否在模板文件中 if [ ”$?” != ”0” ] #如果在，不报错 then echo "$i isn't inlistfile! " >> /root/suid_log_$(date +%F) #如果文件名不再模板文件中，则报错。并把报错报错到日志中 fi done rm -rf /tmp/setuid.check #删除临时文件

测试

[root@localhost~]#chmod u+s /bin/vi #手工给vi加入SUID权限 [root@localhost~]#./suidcheck.sh #执行检测脚本 [root@localhost~]#cat suid_log_ /bin/vi isntinlistfile! #报错了，vi不再模板文件中。代表vi被修改了SUID权限

1.3.2.SetGID

1）针对文件作用，当一个具有执行权限的文件设置SetGID权限后，用户执行这个文件时将以程序的所属组执行。

2）针对目录作用，目录需要有777权限，普通用户对目录进行添加目录时，所添加目录及文件的所属组为原目录的所属组

3）如果SGID针对目录设置，含义如下：

普通用户必须对此目录拥有r和x权限，才能进入此目录普通用户在此目录中的有效组会变成此目录的属组若普通用户对此目录拥有w权限时，新建的文件的默认属组是这个目录的属组

1.3.3.Sticky BIT

1）针对目录作用，

StickyBIT粘着位，也简称为SBIT。SBIT目前仅针对目录有效，它的作用如下：

粘着位目前只对目录有效普通用户对该目录拥有w和x权限，即普通用户可以在此目录拥有写入权限如果没有粘着位，因为普通用户拥有w权限，所以可以删除此目录下所有文件，包括其他用户建立的文件。一但赋予了粘着位，除了root可以删除所有文件，普通用户就算拥有w权限，也只能删除自己建立的文件，但是不能删除其他用户建立的文件。

1.3.4.设定文件特殊权限

设定特殊权限这样表示

4000代表SUID 4755 / u+s

2000代表SGID 2755 / g+s

1000代表SBIT 1755 / o+t

chmod 4755 ftest #赋予suid权限 chmod 2755 ftest #赋予sgid权限 chmod 1755 ftest #赋予sbit权限

1.4.文件系统属性chattr权限

1.4.1.chattr命令格式

[root@localhost ~]# chattr [+-=][参数] 文件或目录名 +：增加权限 -：删除权限 =：等于某权限 参数： i：(插入) 如果对文件设置i属性，那么不允许对文件进行删除、改名，也不能添加和修改数据； 如果对目录设置i属性，那么只能修改目录下文件的数据，但不允许建立和删除文件 a:（追加） 如果对文件设置a属性，那么只能在文件中增加数据，但是不能删除也不能修改数据； 如果对目录设置a属性，那么只允许在目录中建立和修改文件，但是不允许删除 #对于有a属性的文件无法用vi进行编辑，用如下命令 echo 1111 >> wh e： Linux中绝大多数的文件都默认拥有e属性。表示该文件是使用ext文件系统进行存储的，而且不能使用“chattr -e”命令取消e属性。

1.4.2.查看文件系统属性lsattr

[root@localhost ~]# lsattr 参数 文件名 参数： -a 显示所有文件和目录 -d 查看目录chattr权限 [root@localhost ~]# lsattr 文件名 不加参数也能查看，不够具体 ，那么只允许在目录中建立和修改文件，但是不允许删除 #对于有a属性的文件无法用vi进行编辑，用如下命令 echo 1111 >> wh e： Linux中绝大多数的文件都默认拥有e属性。表示该文件是使用ext文件系统进行存储的，而且不能使用“chattr -e”命令取消e属性。 ### 1.4.2.查看文件系统属性lsattr [root@localhost ~]# lsattr 参数 文件名 参数： -a 显示所有文件和目录 -d 查看目录chattr权限 [root@localhost ~]# lsattr 文件名 不加参数也能查看，不够具体