权限管理

ACL权限

dumpe2fs [参数] 分区	查询指定分区详细文件系统信息
-h	仅显示超级块中的信息,而不显示磁盘块组的相信信息
dumpe2fs -h /dev/sda3	查看分区是否支持acl权限
看default mount options : acl
mount -o remount,acl	重新挂载根分区,并挂载加入acl权限(临时)

• 查看ACL权限
  getfacle 文件名 查看acl权限
• 设定ACL权限
  mask是用来指定最大有效权限的

setfacl 选项 文件名
setfacl -m u:用户:权限 文件名|目录	给用户设定acl权限
setfacl -m g:组名:rwx 文件名|目录	给组设定acl权限
setfacl -m m:rwx 文件名|目录		设定文件的最大acl权限
setfacl	-x m|g:用户名|组名 文件|目录	删除指定用户|组的acl权限
setfacl -b 文件名|目录		删除文件的所有acl权限
setfacl	-m m|g:用户名|组名:权限 -R 目录		递归给指定用户|组设置acl权限
setfacl -m d:u|g:用户名|组名:权限 [-R] 目录		设置父目录的默认ACL权限

参数	作用
-m	设定acl权限
-x	删除指定的acl权限
-b	删除所有acl权限
-d	设定默认的acl权限
-k	删除默认acl权限
-R	递归设定acl权限
u:	给用户设定acl权限
g:	给组设定权限
m:	设定最大权限
d:	如果给父目录设定了ACL权限,那么父目录中所有以后新建的子文件都会继承父目录的acl权限

文件特殊权限

SetUID

只有可执行的二进制程序还能设定SUID全选
命令执行者要对该程序拥有执行(x)权限
命令执行者在执行该程序时获得该程序文件属主的身份(在执行程序的过程中灵魂附体为文件的属主)
SetUID权限只在该程序执行过程中有效,也就是说身份改变只在程序执行过程中有效
查看文件权限时,用户的权限处有"s","S"表示设置失败

• 设定SetUID

chmod 4755 文件名	4:用户  2:组   1:其他人
chmod u+s 文件名

• 取消

chmod 755 文件名
chmod u-s 文件名

SetGID

针对二进制文件时,功能与SetUID相似
针对目录时:普通用户必须对此目录拥有r和x权限才能进入此目录
普通用户在此目录中的有效组会变成此目录的属组
若普通用户对此目录拥有w全限时,新建的文件的默认属组是这个创建这个目录的属组
查看文件权限时,组的权限处有"s","S"表示设置失败

chmod 2755 文件名	4:用户  2:组   1:其他人
chmod g+s 文件名
chmod 755 文件名		取消SetGID
chmod g-s 文件名		取消SetGID

Sticky BIT

粘着位权限目前只对目录有效
普通用户对该目录拥有w和x权限,即普通用户可以在此目录拥有写入权限
如果没有粘着位,因为普通用户拥有w权限,所以可以删除此目录下的所有文件,包括其他用户建立的文件,一旦赋予粘着位,除了root可以删除所有文件,普通用户就算拥有w权限,也只能删除自己建立的文件,不能删除其他用户建立的文件
查看文件权限时,其他人的权限处"x"权限换成"t"

chmod 1775 目录名	设置粘着位权限
chmod o+t 目录名	设置粘着位权限
chmod 775 目录名	取消粘着位权限
chmod o-t 目录名	取消粘着位权限

chattr

文件系统属性权限

• 设置

chattr [+|-|=] [选项] 文件|目录
+	增加权限
-	删除权限
=	等于某权限

选项	作用
i	如果对文件设置i属性,那么不允许对文件进行删除,改名,也不能添加和修改数据 如果对目录设置i属性,那么只能修改目录下文件的数据,但不允许建立和删除文件
a	如果对文件设置a属性,那么只能在文件中增加数据,但不能删除也不能修改数据 如果对目录设置a属性,那么只允许在目录中建立和修改文件,但是不允许删除

• 查看

lsattr 选项 文件|目录		查看文件系统属性
-a			显示所有文件和目录
-d			若目标是目录,仅列出目录本身的属性,而不是子文件的

sudo 权限

root把本来只能超级用户执行的命令赋予普通用户执行
sudo的操作对象是系统命令

sudo -l		查看有哪些权限
visudo		实际修改的是/etc/sudoers文件
用户名	被管理主机的地址=(可使用的身份)	授权命令(绝对路径)
root	ALL=(ALL)					ALL
组名	被管理主机的地址=(可使用的身份)	授权命令(绝对路径)
# %wheel	ALL=(ALL)					ALL