Linux权限管理笔记

Linux权限管理

基本权限

文件基本权限：

• 修改：chmod [-R] 模式 文件名，chmod u+x ,g=w,o-w1.txt
  • 有了w写权限，不能删除这个文件
  • 对文件来讲：最高权限是 x
  • 对目录来讲：最高权限是 w
• 修改所有者：chown 用户名 文件名，chown ds 1.txt
• 修改所属组：chgrp 组名 文件名，chgrp group1 2.txt

文件默认权限：

• umask，查看默认权限，0022，第一位0表示文件特殊权限，022文件默认权限
• 文件默认权限最大为666

特殊权限

ACL权限：一个文件夹只能有一个所有者和一个所属组，但可能存在第三个组拥有不同的权限，ACL解决用户权限不足

• dumpe2fs -h /dev/sda5，h显示块信息不是磁盘块组信息，查看分区ACL权限是否开启
• 临时开启：mount -o remount,acl /，重新挂载
• 永久开启：vim /etc/fstab 添加defaults,acl，mount -o remount /
• 查看ACL命令：getfacl 文件名
• 设定：setfacl 选项 文件名
  • m设定，x删除指定的，b删除所有的，d设定默认，k删除默认，R递归设定
  • groupadd tgroup2，setfacl -m g:tgroup2:rwx /av
  • useradd lw，serfacl -m u:lw:rx /av
• 最大有效权限：mask，给用户添加的acl权限，是需要和mask的权限相与才能得到用户真正权限
  • 修改最大有效权限：setfacl -m m:rx 文件名
• 删除ACL权限：
  • setfacl -x [u:用户名] | [g:组名] 文件名
  • setfacl -b 文件名

sudo权限：

• visudo，实际修改/etc/sudoers文件
  • root用户名 被管理主机的地址ALL=(ALL)可使用的身份 ALL授予命令(绝对路径)
    • user1 ALL=(ALL) /usr/sbin/useradd
    • user1 ALL=/usr/bin/passwd [a-zA-Z]*, !/usr/bin/passwd “”, !/usr/bin/passwd root
    • sudo -l，查看可以执行的命令
    • sudo /usr/bin/passwd newuser
  • %wheel组名 被管理主机地址ALL=(ALL)可使用身份 ALL授予命令

文件特殊权限：

• SetUID，只有可执行的二进制文件才能设定，执行这个文件会临时转换为root
  • chmod 4755 abc，s权限
  • chmod 4644 abc，S权限不能执行
• SetGID，针对目录，执行的时候会临时转为所属组
• Sticky BIT，只对目录有效，如果没有粘着位，普通用户拥有w权限就可以删除此目录下所有文件
  • 设置：chmod 1755 目录名
  • 取消：chmod 0777|o-t 目录名

不可改变位权限：

• chattr [+-=] [选项] 文件或目录名
  • a 追加，只允许增加数据，但不能删除也不能修改
  • i 插入，不允许对文件进行删除、改名
  • chatattr +i abc
• lsattr 选项 文件名
  • a 显示所有文件和目录
  • d 加目录仅列出目录本身的属性，而不是子文件的