-
设置acl权限: mkdiv av 创建目录 useradd tony 创建用户 groupadd stu 创建用户组 chown tony:stu av 修改av目录的所有者和所有组查看全部
-
acl权限解决用户权限不够的问题,(所有者,所属组,其他人)。查看全部
-
【Sticky BIT粘着位作用】 #粘着位目前只对目录有效 #普通用户对该目录拥有w和x权限,即普通用户可以在此目录拥有写入权限 #如果没有粘着位,因为普通用户拥有w权限,所以可删除此目录下所有文件,包括其他用户建立的文件,一旦赋予了粘着位,除了root可以删除所有文件,普通用户即使拥有w权限,也只能删除自己建立的文件,但是不能删除其他用户建立的文件。 #不建议手工建立拥有粘着位的目录 【设定粘着位】 第一种:chmod 1755 文件名 第二种:chmod o+t 文件名 【取消SGID方法】 第一种:chmod 0755 文件名 第二种:chmod o-t 文件名 #/tmp/默认就拥有SBIT权限 #SBIT因为要赋予7权限,所以极危险,慎用,慎用!查看全部
-
【SetGID对文件的作用】 #只有可执行的文件才能设定SGID权限 #命令执行者要对该程序拥有x(执行)权限 #命令执行者在执行该程序时获得该程序文件属组的身份 #SetGID权限只在该程序执行过程中有效,也就是说组身份改变只在程序执行过程中有效 例: #/usr/bin/locate是可执行的文件,可赋予SGID #用户user1对l/usr/bin/locate命令拥有执行权限 #用户user1对mlocate.db数据库没有任何权限 #user1执行locate命令时,组身份升级为slocate组,而slocate组对/var/lib/mlocate/mlocate.db数据库拥有r权限,所以普通用户user1可以使用locate命令查询mlocate.db数据库 #命令结束,user1用户的组身份返回为user1组 【SGID针对目录的作用】 #普通用户必须对此目录拥有r和x权限,才能进入此目录 #普通用户在此目录中的有效组会变成此目录的属组 #若普通用户对此目录拥有w权限时,新建的文件的默认属组是这个目录的属组 #SGID和SUID的区别是SUID只能对文件设定,SGID对文件和目录都可以 【设定SGID的方法】 第一种:chmod 2755 文件名 第二种:chmod g+s 文件名 【取消SGID方法】 第一种:chmod 0755 文件名 第二种:chmod g-s 文件名查看全部
-
【设定SetUID的方法】 第1种方法:chmod 4755 文件名 #4代表SUID 第2种方法:chmod u+s 文件名 【取消SetUID的方法】 第1种方法:chmod 0755 文件名 #0代表取消SUID 第2种方法:chmod u-s 文件名 【非常危险的SetUID】 #关键目录应严格控制写权限。比如"/","/usr"等 #用户的密码设置要严格遵守密码三原则(复杂性、易记忆、时效性) #对系统中默认应该具有SetUID权限的文件作一个列表,定时检查有没有之外的文件被设置了SetUID权限。可通过编写一个shell脚本实现。 #先通过find / -perm -4000 -o -perm -2000 > /root/suid.list生成一个模板文件 #!/bin/bash find / -perm -4000 -o -perm -2000 > /tmp/suid.check #搜索系统中所有拥有SUID和SGID的文件,并临时保存到suid.check文件中 for i in $(cat /tmp/suid.check) #做循环,每次循环取出文件中的文件名 do grep $i /root/suid.list > /dev/null #比对这个文件名是否在suid.list模板文件中,> /dev/null代表输出结果不看,扔到回收站 if [ "$?" != "0" ] #检测上一个命令的返回值,如果不为0,证明上一个命令报错 then echo "$i isn't in listfile." >> /root/suid_log_$(date +%F) #如果文件名不在模板文件中,则输出错误信息,并把报错保存到日志中 fi done rm -rf /tmp/suid.check #删除临时文件查看全部
-
【权限之 SetUID、SetGID、Sticky BIT】 #这些权限尽量不要修改,特别是SUID SGID 【SetUID】 ##SUID的作用:让本来没有相应权限的用户运行这个程序时,可以访问没有权限访问的资源 #只有可执行的文件才能设定SUID权限 #命令执行者要对该程序拥有x(执行)权限 #命令执行者在执行该程序时获得该程序文件属主的身份 #SetUID权限只在该程序执行过程中有效,也就是说身份改变只在程序执行过程中有效 例: -rwsr-xr-x 表示SUID和所有者权限中可执行位x被设置 -rwSr--r-- 表示SUID被设置,但所有者权限中可执行位x没有被设置 例: ll /usr/bin/passwd -rwsr-xr-x. 1 root root 25980 2月 22 2012 /usr/bin/passwd #属主权限是rws(s=S+x),passwd命令拥有SetUID权限,所以普通用户可以执行passwd命令修改自己的密码 ll /bin/cat -rwxr-xr-x. 1 root root 44112 10月 15 2014 /bin/cat #属主权限是rwx,cat命令没有SetUID权限,所以普通用户不能查看/etc/shadow文件内容 ll /bin/vi -rwxr-xr-x. 1 root root 845932 7月 24 10:19 /bin/vi #属主权限是rwx,vi命令没有SetUID权限,所以普通用户不能使用vi编辑/etc/shadow文件内容查看全部
-
SetUID的功能查看全部
-
【sudo权限】 例2: #授权普通用户可以添加其他用户 visudo #编辑/etc/sudoers文件 user1 ALL= /usr/sbin/useradd #sudo赋予普通用户user1添加用户的命令 user1 ALL= /usr/bin/passwd #授权user1用户设定密码的权限 #注意:这样设置极不安全,因为user1可以设置root用户密码了,这是不合理的,应该按下面这样写 user1 ALL= /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd "", !/usr/bin/passwd root #说明1:[A-Za-z]* ,这是个正则表达式,passwd后面的跟的用户名包括任何字母,*代表字母可以重复0-N次 #说明2:!/usr/bin/passwd "",!代表取反,这意味着passwd 后面跟的用户名不能为空,因为为空代表设置自身密码,而user1执行设置密码命令时使用的是root身份 #说明3:!/usr/bin/passwd root,!代表取反,这意味着passwd后面不能跟root #说明4:,后面一定要有空格,没有空格不生效 #说明5:三段代码顺序不能颠倒 #原则:sudo赋予的命令越详细,普通用户的权限越小,赋予的越简单,权限越大查看全部
-
sudo使用查看全部
-
sudo使用查看全部
-
【sudo权限】 #sudo作用:root把本来只能超级用户执行的命令赋予普通用户执行 #sudo的操作对象是系统命令 【sudo的使用】 visudo #实际修改的是/etc/sudoers文件 roo ALL=(ALL) ALL #用户名 被管理主机的地址=(可使用的身份) 授权命令(绝对路径) #(ALL)一般都是(ALL),也可以忽略不写 %wheel ALL=(ALL) ALL #%组名 被管理主机的地址=(可使用的身份) 授权命令(绝对路径) #sudo赋予和执行命令的时候都必须输入绝对路径 例1: #授权普通用户可以重启服务器 visudo #编辑/etc/sudoers文件 user1 ALL= /sbin/shutdown -r now #sudo赋予普通用户user1重启的命令 su - user1 #切换到user1用户 sudo -l #查看user1可用的sudo命令 sudo /sbin/shutdown -r now #user1执行sudo赋予的重启命令查看全部
-
给用户组设定ACL权限查看全部
-
设定ACL权限命令查看全部
-
【递归acl权限】 setfacl -m u:用户名:权限 -R 目录名 #递归是父目录在设定acl权限时,所有的子文件和子目录也会拥有相同的acl权限 #尽量少用,因为执行权限对目录和文件作用不同,会产生权限溢出 #递归只针对赋予权限时,目录下已经有的子文件和子目录,之后新建的不继承 #默认acl权限可以设定新建的子文件和子目录继承acl权限(不包括目录内已经有的子文件和子目录) 【默认acl权限】 setfacl -m d:u:用户名:权限 -R 目录名 默认acl权限的作用是如果给父目录设定的了默认acl权限,那么父目录中所有新建的子文件(不包含已有的子文件和子目录)都会继承父目录的acl权限 #递归ACL权限针对目录中已有的子文件和子目录,默认ACL权限针对目录中以后新建的子文件和子目录 #递归和默认都只对目录赋予权限,对文件是没有意义的查看全部
-
【最大有效权限mask】 mask是用来指定最大有效权限的。如果给用户赋予了acl权限,是需要和mask的权限“逻辑与”才能得到用户的真正权限。 #getfacl命令可以查看mask权限值 #一般情况mask值为rwx 【修改最大有效权限】 setfacl -m m:权限 文件名 #例如:setfacl -m m:rx wja #设定wja文件mask权限为r-x 【删除acl权限】 setfacl -x u:用户名 文件名 #删除指定用户的acl权限 setfacl -x g:组名 文件名 #删除指定用户组的acl权限 setfacl -b 文件名 #删除文件的所有用户和组的acl权限查看全部
举报
0/150
提交
取消