-
sudo权限:
root把本来只能超级用户执行的命令赋予普通用户执行;
sudo的操作对象是系统命令;其他权限的操作对象是文件。
sudo使用:visudo #实际修改的是/etc/sudoers文件;
sudo 赋予权限越详细,权限越小,描述越简单,权限越大;
在visudo中有以下内容<br> root ALL=(ALL) ALL
sudo 三个All的身份代表的身份
ALL 被管理主机的ip
(ALL) : 可以使用的身份,包含root,可以省略
All :具体授权的命令,写绝对路径
例如 visudo中加入 user all=(all) /sbin/shutdown -r now 也可以是 user all=/sbin/shutdown -r now 保存退出,然后sudo /sbin/shutdown -r now
%wheel ALL=(ALL) ALL 针对组
su - user 切换用户命令
sudo -l #普通用户查看被授权的系统命令
sudo /sbin/shutdown -r now 普通用户执行sudo赋予的命令
查看全部 -
递归是父目录在设定ACL权限时,所有的子目录和子文件也会拥有相同权限; 权限溢出很难控制,执行权限,对文件和目录作用不同;
setfacl -m u:用户名:权限 -R 目录名 #递归ACL权限
默认ACL权限,给父目录设定默认ACL权限,父目录中所有新建的子文件都会继承父目录的ACL权限;
setfacl -m d:u:用户名:权限 目录名
ACL递归权限和默认权限都是针对目录生效的。递归权只针对目录生效,赋予文件会报错;默认权限只针对目录生效,但赋予文件不会报错,赋予文件是没有实际意义的。
ALC 递归权限,一定会存在权限溢出,所以虽然ALC权限很方便,但是能通过普通权限控制能解决的问题,尽量不要用到ACL权限
在ACL权限中使用了递归权限,则会导致目录下文件权限溢出(给目录赋予执行权限,则递归之后,目录下的文件同样会获取执行文件)
递归权限只能赋予目录,不能赋予文件;并且只对当前目录下已经有的文件起作用,重新创建文件不会有ACL权限
递归只可以对目录使用,对目录现有的文件生效 默认的以后生成的有效,默认的可以设置文件,不过文件不会再创建文件没所谓。查看全部 -
删除ACL权限
setfacl -b 文件名 --删除该文件所有ACL权限
最大有效权限mask;给用户赋予了ACL权限,是需要和mask的权限”相与“才能得到用户的实际权限;
setfacl -m m:rx 文件名 #设定mask权限为r-x,使用“m:权限”格式;
setfacl -x u:用户名 文件名 #删除指定用户的ACL权限;
setfacl -x g:组名 文件名 #删除指定用户组的ACL权限;
setfacl -b 文件名 #删除文件的所有的ACL权限;
查看全部 -
getfacl 文件名 #查看ACL权限;
setfacl 选项 文件名 #设定ACL的权限;
例:setfacl -m u/g:用户名或组名:权限 目录或文件名
setfacl -m u:lw:rx /av
-m 设定ACL权限;
-x 删除指定的ACL权限;
-b 删除所有的ACL权限;
查看全部 -
ACL权限:解决用户对 文件权限身份 不足的缺陷(该用户不属于 拥有者 所属组 其他人)。ACL权限是作用于分区的,是一个挂载权限
df 查看分区 #查看根分区挂载在哪个盘
查看分区ACL权限是否开启:dumpe2fs -h /dev/sda5
dumpe2fs 查看指定分区详细文件系统信息
-h: 仅显示超级块中的信息,而不显示磁盘块组的详细信息
/dev/sda5 根分区
检查 Default mount options: user_xattr acl ,若包含acl,则可以ACL。如果没有acl,则要开启。
mount -o remount,acl / #临时 重新挂载根分区,并加入ACL权限;
vi /etc/fatab #永久开启分区ACL权限,defaults后添加 ,acl
再执行mount -o remount /,进行重新挂载,使修改生效;
dumpe2fs: Bad magic number in super-block 当尝试打开 /dev/sda5 时
找不到有效的文件系统超级块.
这是因为dumpe2fs只适用于ext文件系统,xfs文件系统已强制开启了ACL权限
查看全部 -
选项 i 和 a
查看全部 -
lsattr 文件名 查看chattr权限
查看全部 -
SetGID 针对目录的作用!
1:用户必须附有对目录的rx权限
2:用户在目录中创建文件的所属组均为该目录所有组,而非用户的所属组
查看全部 -
扫描系统中多出来的附有SUID的文件
查看全部 -
SetUID的功能
必须是可执行的文件,才能赋予SUID权限
执行文件的用户必须有该文件的x权限
用户在执行程序过程中,是以文件所有者的身份执行该文件的。
查看全部 -
禁止修改root的密码
查看全部 -
授权普通用户添加其他用户
写的权限越简单,得到的权限越强大
查看全部 -
普通用户查看被授权的系统命令 sudo -l
执行已授权的系统命令 sudo 绝对路径/系统命令
查看全部 -
授权普通用户例子
查看全部 -
sudo
设置普通用户和组名可执行的系统命令
查看全部
举报