权限和归属

  • 基本权限
  • 设置文档归属
  • 附加权限(特殊权限)
  • ACL访问控制列表
  • 文档归属的局限性
  • acl访问策略


基本权限

  1. 访问方式(权限)
  • 读取:允许查看内容–read表示为r
  • 写入: 允许修改内容–write表示为w
  • 可执行: 允许运行和切换–execute表示为x
  1. 权限适用对象(归属)
  • 所有者: 拥有此文件/ 目录的用户-user u
  • 所属组: 拥有此文件/ 目录的组-group g
  • 其他用户: 除所有者、所属组以外的用户-other o
  1. 使用ls -l或者ls -ld命令查看
  2. 使用chmod 对象+ 或者- 目标名称
    chmod 【R】递归

设置文档归属

  1. 使用chown
  • chown [ -R] 属主 文档。。。
  • chown [ -R]: 属组 文档。。。 #注意这个冒号
  • chown [ -R ] 属主:属组 文档。。。

附加权限(特殊权限)

  • Set Gid
  • 附加在属组的x位置上
  • 属组的权限标识会变为s
  • 使用与目录,Set GID可以使目录下新增的文档自动设置与父目录相同的属组,意思就是继承。
  • SET UID
  • 附加在属主的x位上
  • 属主的权限标识会变为s
  • 适用于可执行文件,set uid可以让使用者具有文件属主的身份及部分权限(一般用于攻击),作为一种攻击手段,chmod u+s /usr/bin/vim后,任何用户都是以root权限运行vim,编辑系统文件
  • Sticky Bit
  • 附加在其他人的x位上
  • 其他人的权限会变为t
  • 适用于开放w权限的目录,可以组织用户滥用w写入权限(禁止操作别人的文档)

ACL访问控制列表

文档归属的局限性

  • 任何人只属于三种角色:属主、属组、其他人
  • 无法实现更精细的控制

acl访问策略

• 能够对个别用户、个别组设置独立的权限
• 大多数挂载的EXT3/4、XFS文件系统默认已支持
• 比如单独的一个/NB文件夹,dc用户没有访问权,现在只需要给dc用户rx权限
• 就可以setfacl -m u:dc :rx /NB
• [root@lifei ~]# mkdir /NB
 [root@lifei ~]# ls -ld /NB
 drwxr-xr-x. 2 root root 6 8月 14 22:28 /NB
 [root@lifei ~]# useradd dc
 [root@lifei ~]# groupadd caiwu
 [root@lifei ~]# echo 100w > /NB/rmb.txt
 [root@lifei ~]# chmod o=— /NB
 [root@lifei ~]# ls -ld /NB
 drwxr-x—. 2 root root 21 8月 14 22:31 /NB
 [root@lifei ~]# setfacl -m u:dc:rx /NB
 [root@lifei ~]# ls -ld /NB
 drwxr-x—+ 2 root root 21 8月 14 22:31 /NB #可以看到点变成了加号。
 [root@lifei ~]# ls -ld /NB
 drwxr-x—+ 2 root caiwu 21 8月 14 22:31 /NB
 查看/NB的acl
 [root@lifei ~]# getfacl /NB
 getfacl: Removing leading ‘/’ from absolute path names
 # file: NB
 # owner: root
 # group: caiwu
 user::rwx
 user:dc:r-x
 group::r-x
 mask::rwx
 other::—• 使用getfacl 、setfacl命令
• getfacl 文档。。
• setfacl 【-R】 -m u:用户名:权限类别 文档。。。。
• setfacl 【-R】 -m g:组名: 权限类别 文档。。。
• setfacl 【-R】 -x u:组名 文档。。。 ##删除指定ACL策略
• setfacl 【-R】 -b 文档 ## 删除全部ACL策略