Linux权限管理之特殊权限

1-1 Linux中ACL权限简介与开启

本门课程是《Linux权限管理之基本权限》的后续篇，请小伙伴们学习完基本权限后再来学习本课程！

课程主要内容：

一、ACL权限

二、文件特殊权限

三、不可改变位权限

四、sudo权限

ACL权限

● 1、ACL权限简介与开启

● 2、查看与设定ACL权限

● 3、最大有效权限与删除ACL权限

● 4、默认ACL权限和递归ACL权限

1、ACL权限简介

drwxrwx---   tony   stu   av

比如laowang需要r-x权限呢？就会发现一个文件，只有一个属主、 一个属组、一个其他人，身份就不够用了，在这种情况下，就需要ACL权限解决。

2、查看分区ACL权限是否开启

● [root@localhost ~]# dumpe2fs -h /dev/sda5

➢ #dumpe2fs命令是查询指定分区详细文件系统信息的命令

➢ -h​仅显示超级块中信息，而不显示磁盘块组的详细信息

➢ /dev/sda5为df命令查出来的根分区的文件系统

➢ 在结果中查看Default mount options:​​user_xattr acl，表明分区支持ACL权限

3、临时开启分区ACL权限

● [root@localhost ~]# mount -o remount,acl /

#重新挂载根分区，并挂载加入acl权限

4、永久开启分区ACL权限

● [root@localhost ~]# vi /etc/fstab

● 在defaults后面添加“,acl”

● [root@localhost ~]# mount -o remount /

● #重新挂载文件系统或重启系统，使修改生效

1-2 Linux中ACL权限查看与设定

1、查看ACL命令

● [root@localhost ~]# getfacl 文件名

● #查看acl权限

2、设定ACL权限命令

● [root@localhost ~]# setfacl 选项 文件名

● 选项：

➢ -m​设定ACL权限

➢ -x​删除指定ACL权限

➢ -b​删除所有ACL权限

➢ -d​设定默认ACL权限

➢ -k​删除默认ACL权限

➢ -R​递归设定ACL权限

3、【回到1-1的举例】

● [root@localhost ~]# cd /home

● [root@localhost home]# mkdir av

● [root@localhost home]# useradd tony

● [root@localhost home]# groupadd stu

● [root@localhost home]# chown tony:stu av

● [root@localhost home]# chmod 770 av

● [root@localhost home]# useradd lw

● [root@localhost home]# passwd ls

● [root@localhost home]# setfacl -m u:lw:rx /home/av

● #给用户lw赋予r-x权限，使用“u:用户名:权限”格式

● [root@localhost home]# ll​【发现av的权限位后面的.变成了+】

4、给用户组设定ACL权限

● [root@localhost ~]# groupadd tgroup2

● [root@localhost ~]# setfacl -m g:tgroup2:rwx /av

● #为组tgroup2分配ACL权限。使用“g:组名:权限”格式

1-3 Linux中ACL最大权限与删除

1、最大有效权限mask

◆ mask是用来指定最大有效权限的。如果我给用户赋予了ACL权限，是需要和mask的权限“相与”才能得到用户的真正权限。

A

B

And

r

r

r

r

-

-

-

r

-

-

-

-

修改最大有效权限

● [root@localhost /]# setfacl -m m:rx 文件名

● #设定mask权限为r-x。使用“m:权限”格式

2、删除ACL权限

● [root@localhost /]# setfacl -x u:用户名 文件名

● #删除指定用户的ACL权限

● [root@localhost /]# setfacl -x g:组名 文件名

● #删除指定用户组的ACL权限

● [root@localhost /]# setfacl -b 文件名

● #删除文件的所有的ACL权限

1-4 Linux中ACL默认权限与递归权限

1、递归ACL权限

◆ 递归是父目录在设定ACL权限时，所有的子文件和子目录也会拥有相同的ACL权限。

◆ setfacl -m u:用户名:权限 -R 目录名

◆ 权限溢出是ACL权限最大的问题，因为对于目录和文件rwx的含义不同，因此用-R递归时会出现权限溢出的意外情况；不过好像基本权限用chmod -R修改权限也会出现权限溢出。

◆ 递归权限仅能赋予目录，不能赋予文件。

2、默认ACL权限

◆ 默认ACL权限的作用是如果父目录设定了默认ACL权限，那么父目录中所有新建的子文件都会继承父目录的ACL权限。

◆ setfacl -m d:u:用户名:权限 目录名

2-1 Linux中sudo权限（上）

1、sudo权限

◆ root把本来只能超级用户执行的命令赋予普通用户执行。

◆ sudo的操作对象是系统命令。

2、sudo使用

● [root@localhost ~]# visudo

● #实际修改的是/etc/sudoers文件

● root​​ALL=(ALL)​​​​​​​​ALL

● #用户名 被管理主机的地址=（可使用的身份） 授权命令（绝对路径）

● # %wheel​​ALL=(ALL)​​​​ALL

● # %组名 被管理主机的地址=（可使用的身份） 授权命令（绝对路径）

例子1、授予普通用户可以重启服务器

● [root@localhost ~]# visudo

- user1​ALL=​​/sbin/shundown -r now

例子1、普通用户执行sudo赋予的命令

● [root@localhost ~]# su - user1

● [user1@localhost ~]$ sudo -l

● #查看可用的sudo命令

● [user1@localhost ~]$ sudo /sbin/shutdown -r now

● #普通用户执行sudo赋予的命令

2-2 Linux中sudo权限（下）

例子2：授权普通用户可以添加其他用户

● [root@localhost ~]# visudo

- user1 ALL=/usr/sbin/useradd

- user1 ALL=/usr/bin/passwd [A-Za-z]*,!/usr/bin/passwd “”, !/usr/bin/passwd root

#不能设定root用户的密码。先后顺序不能变，逗号后面的空格不能省。

 

同样，/bin/vi和/usr/bin/vim也不能赋予sudo权限，以免普通用户对/etc/passwd,/etc/group,/etc/shadow文件操作。

3-1 Linux中SetUID（上）

文件特殊权限

● 1.5.1 SetUID 非常不安全

● 1.5.2 SetGID 非常不安全

● 1.5.3 Sticky BIT

注意：特殊权限尽量少修改！

1、SetUID的功能

◆ 只有可执行文件才能设定SUID权限。

◆ 命令执行者要对该程序拥有x（执行）权限。

◆ 命令执行者在执行该程序时获得该程序文件属主的身份（在执行程序的过程中灵魂附体为文件的属主）。

◆ SetUID权限只能在该程序执行过程中有效，也就是说身份改变只在程序执行过程中有效。

2、设定SetUID的方法

➢ chmod 4755 文件名

➢ chmod u+s 文件名

疑问：

ll /etc/shadow

----------. 1 root root 1498 7月 1 15:48 /etc/shadow

普通用户是否能修改自己的密码？答案是肯定的。

那么为什么普通用户可以修改权限为000的文件呢？答案就在/usr/bin/passwd命令上。

ll /usr/bin/passwd

-rwsr-xr-x. 1 root root 25980 2月 22 2012 /usr/bin/passwd

◆ passwd命令拥有SetUID权限，所以普通用户可以修改自己的密码

[root@localhost ~]# ll /usr/bin/passwd

-rwsr-xr-x. 1 root root 25980 2月 22 2012 /usr/bin/passwd

【扩展：】可以理解为s=S+x

◆ cat命令没有SetUID权限，所以普通用户不能查看/etc/shadow文件内容

[root@localhost ~]# ll /bin/cat

-rwxr-xr-x. 1 root root 47976 6月 22 2012 /bin/cat

3-2 Linux中SetUID（下）

2、设定SetUID的方法

◆ 4代表SUID

➢ chmod 4755 文件名

➢ chmod u+s 文件名

u+s=SUID(4)、g+s=SGID(2)、o+s=SBIT(1)

3、取消SetUID的方法

◆ chmod 0755 文件名

◆ chmod u-s 文件名

4、危险的SetUID

◆ 关键目录应严格控制写权限。比如“/”、“/usr”等。

◆ 用户的密码设置要严格遵守密码三原则，即复杂性、易记忆性、时效性。

◆ 对系统中默认应该具有SetUID权限的文件作一列表，定时检查有没有这之外的文件被设置了SetUID权限。

#!/bin/bash

 

find / -perm -4000 -o -perm -2000 > /tmp/setuid.check

#搜索系统中所有拥有SUID和SGID的文件，并保存到临时目录中。

for i in $(cat /tmp/setuid.check)

#做循环，每次循环取出临时文件中的文件名

do

​grep $i /root/suid.log > /dev/null

​#对比这个文件名是否在模板文件中

​​if [ “$?” != “0” ]

​​#检测上一个命令的返回值，如果不为0，证明上一个命令报错

​​then

​​​echo “$i isn’t in listfile!” >> /root/suid_log_$(date “+%F %T”)

​​​#如果文件名不在模板文件中，则输出错误信息，并把报错信息记录到日志中

​​fi

done

rm –rf /tmp/setuid.check

#删除临时文件

3-3 Linux中SetGID

SetUID权限只能针对执行文件；

SetGID权限可以针对执行文件，也可以针对目录。

1、SetGID针对文件的作用

◆ 只有可执行文件才能设置SGID权限。

◆ 命令执行者要对该程序拥有x（执行）权限。

◆ 命令执行在执行程序的时候，组身份升级为 文件的属组。

◆ SetGID权限同样只在该程序执行过程中有效，也就是说组身份改变只在执行程序过程中有效。

[root@localhost ~]# ll /usr/bin/locate

-rwx--s--x 1 root slocate 35612 8月 24 2010 /usr/bin/locate

[root@localhost ~]# ll /var/lib/mlocate/mlocate.db

-rw-r----- 1 root slocate 1838850 1月 20 04:29 /var/lib/mlocate/mlocate.db

◆ /usr/bin/locate是可执行二进制文件，可以赋予SGID

◆ 执行用户lamp对/usr/bin/locate命令拥有执行权限

◆ 执行/usr/bin/locate命令时，组身份会升级为slocate组，而slocate组对/var/lib/mlocate/mlocate.db数据库拥有r权限，所以普通用户可以使用locate命令查询mlocate.db数据库

◆ 命令结束，lamp用户的组身份返回为lamp组

2、SetGID针对目录的作用

◆ 普通用户必须对此目录拥有r和x权限，才能进入此目录。

◆ 普通用户在此目录中的有效组会变成此目录的属组。

◆ 若普通用户对此目录拥有w权限时，新建的文件的默认属组是这个目录的属组。

3、设定SetGID

◆ 2代表SGID

● chmod 2755 文件名

● chmod g+s 文件名

 

[root@localhost ~]# cd /tmp/

[root@localhost tmp]# mkdir test

[root@localhost tmp]# chmod g+s test/

[root@localhost tmp]# ll -d test/

[root@localhost tmp]# chmod 777 test/

[root@localhost tmp]# su - lamp

[lamp@localhost ~]$ cd /tmp/test/

[lamp@localhost test]$ touch abc

[lamp@localhost test]$ ll

4、取消SetGID

◆ chmod 0755 文件名

◆ chmod g-s 文件名

3-4 Linux中Sticky BIT

1、SBIT粘着位作用

◆ 粘着位目前只对目录有效。

◆ 普通用户对该目录拥有w和x权限，即普通用户可以在此目录拥有写入权限。

◆ 如果没有粘着位，因为普通用户拥有w权限，所以可以删除此目录下所有文件，包括其他用户建立的文件。一旦赋予了粘着位，除了root可以删除所有文件，普通用户就算拥有w权限，也只能删除自己建立的文件，但是不能删除其他用户建立的文件。

注意：不建议手工建立拥有粘着位的目录。原因是必须要求这个目录其他人拥有7权限，这是极其不合理，不安全的。

2、设置与取消粘着位

◆ 设置粘着位

➢ chmod 1755 目录名

➢ chmod o+t 目录名

◆ 取消粘着位

➢ chmod 0777 目录名

➢ chmod o-t 目录名

[root@localhost ~]# ll -d /tmp/

drwxrwxrwt. 3 root root 4096 12月 13 11:22 /tmp/

4-1 Linux中不可改变位权限

不可改变位权限

chattr权限

1、chattr命令格式

● chattr [+-=] [选项] 文件或目录名

+：增加权限

-：删除权限

=：等于某权限

chattr支持的选项很多，其中最常见的包括：i和a

a等价于append​追加

i等价于insert​插入

◆ 选项

➢ i：如果对文件设置i属性，那么不允许对文件进行删除、改名，也不能添加和修改数据；如果对目录设置i属性，那么只能修改目录下文件的数据，但不允许建立和删除文件。

➢ a：如果对文件设置了a属性，那么只能在文件中增加数据（不能用vi增加，只能用追加输出重定向），但是不能删除也不能修改数据；如果对目录设置了a属性，那么只允许在目录中建立和修改文件，但是不允许删除。

2、查看文件系统属性

● [root@localhost ~]# lsattr 选项 文件名

● 选项：

● -a显示所有文件和目录

● -d若目标为目录，仅列出目录本身的属性，而不是子文件

 

到现在所有的常规权限都已经讲完了，现在就差两个东西（都比较复杂，绝大多数用户不需要知道）：pam用户验证（取代现在的密码验证）和selinux。