作者:YSOcean出處:http://www.cnblogs.com/ysocean/鏈接:http://www.cnblogs.com/ysocean/p/7801329.html
Linux權限管理是Linux很重要的一項內容,重則引起用戶信息洩露,輕則導致文件錯亂和丟失。企業服務器裡有些目錄下面的東西暫時保密,不希望別人可以進入目錄並查看。有些文件希望別人可以看,但不能刪除。有些目錄只有root等管理員權限的賬戶才能修改,
Linux服務器供多個人登錄使用,要是沒有權限管理就亂了,大家都一樣的權限。有些維護系統的命令比較複雜,經驗豐富的管理員運行這些命令沒事,普通新用戶運行的話,可以會導致linux服務器癱瘓。
就像咱們日常生活中,全世界人的權限都一樣不就亂了嗎。
今天我們來介紹一下Linux權限管理的ACL權限,它是用戶管理結束之後必須要經歷的一步。Linux系統的用戶管理包括Linux用戶和用戶組管理之相關配置文件,用戶管理的相關配置文件,內容有用戶信息文件/etc/passwd,用戶密碼文件/etc/shadow;用戶組信息文件/etc/group,用戶組密碼文件/etc/gshadow。用戶的家目錄,以及用戶的模板目錄; Linux用戶和用戶組管理之用戶管理命令,管理用戶和用戶組的命令,包括新建、修改、查看等等以及用的比較多的切換用戶命令 su。
下面我們正式開始介紹:
1、什麼是 ACL 權限?
比如有如下場景:
某大牛在QQ群內直播講解Linux系統的權限管理,講解完之後,他在一個公有的Linux系統中創建了一個 /project 目錄,裡面存放的是課後參考資料。那麼 /project 目錄對於大牛而言是所有者,擁有讀寫可執行(rwx)權限,對於QQ群內的所有用戶他們都分配的一個所屬組裡面,也都擁有讀寫可執行(rwx)權限,而對於 QQ 群外的其他人,那麼我們不給他訪問/project 目錄的任何權限,那麼 /project 目錄的所有者和所屬組權限都是(rwx),其他人權限無。
問題來了,這時候直播有旁聽的人參與(不屬於QQ群內),聽完之後,我們允許他訪問/project目錄查看參考資料,但是不能進行修改,也就是擁有(r-x)的權限,這時候我們該怎麼辦呢?我們知道一個文件只能有一個所屬組,我們將他分配到QQ群所在的所屬組內,那麼他擁有了寫的權限,這是不被允許的;如果將這個旁聽的人視為目錄/project 的其他人,並且將/project目錄的其他人權限改為(r-x),那麼不是旁聽的人也能訪問我們/project目錄了,這顯然也是不被允許的。怎麼解決呢?
我們想想windows系統裡面給某個文件分配權限的辦法:
如上圖,我們想要讓某個用戶不具備某個權限,直接不給他分配這個目錄的相應權限就行了。那麼對應到Linux系統也是這樣,我們給指定的用戶指定目錄分配指定的權限,也就是 ACL 權限分配。
2、查看分區 ACL 權限是否開啟:dump2fs
我們看某個文件(Linux系統中目錄也是文件,一切皆是文件)是否支持 ACL 權限,首先要看文件所在的分區是否支持 ACL 權限。
①、查看當前系統有哪些分區:df -h
②、查看指定分區詳細文件信息:dumpe2fs -h 分區路徑
下面是查看 根分區/ 的詳細文件信息
3、開啟分區 ACL 權限
①、臨時開啟分區 ACL 權限
mount -o remount,acl /
重新掛載根分區,並掛載加入 acl 權限。注意這種命令開啟方式,如果系統重啟了,那麼根分區權限會恢復到初始狀態。
②、永久開啟分區 ACL 權限
一、修改配置文件 /etc/fstab
上面是修改根分區擁有 acl 權限
UUID=490ed737-f8cf-46a6-ac4b-b7735b79fc63 / ext4 defaults,acl 1 1
二、重新掛載文件系統或重啟系統,使得修改生效
mount -o remount /
4、設定 ACL 權限:setfacl 選項 文件名
①、給用戶設定 ACL 權限:setfacl -m u:用戶名:權限 指定文件名
②、給用戶組設定 ACL 權限:setfacl -m g:組名:權限 指定文件名
注意:我們給用戶或用戶組設定 ACL 權限其實並不是真正我們設定的權限,是與 mask 的權限“相與”之後的權限才是用戶的真正權限,一般默認mask權限都是rwx,與我們所設定的權限相與就是我們設定的權限。mask 權限下面我們會詳細講解
範例:所有者root用戶在根目錄下創建一個文件目錄/project,然後創建一個QQ群所屬組,所屬組裡面創建兩個用戶zhangsan和lisi。所有者和所屬組權限和其他人權限是770。
然後創建一個旁聽用戶 pt,給他設定/project目錄的 ACL 為 r-x。
目錄 /project 的所有者和所屬組其他人權限設定為 770。接下來我們創建旁聽用戶 pt,並賦予 acl 權限 rx
為了驗證 pt 用戶對於 /project 目錄沒有寫權限,我們用 su 命令切換到 pt 用戶,然後進入 /project 目錄,在此目錄下創建文件,看是否能成功:
上面提示權限不夠,說明 acl 權限賦予成功,注意如下所示,如果某個目錄或文件下有 + 標誌,說明其具有 acl 權限。
5、查看 ACL 權限:getfacl 文件名
6、最大有效權限 mask
前面第4點我們講過,我們給用戶或用戶組設定 ACL 權限其實並不是真正我們設定的權限,是與 mask 的權限“相與”之後的權限才是用戶的真正權限,一般默認mask權限都是rwx,與我們所設定的權限相與
就是我們設定的權限。
我們通過 getfacl 文件名 也能查看 mask 的權限,那麼我們怎麼設置呢?
setfacl -m m:權限 文件名
7、刪除 ACL 權限
①、刪除指定用戶的 ACL 權限
setfacl -x u:用戶名 文件名
②、刪除指定用戶組的 ACL 權限
setfacl -x g:組名 文件名
③、刪除文件的所有 ACL 權限
setfacl -b 文件名
8、遞歸 ACL 權限
通過加上選項 -R 遞歸設定文件的 ACL 權限,所有的子目錄和子文件也會擁有相同的 ACL 權限。
setfacl -m u:用戶名:權限 -R 文件名
9、默認 ACL 權限
如果給父目錄設定了默認的 ACL 權限,那麼父目錄中所有新建的子文件會繼承父目錄的 ACL 權限。
setfacl -m d:u:用戶名:權限 文件名
10、總結
本篇博客我們介紹了權限管理的ACL權限,通過設定 ACL 權限,我們為某個用戶指定某個文件的特定權限,在實際權限管理中還是用的比較多的
閱讀更多 程序員之言 的文章
