2. 程式人生 > >04-Linux系統ACL控制

04-Linux系統ACL控制

阿新 發佈:2018-06-05
Linux系統ACL控制

設定acl只能是root管理員用戶. 相關命令: getfacl , setfacl

acl基本用法

//環境準備
[root@localhost ~]# cp /etc/passwd /root/passwd
//文件在沒有設定acl, 看到的和傳統權限是一樣
[root@localhost ~]# ll passwd
-rw-r--r-- 1 root root 0 10-26 13:59 /home/test.txt

//使用getacl查看權限
[root@localhost ~]# getfacl passwd 
# file: passwd
# owner: root
# group: root
user::rw-   //文件owner權限
group::r--  //文件擁有組權限
other::r--  //其他人權限

設定acl權限案例如下:

-rw-r--r-- 1 root root 1380 Feb 27 11:25 passwd

alice 擁有讀寫權限    rw
bgx  沒有任何權限     -
jack 組擁有讀權限     r
匿名用戶擁有讀寫權限  rw

//建立相關用戶
[root@localhost ~]# useradd alice
[root@localhost ~]# useradd bgx
[root@localhost ~]# useradd jack

//增加用戶 alice 權限
[root@localhost ~]# setfacl -m u:alice:rw passwd

//增加用戶 bgx 權限
[root@localhost ~]# setfacl -m u:bgx:- passwd

//增加匿名用戶權限
[root@localhost ~]# setfacl -m o::rw passwd

//增加組權限
[root@localhost ~]# setfacl -m g:jack:r passwd

註意: 如果用戶同時屬於不同的兩個組,並且兩個組設定了acl訪問控制
    1.根據acl訪問控制優先級進行匹配規則
    2.如有用戶擁有多個組的權限不同的權限,優先使用最高權限(模糊匹配)

查看acl權限:

[root@localhost ~]# ll passwd
-rw-rw-rw-+ 1 root root 1531 Jan 26 07:52 passwd

[root@localhost ~]# getfacl passwd
# file: passwd
# owner: root
# group: root
user::rw-
user:bgx:---
user:alice:rw-
group::r--
group:jack:r--
mask::rw-
other::rw-

移除acl權限:

//移除jack組的acl權限
[root@localhost ~]# setfacl -x g:jack passwd

//移除bgx用戶的acl權限
[root@localhost ~]# setfacl -x u:bgx passwd

//移除文件和目錄所有acl權限
[root@localhost ~]# setfacl -b passwd

//刪除目錄的所有默認acl
[root@localhost ~]# setfacl -k dir

ACL實踐案例

案例1: 將新建文件的屬性修改tom:admin, 權限默認為644
要求: tom對該文件有所有的權限, mary可以讀寫該文件, admin組可以讀寫執行該文件, jack只讀該文件, 其他人一律不能訪問該文件

//實驗前, 建立幾個普通用戶
[root@localhost ~]# useradd tom
[root@localhost ~]# useradd bean
[root@localhost ~]# useradd mary
[root@localhost ~]# useradd jack
[root@localhost ~]# useradd sutdent
[root@localhost ~]# groupadd admin
[root@localhost ~]# gpasswd -a mary admin
[root@localhost ~]# gpasswd -a bean admin

//檢查用戶屬性
[root@linux-node1 ~]# id tom
uid=1004(tom) gid=1004(tom) groups=1004(tom)
[root@linux-node1 ~]# id mary
uid=1006(mary) gid=1006(mary) groups=1006(mary),1007(admin)
[root@linux-node1 ~]# id bean
uid=1005(bean) gid=1005(bean) groups=1005(bean),1007(admin)
[root@linux-node1 ~]# id jack
uid=1002(jack) gid=1002(jack) groups=1002(jack)
[root@linux-node1 ~]# id sutdent
uid=1007(sutdent) gid=1008(sutdent) groups=1008(sutdent)

//準備相關文件
[root@linux-node1 ~]# cp /etc/passwd /root/
[root@linux-node1 ~]# chown tom:admin passwd
[root@linux-node1 ~]# chmod 644 passwd

//檢查設定前的acl列表
[root@linux-node1 ~]# getfacl passwd
# file: passwd
# owner: tom
# group: admin
user::rw-
group::r--
other::r--

//設定acl權限
[root@linux-node1 ~]# setfacl -m u::rwx,u:mary:rw,u:jack:r,g:admin:rwx,o::- passwd

//檢查acl權限
[root@linux-node1 ~]# getfacl passwd
# file: passwd
# owner: tom
# group: admin
user::rwx
user:jack:r--
user:mary:rw-
group::r--
group:admin:rwx
mask::rwx
other::---

acl的控制規則是從上往下匹配的
tom由於他是文件的擁有者,所以直接按照user::rwx指定的權限去操作rwx
mary不是文件的擁有著, 從上往下找規則,發現user:mary:rw-能夠精確匹配mary用戶
盡管mary是屬於admin組,admin組有rwx的權限,但是由於mary的規則在前面,所有優先生效
bean由於找不到精確匹配bean用戶的規則, 而bean是屬於admin組,根據文件的定義,該文件是屬於admin組的, 所以bean的權限是按照group::rwx的權限去操作。rwx
jack不是文件的主人, 並且找到user:jack:r--, 所以只讀
student不是文件主人, 也找不到精確匹配的user定義規則, 也找不到相關組的定義規則,最後屬於other, 無任何權限

案例2: lab acl setup

controller組成員有:student
sodor組成員有:thomas,james

目錄: /shares/steamies
文件: /shares/steamies/file
腳本: /shares/steamies/test.sh

controller屬於該目錄的所屬組, 新建文件必須屬於controller組
sodor組的成員對該目錄擁有所有權限
sodor組成員james對該目錄及子目錄(包括以後新建立的文件)沒有任何權限

實際操作:

//準備用戶
[root@linux-node1 ~]# groupadd controller
[root@linux-node1 ~]# groupadd sodor
[root@linux-node1 ~]# useradd student -G controller
[root@linux-node1 ~]# useradd thomas -G sodor
[root@linux-node1 ~]# useradd james -G sodor

//準備目錄
[root@linux-node1 ~]# mkdir /shares/steamies -p
[root@linux-node1 ~]# echo "file" >> /shares/steamies/file
[root@linux-node1 ~]# echo "echo 123" >> /shares/steamies/test.sh
[root@linux-node1 ~]# chmod 755 /shares/steamies/test.sh
[root@linux-node1 ~]# chown -R  :controller /shares/steamies/

//設定權限(X表示,如果原本有執行權限就保留,如果沒有則不添加)
[root@linux-node1 ~]# setfacl -R -m g:sodor:rwX,u:james:- /shares/steamies/

//設定繼承規則
[root@linux-node1 ~]# setfacl -R -m d:g:sodor:rwX,d:u:james:- /shares/steamies/

04-Linux系統ACL控制

相關推薦

04-Linux系統ACL控制

Linux系統ACL控制設定acl只能是root管理員用戶. 相關命令: getfacl , setfacl acl基本用法 //環境準備 [root@localhost ~]# cp /etc/passwd /root/passwd //文件在沒有設定acl, 看到的和傳統權限是一樣 [root@local

Ubuntu 16.04 Linux系統核心升級

一 檢視系統及核心版本 檢視釋出版本號 cat /etc/issue lsb_release -a 檢視核心版本號 uname -sr uname -a 二 升級核心 Ubuntu核心下載網站:http://kernel.ubuntu.com/~kernel-pp

Ubuntu 16.04 Linux系統核心升級方法

Ubuntu 16.04 Linux系統核心升級方法 一、檢視系統及核心版本命令 #檢視釋出版本號 cat /etc/issue lsb_release -a #檢視核心版本號 uname -sr uname -a 二、升級核心方法 #到 Ubuntu網站http:/

LINUX系統作業控制

LINUX系統作業控制:job:前臺作業(foregroud):通過終端啟動,且啟動後一直佔據終端;後臺作業(backgroud):可以通過終端啟動,但啟動後即轉後入臺執行(釋放終端); 如何讓作業運行於後臺? (1)執行中的作業 CTRL+Z 【注意】送往後臺後,

記大問題:因為linux系統控制代碼數限制導致連不上mq的問題

在docker中模擬了數百臺客戶端連線執行在linux系統之上的mq,結果報連線不上的錯誤。 定位了好久,請教了一個前輩,在非常偶然的情況下發現了mq使用的控制代碼數為1021,而linux系統(沒有配置過)這個數值是1024,所以連線不上了 使用ulimit -n 655

LinuxACL權限控制以及用sudo設置用戶對命令的執行權限

以及 執行 nopasswd 設置 userdel file 指定 tool 必須 ACL權限分配 1.setfacl命令設置文件權限 setfacl -m u:user1:rw root.txt setfacl -m u:user2:rwx root.txt 2.getf

linux系統下的權限控制

str .cn images mod 大小 -1 系統 介紹 pad linux系統下的權限控制 1.文件權限 在我們的linux系統中,文件或目錄的權限可以分為3種: r:4 讀 w:2 寫 x:1 執行 示例: 644:(4+2) (4) (4) 第一個6:表

Linux系統管理 服務控制

linux服務控制系統安裝完成後的設置 1) 關閉防火墻 /etc/init.d/iptables stop 設置開機不加載 chkconfig iptables off 查看防火墻的狀態 iptables -L2)關閉selinux: 查看selinux的狀態 getenforc

文件系統訪問控制ACL設置

linu acc href -m nbsp ont 系統 def grep 1、傳統Linux文件系統權限的問題傳統Linux文件系統有三類用戶:文件屬主-u,組用戶-g,其它用戶-o,以及三種訪問權限:讀-r,寫-w,執行或目錄進入-x,但很多時候並不能滿足對文件訪問的細

Linux系統配置及服務管理_第04章權限管理

size 技術分享 權限設置 今天 tex ugo 服務 proc ado **大家好,很久沒更新博客了,最近實在是有點忙,以後的博客可能更新的時間不統一,請大家多多擔待,接下來開始今天的內容。 1.首先是基本權限UGO:簡介:文件權限設置: 可以賦於某個用戶或組 能夠以

Linux系統賬號安全控制

linux 安全 賬號控制 grub 一、基本安全1.系統賬號清理Linux中賬號有root,手工創建的,維護系統運作的,和非登錄用戶,常見的非登錄用戶有bin.daemon.adm.mail.nobody.apache.mysql.ftp等,其中一部分很少用到,可以刪除,如news.uucp

Linux系統桌面下實現遠程控制win7

Linux基礎在安裝好Linux系統桌面,實現從Linux遠程操控win7。本文沒有具體操作如何配置yum倉庫以及自動掛載光盤鏡像(so easy)具體操作如下圖:Linux系統桌面下實現遠程控制win7

Linux系統安全04使用iptables阻止訪問特定網站

tps sid string onf 系統安全 post eth ide PE 主要使用iptables的string擴展模塊,使用string參數阻止訪問特定網站的http/https服務,使用hex-string參數阻止對特定域名進行DNS解析。 比如,阻止訪問ba

MAC訪問控制機制在Linux系統中的實現:SELinux

SELinuxSELinux全稱:Security-Enhanced Linux,安全加強的Linux;SELinux系統的本來名稱為MAC:強制訪問控制;SELinux就是MAC訪問控制機制在Linux系統中的實現; 操作系統安全等級標準(橙皮書): D級別(最低安全級別) C級別:C1,

Django項目:CMDB(服務器硬件資產自動采集系統)--09--06CMDB測試Linux系統采集硬件數據的命令04

服務器 bsp add gdb 技術 服務器硬件 devel jpg oot root 123456 ip addr init 0 root 123456 ip addr root 123456 python3 y

百曉生帶你玩轉linux系統服務搭建系列----SSH遠程訪問及控制

登入 conf rsa nag 系列 配置 上傳 我們 shel 實驗環境:linux centos 6.5*2實驗目的:用戶登錄控制及密鑰對驗證 sshd服務默認允許root用戶登錄,當在Internet中使用時這是非常不安全的。普遍的做法是先以普通用戶遠程登入,進入安全

Linux(RadHat)基礎學習—系統服務控制及sshd服務

遠程 51cto 確認密碼 指定 認證 當前 開始 oot conn 1.系統服務 1.什麽是服務 系統服務(system services)是指執行指定系統功能的程序、例程或進程,以便支持其他程序,尤其是底層(接近硬件)程序。通過網絡提供服務時,服務可以在Active D

Linux系統之進程及服務的控制

user db2 3.3 -a 空間 text 什麽是 phi 虛擬 1、什麽是進程? ??系統中正在運行的程序。 2、圖形的進程查看方式 ??gnome-system-monitor 3、查看進程的命令 ??whatis?ps3.1ps??查看進程 3.2ps?a??查看

Linux系統之文件權限的控制

文件大小 roo 字符 http 部分 com soc 3.2 形式 1、權限存在的意義 ??為了文件或目錄的安全。 2、權限的識別 ??ls?-l?file?:識別文件權限。??ls?-ld?dir?:識別目錄權限。 3、權限的查看與理解 3.1文件權限的查看與理解 ??

淺談linux系統下的權限管理和進程及服務的控制

cal water 控制 權限列表 The 加載 pro 進程查看 e30 一、文件權限的管理 1、權限存在意義為了安全2、權限的識別ls -l file 文件的權限ls -ld dir 目錄的權限3、權限的查看與理解 rw-r--r-- 1 root r