# ACL 权限
# ACL 权限简介与开启
# ACL 权限简介
举一个例子,比如有一个课堂,老师需要共享某一个文件夹给学生,那么根据 ugo 的定义,应当赋予这个文件 u+rwx(老师 root 身份),g+rwx(学院 group 身份),o-rwx(其他人无任何权限)权限,也就是 770 权限,但是如果此时来了一个试听学员,她需要 rx 权限,怎么分配权限呢,注意一个文件只能有一个所属组,所以我们不能再建立新的所属组,这个时候没有办法 cover 第四重身份了,此时就轮到 ACL 登场了。要开启 ACL 权限,首先要让我们的分区支持 ACL 权限。
# 查看分区 ACL 权限是否开启
命令是 dumpe2fs -h /dev/sda3 ,dumpe2fs 命令是查询指定分区详细文件系统信息的命令,选项有 -h ,是指仅显示超级块中信息,而不显示磁盘块组的详细信息。
[root@core-pods-3 ~]# df -h | |
Filesystem Size Used Avail Use% Mounted on | |
devtmpfs 494M 0 494M 0% /dev | |
tmpfs 504M 0 504M 0% /dev/shm | |
tmpfs 504M 32M 472M 7% /run | |
tmpfs 504M 0 504M 0% /sys/fs/cgroup | |
/dev/sda2 22G 3.6G 17G 18% / | |
/dev/sda1 380M 257M 104M 72% /boot | |
tmpfs 101M 0 101M 0% /run/user/0 | |
[root@core-pods-3 ~]# dumpe2fs -h /dev/sda2 | |
dumpe2fs 1.42.9 (28-Dec-2013) | |
Filesystem volume name: ROOTPART | |
Last mounted on: / | |
Filesystem UUID: 3437f1a0-f850-4f1b-8a7c-819c5f6a29e4 | |
Filesystem magic number: 0xEF53 | |
Filesystem revision #: 1 (dynamic) | |
Filesystem features: has_journal ext_attr resize_inode dir_index filetype needs_recovery extent 64bit flex_bg sparse_super large_file huge_file uninit_bg dir_nlink extra_isize | |
Filesystem flags: signed_directory_hash | |
Default mount options: user_xattr acl # 注意:看这里,分区默认挂载时已经支持 ACL 了 | |
Filesystem state: clean | |
Errors behavior: Continue | |
Filesystem OS type: Linux | |
Inode count: 1411680 | |
Block count: 5664208 | |
Reserved block count: 283210 | |
Free blocks: 5142565 | |
Free inodes: 1381507 | |
First block: 0 | |
Block size: 4096 | |
Fragment size: 4096 | |
Group descriptor size: 64 | |
Reserved GDT blocks: 459 | |
Blocks per group: 32768 | |
Fragments per group: 32768 | |
Inodes per group: 8160 | |
Inode blocks per group: 510 | |
Flex block group size: 16 | |
Filesystem created: Mon Mar 13 20:42:02 2017 | |
Last mount time: Thu Jun 30 05:22:23 2022 | |
Last write time: Thu Jun 30 05:22:22 2022 | |
Mount count: 6 | |
Maximum mount count: -1 | |
Last checked: Thu Jun 30 05:21:29 2022 | |
Check interval: 0 (<none>) | |
Lifetime writes: 5368 MB | |
Reserved blocks uid: 0 (user root) | |
Reserved blocks gid: 0 (group root) | |
First inode: 11 | |
Inode size: 256 | |
Required extra isize: 28 | |
Desired extra isize: 28 | |
Journal inode: 8 | |
First orphan inode: 397698 | |
Default directory hash: half_md4 | |
Directory Hash Seed: a41b78fd-a9ee-4636-9d8c-aec49be071df | |
Journal backup: inode blocks | |
Journal features: journal_incompat_revoke journal_64bit | |
Journal size: 64M | |
Journal length: 16384 | |
Journal sequence: 0x00004c29 | |
Journal start: 6074 |
# 临时开启分区 ACL 权限
如果上面查询时没有查到 acl 权限,可以使用命令临时设置挂载 acl 权限,命令是 mount -o remount,acl , -o 支持特殊挂载选项,该命令意思是重新挂载根分区,并在挂载时加入 acl 权限。
# 永久开启分区 ACL 权限
linux 永久修改某项配置一般都是改配置文件,我们这里要改的是 vi /etc/fstab ,然后使用命令 mount -o remount 重新挂载文件系统或重启系统,使修改生效。fstab 文件是系统开机自动挂载的文件。
# | |
# /etc/fstab | |
# Created by anaconda on Mon Mar 13 20:42:02 2017 | |
# | |
# Accessible filesystems, by reference, are maintained under '/dev/disk' | |
# See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info | |
# | |
# 通常 defaults 都支持 acl,如果不支持,在 defaults 后面加以下即可 defaults,discard,noatime,acl | |
# 这里通常不会写入光盘分区,因为如果启动时光驱里没有光盘,系统启动会出现问题 | |
# 改这个文件一定要小心 | |
UUID=3437f1a0-f850-4f1b-8a7c-819c5f6a29e4 / ext4 defaults,discard,noatime 1 1 | |
UUID=ad1361f7-4ab4-4252-ba00-5d4e5d8590fb /boot ext3 defaults,discard,noatime 1 2 | |
/swap none swap sw 0 0 |
# 查看与设定 ACL 权限
# 设定 ACL 权限的命令
首先我们来设定 ACL 权限,然后再查询 ACL 权限,ACL 权限设定的命令是 setfacl 选线 文件名 ,有如下选项:
- -m:设定 ACL 权限,这一节主要看这个选项!
- -x:删除指定的 ACL 权限
- -b:删除所有的 ACL 权限
- -d:设定默认 ACL 权限
- -k:删除默认 ACL 权限
- -R:递归设定 ACL 权限
以最上面课堂老师共享文件夹为例 (下面是在 root 下操作,真实情况不推荐在 root 目录下创建文件或文件夹)
[root@core-pods-3 ~]# mkdir project | |
[root@core-pods-3 ~]# chmod -R 770 project/ | |
[root@core-pods-3 ~]# useradd bimm | |
[root@core-pods-3 ~]# useradd cangls | |
[root@core-pods-3 ~]# groupadd tgroup | |
[root@core-pods-3 ~]# gpasswd -a bimm tgroup | |
Adding user bimm to group tgroup | |
[root@core-pods-3 ~]# gpasswd -a cangls tgroup | |
Adding user cangls to group tgroup | |
[root@core-pods-3 ~]# cat /etc/group|grep tgroup | |
tgroup:x:1021:bimm,cangls | |
[root@core-pods-3 ~]# chown root:tgroup project/ | |
[root@core-pods-3 ~]# ll -d project/ | |
drwxrwx--- 2 root tgroup 4096 Aug 9 11:20 project/ | |
[root@core-pods-3 ~]# useradd st # 添加试听用户 | |
[root@core-pods-3 ~]# passwd st | |
[root@core-pods-3 ~]# setfacl -m u:st:rx project/ # 给用户分配 acl 权限 | |
[root@core-pods-3 ~]# ll -d project/ # 注意下面出现的 “+” 号 | |
drwxrwx---+ 2 root tgroup 4096 Aug 9 11:20 project/ | |
[root@core-pods-3 ~]# getfacl project/ | |
# file: project/ | |
# owner: root | |
# group: tgroup | |
user::rwx | |
user:st:r-x | |
group::rwx | |
mask::rwx | |
other::--- | |
[root@core-pods-3 ~]# groupadd tgroup2 # 给组分配 acl 权限 | |
[root@core-pods-3 ~]# setfacl -m g:tgroup2:rwx project/ |
# 查看 ACL 命令
通常查看 ACL 权限的命令是 getfacl 文件名 ,
[root@core-pods-3 ~]# getfacl test.sh | |
# file: test.sh | |
# owner: root | |
# group: root | |
user::rwx | |
group::r-- | |
other::r-- | |
[root@core-pods-3 ~]# getfacl project/ | |
# file: project/ | |
# owner: root | |
# group: tgroup | |
user::rwx | |
user:st:r-x | |
group::rwx | |
mask::rwx | |
other::--- |
# 最大有效权限与删除 ACL 权限
# 最大有效权限 mask
mask 是用来指定最大有效权限的。如果我给用户赋予了 ACL 权限,是需要和 mask 的权限 “相与” 才能得到用户的真正权限。
| A | B | and |
|---|---|---|
| r | r | r |
| r | - | - |
| - | r | - |
| - | - | - |
[root@core-pods-3 ~]# getfacl project/ | |
# file: project/ | |
# owner: root | |
# group: tgroup | |
user::rwx | |
user:st:r-x | |
group::rwx | |
mask::rwx | |
other::--- |
比如上面的 st(试听)用户,赋予的就是 ACL 权限 r-x,而 mask 权限是 rwx,所以与操作后是 r-x,那么 st 的最终用户权限,或者说实际用户权限就是 r-x,与操作即:
r - x
& r w x
————————
r - x
我们可以尝试修改最大权限,来试图改变 st 用户的 ACL 权限。
[root@core-pods-3 ~]# setfacl -m m:rx project/ | |
[root@core-pods-3 ~]# getfacl project/ | |
# file: project/ | |
# owner: root | |
# group: tgroup | |
user::rwx | |
user:st:r-x | |
group::rwx #effective:r-x # 注意这里多出来的,所属组真实权限受影响 | |
group:tgroup2:rwx #effective:r-x # 注意这里多出来的,ACL 组真实权限受影响 | |
mask::r-x | |
other::--- |
# 删除 ACL 权限
删除 ACL 权限的命令是 setfacl -x u:用户名 文件名 ,使用此命令删除指定用户的 ACL 权限。对于用户组,可以使用命令 setfacl -x g:组名 文件名 来删除指定用户组的 ACL 权限。也可以使用选项 -b 来直接删除所有的 ACL 权限(这里包含用户和用户组)。
[root@core-pods-3 ~]# setfacl -x g:tgroup2 project/ | |
[root@core-pods-3 ~]# getfacl project/ | |
# file: project/ | |
# owner: root | |
# group: tgroup | |
user::rwx | |
user:st:r-x | |
group::rwx | |
mask::rwx | |
other::--- | |
[root@core-pods-3 ~]# setfacl -b project/ | |
[root@core-pods-3 ~]# getfacl project/ | |
# file: project/ | |
# owner: root | |
# group: tgroup | |
user::rwx | |
group::rwx | |
other::--- | |
[root@core-pods-3 ~]# ll -d project/ # 注意下面没有 “+” 号了 | |
drwxrwx--- 2 root tgroup 4096 Aug 9 11:20 project/ | |
[root@core-pods-3 ~]# |
# 默认 ACL 权限和递归 ACL 权限
# 递归 ACL 权限
递归的意思是指对父目录设定 ACL 权限时,该目录下的所有子目录和子文件也会拥有相同的 ACL 权限。该命令是 setfacl -m u:用户名:权限 -R 文件名 。演示如下:
[root@core-pods-3 ~]# ll project/ # project 目录下创建一个文件夹和一个文件 | |
total 4 | |
drwxr-xr-x 2 root root 4096 Aug 9 23:12 test | |
-rw-r--r-- 1 root root 0 Aug 9 23:13 test.sh | |
[root@core-pods-3 ~]# setfacl -m u:st:rx project # 给 project 文件夹添加 ACL 权限 | |
[root@core-pods-3 ~]# ll project/ # 发现 project 文件夹下子文件夹和子文件都还是没有 ACL | |
total 4 | |
drwxr-xr-x 2 root root 4096 Aug 9 23:12 test | |
-rw-r--r-- 1 root root 0 Aug 9 23:13 test.sh | |
[root@core-pods-3 ~]# setfacl -m u:st:rx -R project # 重新使用递归赋予 ACL 权限 | |
[root@core-pods-3 ~]# ll project/ # 发现 project 文件夹下子文件夹和子文件同时有 ACL | |
total 4 | |
drwxr-xr-x+ 2 root root 4096 Aug 9 23:12 test | |
-rw-r-xr--+ 1 root root 0 Aug 9 23:13 test.sh | |
[root@core-pods-3 ~]# cd project/ | |
[root@core-pods-3 project]# touch test1.sh # 但是 project 目录下后建的文件就没有这个 ACL 了 | |
[root@core-pods-3 project]# ll | |
total 4 | |
drwxr-xr-x+ 2 root root 4096 Aug 9 23:12 test | |
-rw-r--r-- 1 root root 0 Aug 9 23:16 test1.sh | |
-rw-r-xr--+ 1 root root 0 Aug 9 23:13 test.sh |
# 默认 ACL 权限
默认 ACL 的权限的作用是如果给父目录设定了 ACL 权限,那么父目录中所有新建的子文件都会继承父目录的 ACL 权限。但是从我们上一节的例子可以看到,我们新增的 test1.sh 文件是没有遵循父目录的 ACL 权限的,此时我们可以先使用命令 setfacl -m d:u:用户名:权限 -R 文件名 重新设下 project 目录的 ACL 权限(前面的 d 就是 default 的意思),这条命令是针对未来新建的文件生效,对于之前的文件不生效。
[root@core-pods-3 ~]# setfacl -m d:u:st:rx -R project/ | |
[root@core-pods-3 ~]# ll project/ | |
total 4 | |
drwxr-xr-x+ 2 root root 4096 Aug 9 23:12 test | |
-rw-r--r-- 1 root root 0 Aug 9 23:16 test1.sh | |
-rw-r-xr--+ 1 root root 0 Aug 9 23:13 test.sh | |
[root@core-pods-3 ~]# touch project/test2.sh | |
[root@core-pods-3 ~]# ll project/ | |
total 4 | |
drwxr-xr-x+ 2 root root 4096 Aug 9 23:12 test | |
-rw-r--r-- 1 root root 0 Aug 9 23:16 test1.sh | |
-rw-rw----+ 1 root root 0 Aug 9 23:29 test2.sh | |
-rw-r-xr--+ 1 root root 0 Aug 9 23:13 test.sh | |
[root@core-pods-3 ~]# |
# 文件特殊权限
# SetUID
# SetUID 的功能
- 只有可以执行的二进制程序才能设定 SUID 权限(当然普通文件也可以设,但是没有任何意义);
- 命令执行者要对该程序拥有 x(执行)权限(如果不能执行该文件,那也没有任何意义);
- 命令执行者在执行该程序时获得该程序文件属主的身份(在执行程序的过程中灵魂附体为文件的属主,暂时获得文件所有者身份);
- SetUID 权限只在该程序执行过程中有效,也就是说身份改变只在程序执行过程中有效,程序终止,身份消失;
为什么需要一个这样的功能呢?我们先看一个例子:下面的 passwd 二进制文件的所有者权限是 rws,这也就意味着在这个所有者的执行权限位有 SUID 权限,即 passwd 这条命令它有 SUID 的权限。
为什么要给它 SUID 权限呢,我们知道不仅 root 用户可以使用 passwd 修改密码并将其加密写入 /etc/shadow ,普通用户也可以执行 passwd 将自己的密码写入 /etc/shadow ,而 shadow 这个文件其实普通用户是无法访问且无法看到的,那为什么 passwd 可以以普通用户身份执行并修改 shadow 文件呢?
这其实说明普通用户在执行 passwd 时,其自身权限临时得到了提升,提升为 root 用户的权限了!也就是普通用户通过 root 用户的临时身份修改了 shadow 文件,将它的密码写入进去。
相对而言 cat 命令就没有 SUID 的权限,普通用户使用它是无法访问和修改 shadow 文件的。
[root@core-pods-3 ~]# whereis passwd | |
passwd: /usr/bin/passwd /etc/passwd /usr/share/man/man1/passwd.1.gz /usr/share/man/man5/passwd.5.gz | |
[root@core-pods-3 ~]# ll /usr/bin/passwd | |
-rwsr-xr-x 1 root root 27856 Mar 31 2020 /usr/bin/passwd | |
[root@core-pods-3 ~]# ll /etc/shadow | |
---------- 1 root root 2739 Aug 9 11:29 /etc/shadow | |
[root@core-pods-3 ~]# whereis cat | |
cat: /usr/bin/cat /usr/share/man/man1/cat.1.gz /usr/share/man/man1p/cat.1p.gz | |
[root@core-pods-3 ~]# ll /usr/bin/cat | |
-rwxr-xr-x 1 root root 54080 Nov 16 2020 /usr/bin/cat |
# 设定 SetUID 的方法
基本命令是 chmod 4755 文件名 或者 chmod u+s 文件名 ,其中第一条命令的 4 代表 SUID,第二条命令的 +s 也代表赋予 SUID 权限,如果第一条命令写为 2755 那么就是给组赋予 SGID 权限。如果是 1755 就是赋予 SBID 权限,如果是 7755 就是包含 4+2+1 的所有 SUID 权限(其实这种没啥意义了)
# 取消 SetUID 的方法
直接执行命令 chmod 755 文件名 或者 chmod u-s 文件名 把权限指回来即可。
[root@core-pods-3 ~]# touch abc | |
[root@core-pods-3 ~]# ll abc | |
-rw-r--r-- 1 root root 0 Aug 10 00:43 abc | |
[root@core-pods-3 ~]# chmod 4755 abc # 设定 SUID 权限 | |
[root@core-pods-3 ~]# ll abc | |
-rwsr-xr-x 1 root root 0 Aug 10 00:43 abc | |
[root@core-pods-3 ~]# chmod 755 abc # 覆盖 SUID 权限 | |
[root@core-pods-3 ~]# ll abc | |
-rwxr-xr-x 1 root root 0 Aug 10 00:43 abc | |
[root@core-pods-3 ~]# chmod u+s abc | |
[root@core-pods-3 ~]# ll abc | |
-rwsr-xr-x 1 root root 0 Aug 10 00:43 abc | |
[root@core-pods-3 ~]# chmod 644 abc # 取消可执行权限 | |
[root@core-pods-3 ~]# ll abc | |
-rw-r--r-- 1 root root 0 Aug 10 00:43 abc | |
[root@core-pods-3 ~]# chmod u+s abc | |
[root@core-pods-3 ~]# ll abc # 因为没有执行权限,变成了 S | |
-rwSr--r-- 1 root root 0 Aug 10 00:43 abc | |
[root@core-pods-3 ~]# |
一般系统自带的一些本身包含 SUID 权限的命令已经足够我们使用了,所以我们尽可能不要再去手动为某个命令设置 SUID 权限,这样可能会出现一些安全问题。比如说我们给 vi 设置 SUID 权限,如下,这个时候就出现问题了,此时我们换一个普通用户身份登录 ssh,这个普通用户可以通过 vi 的 SUID 权限直接修改 /etc/passwd ,将自己的 uid 改为 0(也就是改成和 root 相同的身份),这个时候就出现普通用户自己给自己赋予 root 用户权限的问题了。
[root@core-pods-3 ~]# whereis vim | |
vim: /usr/bin/vim /usr/share/vim /usr/share/man/man1/vim.1.gz | |
[root@core-pods-3 ~]# ll /usr/bin/vim | |
-rwxr-xr-x 1 root root 2337208 Dec 15 2020 /usr/bin/vim | |
[root@core-pods-3 ~]# chmod 4755 /usr/bin/vim | |
[root@core-pods-3 ~]# ll /usr/bin/vim | |
-rwsr-xr-x 1 root root 2337208 Dec 15 2020 /usr/bin/vim | |
# 此时使用普通用户身份登录 ssh 后可以修改 /etc/passwd 第三字段 UID,改为 0 | |
# 再次使用该普通用户身份登录 ssh,发现就是 root 身份 |
# 危险的 SetUID
SUID 权限是非常危险的,如果控制不严格会带来很多意想不到的风险,所以对于 SUID,我们应当遵循下述原则:
- 关键目录应该严格控制写权限。比如 “/”,“/usr” 等。
- 用户的密码设置要严格遵守密码三原则。
- 对系统中默认应该具有 SetUID 权限的文件作一列表,定时检查有没有这个之外的文件被设置了 SetUID 权限。
# SetGID
# SetGID 针对文件的作用
这个其实与 SetUID 权限的描述很相似,只不过是针对所属组的,SetGID 有如下作用:
- 只有可以执行的二进制程序才能设置 SGID 权限;
- 命令执行者要对该程序拥有 x(执行)的权限;
- 命令执行在执行程序的时候,组身份升级为该程序文件的属组;
- SetGID 权限同样只在该程序执行过程中有效,也就是说组身份改变只在程序执行过程中有效;
举个例子,我们比较常用的 locate 命令就启用了 SGID 权限,通过查看,mlocate.db 权限是 640,也就是普通用户其实没有权限访问 mlocate 这个 db 的(下述操作可以证实),但是事实上我们可以执行 locate,也就意味着我们可以通过 locate 命令访问 mlocate 这个 db,也就是当我使用普通用户操作 locate 命令时,其实相当于暂时获得了 slocate 这个组的权限,说明在执行过程中组权限有变化,我们能够行使 slocate 这个组的 r 权限,所以普通用户可以使用 locate 命令查询 mlocate.db 数据库。
# 下面是 root 用户身份操作记录 | |
[root@core-pods-3 ~]# whereis locate | |
locate: /usr/bin/locate /usr/share/man/man1/locate.1.gz | |
[root@core-pods-3 ~]# ll /usr/bin/locate # 可以看到有 SGID 权限,自身权限 711 | |
-rwx--s--x 1 root slocate 40520 Apr 10 2018 /usr/bin/locate | |
[root@core-pods-3 ~]# ll /var/lib/mlocate/mlocate.db # 可以看到这个数据库权限挺别扭,640 | |
-rw-r----- 1 root slocate 2615950 Aug 10 03:09 /var/lib/mlocate/mlocate.db | |
[root@core-pods-3 ~]# | |
# 下面是普通用户身份操作记录 | |
-bash-4.2$ whoami | |
st | |
-bash-4.2$ ll /usr/bin/locate | |
-rwx--s--x 1 root slocate 40520 Apr 10 2018 /usr/bin/locate | |
-bash-4.2$ ll /var/lib/mlocate/mlocate.db | |
ls: cannot access /var/lib/mlocate/mlocate.db: Permission denied | |
-bash-4.2$ | |
# 可以看到 st 用户所属组是 st,GID 是 1022 | |
-bash-4.2$ grep st /etc/passwd | |
st:x:666:1022::/home/st:/bin/bash | |
-bash-4.2$ grep 1022 /etc/group | |
st:x:1022: | |
# 尝试以普通用户身份执行 locate,完全可以 | |
-bash-4.2$ locate nginx.conf | |
/etc/nginx/nginx.conf | |
/etc/nginx/nginx.conf.default |
# SetGID 针对目录的作用
SGID 与 SUID 不同之处就是 SGID 可以针对目录授权。主要有以下作用:
- 普通用户必须对此目录拥有 r 和 x 权限,才能进入此目录;
- 普通用户在此目录中的有效组会变成此目录的属组;
- 若普通用户对此目录拥有 w 权限时,新建的文件的默认属组是这个目录的属组;
这个命令就不像给可执行文件授权那么危险了,我们可以举个例子,注意下面在 /tmp/test 里面和外面创建文件的所属组,可以看到 st 用户在外面创建的文件的所属组其实是 st,但是在 test 文件夹里面创建的文件所属组都是 root。这就是 SGID 针对目录的作用,其实这种场景在实际中应用不多。
[root@core-pods-3 ~]# mkdir /tmp/test | |
[root@core-pods-3 ~]# chmod 2777 /tmp/test/ | |
[root@core-pods-3 ~]# ll -d /tmp/test/ | |
drwxrwsrwx 2 root root 4096 Aug 10 09:30 /tmp/test/ | |
[root@core-pods-3 ~]# su - st | |
-bash-4.2$ cd /tmp/ | |
-bash-4.2$ touch abc | |
-bash-4.2$ ll abc | |
-rw-rw-r-- 1 st st 0 Aug 10 09:34 abc | |
-bash-4.2$ cd /tmp/test/ | |
-bash-4.2$ touch bcd | |
-bash-4.2$ ll | |
total 0 | |
-rw-rw-r-- 1 st root 0 Aug 10 09:35 bcd |
# Sticky BIT
Sticky 英文是黏着的意思,bit 是位,所以我们也称 Sticky BIT 位黏着位,这个命令不危险。SBIT 黏着位有以下作用:
- 黏着位目前只针对目录有效;
- 普通用户对该目录拥有 w 和 x 权限,即普通用户可以在此目录拥有写入权限;
- 如果没有黏着位,因为普通用户拥有 w 权限,所以可以删除此目录下所有文件,包括其他用户建立的文件。但是如果赋予了黏着位,除了 root 可以删除所有文件,普通用户就算拥有 w 权限,也只能删除自己建立的文件,但是不能删除其他用户建立的文件。
/tmp 目录是一个典型的例子,我们可以使用它来测试一下 SBID 的功能,我们用普通用户 st1 创建 1 个文件,然后用普通用户 st2 去删除该文件,可以发现无法删除:
[root@core-pods-3 ~]# ll -d /tmp/ # 注意权限位最后一个字母是 “t” | |
drwxrwxrwt. 11 root root 4096 Aug 10 09:51 /tmp/ | |
[root@core-pods-3 ~]# su - st1 | |
Last login: Wed Aug 10 09:52:13 EDT 2022 on pts/1 | |
[st1@core-pods-3 ~]$ touch /tmp/st1-test | |
[st1@core-pods-3 ~]$ ll /tmp/st1-test | |
-rw-rw-r-- 1 st1 st1 0 Aug 10 09:53 /tmp/st1-test | |
[st1@core-pods-3 ~]$ su - st2 | |
[st2@core-pods-3 ~]$ touch /tmp/st2-test | |
[st2@core-pods-3 ~]$ ll /tmp/st2-test | |
-rw-rw-r-- 1 st2 st2 0 Aug 10 09:53 /tmp/st2-test | |
[st2@core-pods-3 ~]$ rm -rf /tmp/st1-test | |
rm: cannot remove : Operation not permitted | |
[st2@core-pods-3 ~]$ |
设置黏着位
- chmod 1755 目录名
- chmod o+t 目录名
取消黏着位
- chmod 777 目录名
- chmod o-t 目录名
[root@core-pods-3 ~]# ll -d test | |
drwxr-xr-x 2 root root 4096 Aug 4 04:24 test | |
[root@core-pods-3 ~]# chmod 1755 test | |
[root@core-pods-3 ~]# ll -d test | |
drwxr-xr-t 2 root root 4096 Aug 4 04:24 test | |
[root@core-pods-3 ~]# chmod o-t test | |
[root@core-pods-3 ~]# ll -d test | |
drwxr-xr-x 2 root root 4096 Aug 4 04:24 test |
# 文件系统属性 chattr 权限
# chattr 命令格式
命令是 chattr [+-=] [选项] 文件或目录名 ,chattr 归根结底是为了防止误操作。
操作符有:
- +:增加权限
- -:删除权限
- =:等于某权限
选项有:
- i:如果对文件设置 i 属性,那么不允许对文件进行删除、改名,也不能添加和修改数据,相当于把文件锁起来了,该操作也对 root 生效,参照下方示例 1;如果对目录设置 i 属性,那么只能修改目录下文件的属性,但不允许建立和删除文件,相当于锁目录,参照下方示例 2。
- a:如果对文件设置 a 属性,那么只能在文件中增加数据,但是不能删除也不能修改数据,比上面的 i 宽松,也就是文件可以做 append 操作,参照示例 3;如果对目录设置 a 属性,那么只允许在目录中建立和修改文件,但是不允许删除,参照示例 4。
# 示例 1 | |
[root@core-pods-3 ~]# touch abc | |
[root@core-pods-3 ~]# ll abc | |
-rw-r--r-- 1 root root 0 Aug 10 10:17 abc | |
[root@core-pods-3 ~]# echo 111 >> abc | |
[root@core-pods-3 ~]# cat abc | |
111 | |
[root@core-pods-3 ~]# chattr +i abc # 赋予 i 权限 | |
[root@core-pods-3 ~]# ll abc | |
-rw-r--r-- 1 root root 4 Aug 10 10:18 abc | |
[root@core-pods-3 ~]# lsattr -a abc # 查看 i 权限 | |
----i--------e-- abc | |
[root@core-pods-3 ~]# echo 1111 >> abc | |
-bash: abc: Operation not permitted | |
[root@core-pods-3 ~]# rm abc | |
rm: remove regular file ? y | |
rm: cannot remove : Operation not permitted | |
[root@core-pods-3 ~]# cat abc | |
111 | |
# 示例 2 | |
[root@core-pods-3 ~]# mkdir test | |
[root@core-pods-3 ~]# touch test/bcd | |
[root@core-pods-3 ~]# chattr +i test/ | |
[root@core-pods-3 ~]# lsattr -a test/ | |
-------------e-- test/.. | |
----i--------e-- test/. | |
-------------e-- test/bcd | |
[root@core-pods-3 ~]# echo 2222 >> test/bcd | |
[root@core-pods-3 ~]# cat test/bcd | |
2222 | |
[root@core-pods-3 ~]# rm -rf test/bcd | |
rm: cannot remove : Operation not permitted | |
[root@core-pods-3 ~]# touch test/def | |
touch: setting times of : No such file or directory | |
[root@core-pods-3 ~]# chattr -i test/ | |
[root@core-pods-3 ~]# rm -rf test/bcd | |
[root@core-pods-3 ~]# touch test/cde | |
# 示例 3 | |
[root@core-pods-3 ~]# touch cde | |
[root@core-pods-3 ~]# echo 3333 >> cde | |
[root@core-pods-3 ~]# cat cde | |
3333 | |
[root@core-pods-3 ~]# chattr +a cde | |
[root@core-pods-3 ~]# echo 444 >> cde | |
[root@core-pods-3 ~]# cat cde | |
3333 | |
444 | |
[root@core-pods-3 ~]# vi cde # 不能用 vi 修改和追加,只能用 >> 追加 | |
[root@core-pods-3 ~]# echo 555 >> cde | |
[root@core-pods-3 ~]# cat cde | |
3333 | |
444 | |
555 | |
# 示例 4 | |
[root@core-pods-3 ~]# mkdir test2 | |
[root@core-pods-3 ~]# chattr +a test2 | |
[root@core-pods-3 ~]# touch test2/fgh | |
[root@core-pods-3 ~]# cd test2 | |
[root@core-pods-3 test2]# rm -rf fgh | |
rm: cannot remove : Operation not permitted | |
[root@core-pods-3 test2]# echo 111 >> fgh | |
[root@core-pods-3 test2]# cat fgh | |
111 |
# 查看文件系统属性
命令是 lsattr 选项 文件名 ,选项有:
- -a:显示所有文件和目录
- -d:若目标是目录,仅列出目录本身的属性,而不是子文件的
# 系统命令 sudo 权限
# sudo 权限
实际工作中可能某个人负责 root 用户权限,有时候一个人可能忙不过来,但是有些东西又要给维护,此时 root 可以把一部分只有管理员可以执行的权限赋予普通用户。
- root 把本来只能超级用户执行的命令赋予普通用户执行
- sudo 的操作对象是系统命令
# sudo 使用
root 用户可以使用 visudo 给普通用户赋予管理员权限,实际修改的是 /etc/sudoers 文件。也就是说直接 vi 改这个文件也是可以的
root ALL=(ALL) ALL
用户名 被管理主机的地址(访问主机)=(可使用的身份,当成root身份) 授权命令(绝对路径)
%wheel ALL=(ALL) ALL
组名 被管理主机的地址=(可使用的身份) 授权命令(绝对路径)
[root@core-pods-3 test2]# man visudo | |
[root@core-pods-3 test2]# man 5 sudoers | |
[root@core-pods-3 test2]# vi /etc/sudoers | |
## Allow root to run any commands anywhere | |
root ALL=(ALL) ALL | |
## Allows people in group wheel to run all commands | |
%wheel ALL=(ALL) ALL |
# 授权 st 用户可以重启服务器
此时 st 可以执行重启命令
## Allow root to run any commands anywhere | |
root ALL=(ALL) ALL | |
st ALL=/sbin/shutdown -r now |
[root@core-pods-3 test2]# su - st | |
Last login: Wed Aug 10 09:51:10 EDT 2022 on pts/1 | |
su: warning: cannot change directory to /home/st: Permission denied | |
-bash: /home/st/.bash_profile: Permission denied | |
-bash-4.2$ sudo -l | |
We trust you have received the usual lecture from the local System | |
Administrator. It usually boils down to these three things: | |
#1) Respect the privacy of others. | |
#2) Think before you type. | |
#3) With great power comes great responsibility. | |
[sudo] password for st: | |
Matching Defaults entries for st on core-pods-3: | |
!visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR | |
LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT | |
LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET | |
XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin | |
User st may run the following commands on core-pods-3: | |
(root) /sbin/shutdown -r now # 注意这里 | |
-bash-4.2$ sudo /sbin/shutdown -r now |
切记不要赋予用户 vim 的 sudo 权限,否则普通用户就可以以 root 身份改任意文件了,下面就是这个反例:
## Allow root to run any commands anywhere | |
root ALL=(ALL) ALL | |
st ALL=/sbin/shutdown -r now | |
st1 192.168.0.156=/usr/bin/vim # 注意这里是本机 ip,不是来源 ip,也就是被访问的主机 ip |
