6、特殊权限和acl

特殊权限和acl

特殊权限

SUID:

运行某程序时，相应进程的属主是程序文件自身的属主，而不是

用户本身了,只对二进制程序有效,执行者对于程序需要有x权限

例子：passwd命令  需要在/etc/shadow中写入密码

      ls -l /bin/cat

  ls -l /etc/shadow

  chmod u+s file （如果本身具有x，为s，否则为S）

SGID：

  对于文件：运行某程序时，相应进程的属组是程序文件自身的属组，而不是用户本身的基本组

chmod g+s file

例子：locate命令  需要访问/var/lib/mlocate/mlocate.db文件

  对于目录：

          用户对此目录有rx权限可以进入目录

          用户进入此目录后，有效用户组会变成该目录的用户组

          若用户在此目录有w权限，则用户创建的文件用户组与该目录用户组相同

例如：

          一个团队想在linux某个目录下协同工作来做一个项目，那么每个团队成员都得对这个目录下的所有文件具有rwx权限。

          于是我们首先新建一个用户组，再新建几个账号，每个账号的用户组都加入刚才新建的那个用户组。

          再新建工作目录，权限设为770，把目录的用户组加上上一步新建的用户组。

          到这里为止，我们思考下会有什么问题？

          现在账号A新建一个文件，新建文件的拥有者和用户组都会是A！重要的是其他用户都无法访问这个文件！

          所以我们需要给这个目录加入SGID权限，之后任意一个用户创建的文件，文件用户组都会是这个目录的用户组。万事OK！

develop team , hadoop hbase hive

/tmp/project  三个用户可以编辑彼此之间创建的文件

#useradd hadoop hbase hive

#mkdir /tmp/project

#groupadd developteam

#chown -R :developteam /tmp/project

#chmod -R 770 /tmp/project

#usermod -a -G developteam hadoop

#chmod g+s /tmp/project

Sticky (BIT):

        只针对目录有效,当用户对目录拥有wx权限时，用户在该目录创建的文件或目录，只有自己与root才可以删除。

在一个公共目录，每个人都可以创建文件，删除自己的文件，

但是不能删除别人的文件（冒险位，粘贴位）

例子：chmod o+t dir

SUID是4  SGID是2    SBIT是1

    chmod 4755 filename

    第一个7代表的就是这三个特殊命令，后面的755是普通权限。上面的命令把filename这个文件加入了SUID权限

文件系统访问控制列表

FACL:filesystem access control list

利用文件的扩展属性，保存了额外的访问控制权限

getfacl  查看

setfacl  设置

语法：setfacl [-bkRd]  [-m|-x acl 参数]  目标文件名

选项与参数：

-m:设置后续的acl参数，不可与-x一起使用

-x: 删除后续的acl参数，不可与-m一起使用

-b:删除所有的acl参数

-k:删除默认的acl参数

-R:递归设置acl参数

-d:设置默认acl参数，只对目录有效

setfacl -m m:rw inittab

-m设定，可以设定到用户或者是组上

u:uid:perm

g:gid:perm

例子：

#mkdir /backup

#cd /backup

#cp /etc/inittab ./

#getfacl inittab

#setfacl -m u:redhat:rw inittab

owner>facl,user> group > facl group>

所有权限都不能超过mask的权限

setfacl -m m:rwx [filename or directory_name]

-x取消

setfacl -x u:uid file_name

为目录设定默认访问控制列表：

d:u:uid:perm file_name

mount -o acl /dev/myvg1/mylv1 /mnt

dumpe2fs -h /dev/myvg1/mylv1(查看是否支持ACL)

tune2fs -o

例子：   授权一个用户读权限

              setfacl -m u:lisa:r file

      Revoking  write  access  from  all  groups and all named users (using the

      effective rights mask)

  撤销所有的组和用户的写权限（使用有效的正确mask）

              setfacl -m m::rx file

      Removing a named group entry from a file’s ACL

  移除一个组的ACL权限

              setfacl -x g:staff file

      Copying the ACL of one file to another

  复制一个文件的ACL到另一个文件

              getfacl file1 | setfacl --set-file=- file2

      Copying the access ACL into the Default ACL

  复制访问的目录的ACL作为目录的默认ACL

              getfacl --access dir | setfacl -d -M- dir