RHCE课程-RH033Linux基础笔记八-文件强制位冒险位、ACL访问控制列表-阿里云开发者社区

开发者社区> 开发与运维> 正文

RHCE课程-RH033Linux基础笔记八-文件强制位冒险位、ACL访问控制列表

简介:
RHCE课程-初级部分8、文件强制位冒险位、ACL访问控制列表
以前我们讲过passwd 和shadow 还有group这三个文件,大家还记得吧?
passwd文件
vim /etc/passwd
image
复习下,大家告诉我,从开始到最后,以冒号分割,代表的意思?
michael:x:500:500:michael:/home/michael:/bin/bash
用户名:密码:UID:GID:用户描述:用户主目录:用户登录Shell
基本就这样了,不知道的自己看下。
shadow文件
vim /etc/shadow
image
用户名:密码:自1970/1/1 起,密码被修改的天数:两次修改口令间隔最少的天数:用户的密码不过期最多的天数:在口令过期之后多少天禁用此用户:用户过期日期(距1970/1/1的天数):保留字段(目前为空备将来Linux发展之用)
下面是一个很强大的命令:usermod
先建立一个用户:useradd redhat 
image
然后在passwd中查看这个用户
image
记得刚才我们说的用户描述吗?就是家目录前面那个,现在我们用 usermod -c  描述内容  redhat ,来改变这个参数,大家把这个参数改成 51cto
usermod -c 51cto redhat
image
我们来看看效果哈~
image
然后就是改变用户主目录的参数,也就是改变家目录,usermod -d 目录 redhat ,这个在FTP服务器中很有用
redhat 本来的家目录在哪?本来在/home/redhat哈~~,然后我们把它转移到 /home ,把home当成他的家目录。
usermod -d /home/ redhat
image
我们来看下生效后的效果哈
image
下面说说设置用户密码过期的时间,这个功能在某些时候挺有用处的,usermod -e 时间 redhat,时间的格式是 20081207 
开始这个用户是没有时间限制的
image
usermod -e 20081207 redhat 
image
看看效果哈
image
下面操作一下,先改成7号过期,然后在改成8号过期,看下时间有什么变化
image
我们发现时间已经加上一天了哈~~
image
我让你们改变过期时间就是想让你们发现时间的单位是天哈,当增加一天的时候,那个数字就会大1,不设置这个就不会过期
下面是-l参数改变用户的登录名字:usermod -l redhat1 redhat
把redhat的登录名字改成redhat1
image
我们发现改名生效了哈~
image
当你把usermod 命令用好了以后,你完全可以把group命令忘记,当你把配置文件学好了以后,基本都可以把这些命令忘记了-_-
还有两个参数很重要,-G和-g 谁告诉我,他们的区别? 
-g:改变用户的gid 
-G:将用户添加入一个新组
好了,下一个参数-s 改变用户的登陆shell
如果你想把某个用户改成虚拟用户,不让他登陆系统,就可以用这个命令把他的shell改成nologin 
系统支持的shell在/etc/shells这个目录里
image
最后两个比较重要的参数 
-L 锁住密码,使帐号不能用 
-U 为用户密码截锁
 
大家 把redhat1用户加锁,然后解锁
usermod -L redhat1
image
image
usermod -U redhat1
image
image
shadow文件在加锁和不加锁有什么区别?
在密码那行的第一个字符多了个! 这就是加锁的标志,但是也不排除MD5加密的时候那里也有个!
usermod <参数> <用户名> 
usermod命令的用法,相信大家都能总结出来了 
groupadd:添加一个组 
groupdel:删除一个已存在组 
groupmod –n 新组名 原组名,为一个组更改名字 
gpasswd –a 用户名 用户组,将一个用户添加入一个组。
这个几个命令大家看下就行了
who:查询当前在线的用户
image
我说一个命令,大家就运行看看,什么效果,好加深印象
w:查询当前在线用户的详细信息
image
groups:查询用户所属的组
image
id:显示当前用户信息
image
finger:查询用户信息
image
last:列出最近的用户登录
image
lastlog:列出每一个用户的最近登录情况
image
系统默认权限大家都知道了吧
文件的基数为:666 
文件夹的基数为:777
chmod和chown 以前讲过的。就先不讲了
下面的内容是冒险位和强制位,网上也有说成粘着位的,具体说法不重要,大家知道是怎么回事就OK了
大家还记得怎么看用户的权限掩码吗? 
umask
image 
我们以前教的是后面三位,当时没给大家说最前面那位,今天我们就学最前面那位,强制位与冒险位.
所谓的强制位和冒险位都是最最前面那个0的位置来表示,当前面那个位,2和4权限就叫强制位,1的权限就是冒险位,2代表的是GID,4代表的是uid,1代表的是sticky。这个和以前的不一样大家要区分下哈~~
下面给大家介绍gid,uid,sticky的作用
GID的作用:默认情况下,用户建立的文件属于用户当前所在的组但是设置了GID以后,表示在此目录中,任何人建立的文件,都会属于目录所属的组。注意:GID只能对目录设置
UID的作用:当一个文件设置了UID,那么所有用户执行这个文件的时候,都是以这个用户的所有者的权限来执行。
我们先来做两个实验:
建立一个目录 redhat:mkdir redhat
image
然后我们给他设置GID:chmod 2755 redhat/
image
大家发现文件的权限有什么变化吗?呵呵,那个s就是强制位的标志
我们把权限给他改回来:chmod 0755 redhat/
image
chmod g+s 文件名 用这个命令也可以给他设置GID
chmod g+s redhat/
image
设置GID,s位就应该在文件所属组。
image
chmod 2777 redhat/
image
现在这个目录权限是这样,你们说我换redhat用户进入建立文件,文件的所属者和所属组是谁?
你们自己看哦,我现在进去建立用户了,你们说结果会怎么样?
image
文件的所属者是redhat而所属组是root,这就是强制位2,设置GID的作用,大家都知道GID的作用了吧?这个在文件权限和团队使用文件目录很有用处
好了,下面我们说UID了,此UID非彼UID哈,强制位UID和用户UID大家要分开
你们的普通用户可以重启系统吗?我的反正是不行滴哈~~~
image
好了,我们要用强制位的UID来让普通用户可以重启系统哈
先找到重启系统的可执行文件:which reboot
image
我们给这个文件设置UID :chmod u+s /usr/bin/consolehelper
image
设置成功后这个命令变成了红色,说明是个高风险的命令
现在我们用redhat看能不能重启系统哈
image
实验失败,又被SELINUX设置了。这次只是没有提示必须超级用户才能使用,但是没达到我们的目的。
先把这个权限改回来
image
我们换个命令shutdown -h now
image
普通用户不能执行,没有PATH,我们先给他添加PATH 
shutdown命令的可执行文件在/sbin/shutdown
image
vim .bash_profile
image
添加一个/sbin
image
检查下看看,已经有了哈
image
我们来对/sbin/shutdown设置UID哈:chmod u+s /sbin/shutdown
image
我们现在用redhat帐号来看看效果哈~~~:shutdown -h now
image
redhat可以使用shutdown了哈~~~
image
image
image
这个命令本来就是ROOT才能使用,所以就不会被SELINUX限制,x权限只是能ls 而已,可以进入目录,等下44就知道了,执行也必须要有X,但是要执行还需要满足其他,比如环境变量,这个文件是否可以执行等等哈~
UID和GID大家还有没有问题?
这个命令不是这个用的,只是为了演示哈,关机还是用sudo实现比较好
UID和GID就OK了,下面就是sticky 
这个功能就更强了 ,当你们公司有一个交换目录的时候,大家都要对这个目录有写入权限,这样,别人就可以删除你的文件了,有什么办法不让别人删除你的文件呢?当然sticky可以满足,你们还有其他方法吗?
大家建立一个 test目录,为了方便其他人在这个目录写入东西,我们给777的权限
image
然后进入这个目录,建立一个文件file,你们说,这个file普通用户可以删除吗?权限是644
image
哈,答案是普通用户是可以删除的哈。
image
这样的话改自己的文件的权限是没有用处的,这个时候我们就要用冒险位了,一旦目录上设置了冒险位,则表示在此目录中,只有文件的拥有者、目录的拥有者与系统管理员可以删除文件。这个也是对目录进行设置,我们给目录一个冒险位,仔细看变化哦
image
最后一个X变成了t,现在我们用 redhat去删除里面的文件file看看效果哈~
image
现在就不能删除里面的东西了,但是写入还是允许的。
image
ACL可以对某个文件设置该文件具体的某些用户的权限,意思就是通过ACL可以对一个文件权限做扩展,可以不同的用户对某个文件有不同的权限。
语法: 
getfacl <文件名> 
获取文件的访问控制信息
setfacl设置文件的acl 
-m 修改文件的acl 
-x  取消对文件的设置
setfacl –m  u:用户名:权限   文件名 
setfacl –m  g:组    名:权限   文件名 
setfacl –x 用户名 文件名 
setfacl –x g:组名 文件名
大家新建一个文件,然后使用getfacl来查看这个文件 :getfacl file
一个文件的标准权限就这这样,没有ACL的情况下
image
现在我们把redhat用户加上一个RWX的权限:setfacl -m u:redhat:rwx file
image
和设置ACL前有哪些区别?  
用ll看,权限后面有个+就可能是设置了文件权限,所以没必要没个文件都用gefacl 去看
在查看acl的内容时候,我们看见多了行,redhat 用户有了rwx的权限 
有兴趣的可以测试. 
然后我们用相似的命令把redhat组也加进去.给他RW的权限:setfacl -m g:redhat:rw file
image
现在我们取消redhat用户的权限:setfacl -x redhat file
image
我们发现user:redhat:rwx这一行已经没有了哈~
现在我们也取消redhat组的权限:setfacl -x g:redhat file
image
现在group:redhat:rw-这一行也没有了哈。
注意,撤消ACL操作: 
对用户直接加用户名字就可以了 
对组,在前面加g:组名









本文转自redking51CTO博客,原文链接:http://blog.51cto.com/redking/117945,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
开发与运维
使用钉钉扫一扫加入圈子
+ 订阅

集结各类场景实战经验,助你开发运维畅行无忧

其他文章