linux系统对访问控制(ACL)权限和chattr,lsattr命令的实现

简介:

1.对分区添加一个ACL访问控制的权限和增加用户

[root@localhost ~]# mount -o remount,acl /dev/md0  /mnt/sdb
[root@localhost ~]# useradd user1
[root@localhost ~]# useradd user2

 

2.关于用户对目录的权限授权

[root@localhost ~]# setfacl -m u:user1:rwx /mnt/sdb   --设置/mnt/sdb目录对user1用户可以读写
[root@localhost ~]# setfacl -m u:user2:rx /mnt/sdb    --设置/mnt/sdb目录对user2用户可以读

-m, --modify=acl        修改当前ACP策略或者文件
-M, --modify-file=file  修改文件的ACL
-x, --remove=acl        移除当前ACP策略或者文件

-X, --remove-file=file  移除文件的ACL

-b, --remove-all        回收所有ACL策略

-k, --remove-default    回收默认的ACL权限

 

3.测试是否生效

[root@localhost ~]# su - user1     --连接user1用户
[user1@localhost ~]$ cd /mnt/sdb
[user1@localhost sdb]$ mkdir qw    --user1用户可以写入文件
[user1@localhost sdb]$ touch 1.txt
[user1@localhost sdb]$ exit
logout
[root@localhost ~]# su - user2    --连接user2用户
[user2@localhost ~]$ cd /mnt/sdb
[user2@localhost sdb]$ mkdir as     --不能创建目录
mkdir: cannot create directory `as': Permission denied
[user2@localhost sdb]$ touch 2.txt    --不能写入文件
touch: cannot touch `2.txt': Permission denied
[user2@localhost sdb]$

 

4.查看文件是否的控制权限和取消控制权限

[user2@localhost sdb]$ getfacl 1.txt     --查看文件权限
# file: 1.txt
# owner: user1
# group: user1
user::rw-
group::rw-
other::r--
[user2@localhost sdb]$ getfacl qw    --查看目录权限
# file: qw
# owner: user1
# group: user1
user::rwx
group::rwx
other::r-x
[root@localhost ~]# setfacl  -x u:user1  /mnt/sdb     --用-x取消权限
[root@localhost ~]# getfacl /mnt/sdb     --查看取消之后的权限
getfacl: Removing leading '/' from absolute path names
# file: mnt/sdb
# owner: root
# group: root
user::rwx
user:user2:r-x
group::r-x
mask::r-x
other::rwx
[root@localhost ~]#

 

5.使用chattr,lsattr对文件加特殊权限,对文件夹无用

A:文件或目录的 atime (access time)不可被修改(modified), 可以有效预防例如手提电脑磁盘I/O错误的发生。 

S:硬盘I/O同步选项,功能类似sync。

a:只能向文件中添加数据,而不能删除,多用于服务器日志文 件安全,只有root才能设定这个属性。

c:即compresse,设定文件是否经压缩后再存储。读取时需要经过自动解压操作。

d:即no dump,设定文件不能成为dump程序的备份目标。

i:设定文件不能被删除、改名、设定链接关系,同时不能写入或新增内容,i参数对于文件系统的安全设置有很大帮助。

s:保密性地删除文件或目录,如果文件删除即将完全删除,无法找回。

u:与s相反,当设定为u时,数据内容其实还存在磁盘中,可以找回.

各参数选项中常用到的是a和i.a选项强制只可添加不可删除,多用于日志系统的安全设定

 

(1)不能修改文件访问时间

[root@node2 home]# touch 1.txt
[root@node2 home]# ll 1.txt 
-rw-r--r--. 1 root root 0 May  8 16:43 1.txt
[root@node2 home]# chattr +A 1.txt 
[root@node2 home]# touch 1.txt
[root@node2 home]# ll 1.txt 
-rw-r--r--. 1 root root 0 May  8 16:43 1.txt     --与上一次访问时间没有变
[root@node2 home]# 


(2)不能删除文件

[root@node2 home]# touch 1.txt
[root@node2 home]# lsattr  1.txt        --查看文件是否有特殊权限
-------------e- 1.txt
[root@node2 home]# chattr  +i 1.txt     --给文件加特殊权限
[root@node2 home]# lsattr  1.txt
----i--------e- 1.txt
[root@node2 home]# rm -rf 1.txt     --删除文件,无权限
rm: cannot remove `1.txt': Operation not permitted
[root@node2 home]# chattr  -i 1.txt     --删除特殊权限
[root@node2 home]# rm -rf 1.txt         --文件正确删除了
[root@node2 home]#

 

(3)只能追加内容,不能删除内容

[root@node2 home]# touch 2.txt
[root@node2 home]# chattr +a  2.txt     --添加特殊权限
[root@node2 home]# lsattr  2.txt          --查看特殊权限
-----a-------e- 2.txt
[root@node2 home]# echo '123' > 2.txt    --在文件中写入内容失败
-bash: 2.txt: Operation not permitted
[root@node2 home]# echo '123' >> 2.txt   --追加内容成功
[root@node2 home]# cat 2.txt
123
[root@node2 home]#

 










本文转自 z597011036 51CTO博客,原文链接:http://blog.51cto.com/tongcheng/1350397,如需转载请自行联系原作者
目录
相关文章
|
10月前
|
Linux 应用服务中间件 Shell
二、Linux文本处理与文件操作核心命令
熟悉了Linux的基本“行走”后,就该拿起真正的“工具”干活了。用grep这个“放大镜”在文件里搜索内容,用find这个“探测器”在系统中寻找文件,再用tar把东西打包带走。最关键的是要学会使用管道符|,它像一条流水线,能把这些命令串联起来,让简单工具组合出强大的功能,比如 ps -ef | grep 'nginx' 就能快速找出nginx进程。
1023 1
二、Linux文本处理与文件操作核心命令
|
10月前
|
Ubuntu Linux Anolis
Linux系统禁用swap
本文介绍了在新版本Linux系统(如Ubuntu 20.04+、CentOS Stream、openEuler等)中禁用swap的两种方法。传统通过注释/etc/fstab中swap行的方式已失效,现需使用systemd管理swap.target服务或在/etc/fstab中添加noauto参数实现禁用。方法1通过屏蔽swap.target适用于新版系统,方法2通过修改fstab挂载选项更通用,兼容所有系统。
893 3
Linux系统禁用swap
|
10月前
|
Linux
Linux系统修改网卡名为eth0、eth1
在Linux系统中,可通过修改GRUB配置和创建Udev规则或使用systemd链接文件,将网卡名改为`eth0`、`eth1`等传统命名方式,适用于多种发行版并支持多网卡配置。
1469 3
|
10月前
|
Linux
linux命令—stat
`stat` 是 Linux 系统中用于查看文件或文件系统详细状态信息的命令。相比 `ls -l`,它提供更全面的信息,包括文件大小、权限、所有者、时间戳(最后访问、修改、状态变更时间)、inode 号、设备信息等。其常用选项包括 `-f` 查看文件系统状态、`-t` 以简洁格式输出、`-L` 跟踪符号链接,以及 `-c` 或 `--format` 自定义输出格式。通过这些选项,用户可以灵活获取所需信息,适用于系统调试、权限检查、磁盘管理等场景。
648 137
|
10月前
|
安全 Ubuntu Unix
一、初识 Linux 与基本命令
玩转Linux命令行,就像探索一座新城市。首先要熟悉它的“地图”,也就是/根目录下/etc(放配置)、/home(住家)这些核心区域。然后掌握几个“生存口令”:用ls看周围,cd去别处,mkdir建新房,cp/mv搬东西,再用cat或tail看文件内容。最后,别忘了随时按Tab键,它能帮你自动补全命令和路径,是提高效率的第一神器。
1598 58
|
Ubuntu Linux 网络安全
Linux系统初始化脚本
一款支持Rocky、CentOS、Ubuntu、Debian、openEuler等主流Linux发行版的系统初始化Shell脚本,涵盖网络配置、主机名设置、镜像源更换、安全加固等多项功能,适配单/双网卡环境,支持UEFI引导,提供多版本下载与持续更新。
960 3
Linux系统初始化脚本
|
9月前
|
存储 安全 Linux
Linux卡在emergency mode怎么办?xfs_repair 命令轻松解决
Linux虚拟机遇紧急模式?别慌!多因磁盘挂载失败。本文教你通过日志定位问题,用`xfs_repair`等工具修复文件系统,三步快速恢复。掌握查日志、修磁盘、验重启,轻松应对紧急模式,保障系统稳定运行。
1490 2
|
10月前
|
Unix Linux 程序员
Linux文本搜索工具grep命令使用指南
以上就是对Linux环境下强大工具 `grep` 的基础到进阶功能介绍。它不仅能够执行简单文字查询任务还能够处理复杂文字处理任务,并且支持强大而灵活地正则表达规范来增加查询精度与效率。无论您是程序员、数据分析师还是系统管理员,在日常工作中熟练运用该命令都将极大提升您处理和分析数据效率。
804 16
|
10月前
|
缓存 监控 Linux
Linux内存问题排查命令详解
Linux服务器卡顿?可能是内存问题。掌握free、vmstat、sar三大命令,快速排查内存使用情况。free查看实时内存,vmstat诊断系统整体性能瓶颈,sar实现长期监控,三者结合,高效定位并解决内存问题。
908 0
Linux内存问题排查命令详解
|
11月前
|
运维 Linux 开发者
Linux系统中使用Python的ping3库进行网络连通性测试
以上步骤展示了如何利用 Python 的 `ping3` 库来检测网络连通性,并且提供了基本错误处理方法以确保程序能够优雅地处理各种意外情形。通过简洁明快、易读易懂、实操性强等特点使得该方法非常适合开发者或系统管理员快速集成至自动化工具链之内进行日常运维任务之需求满足。
688 18