Linux基础-附加权限与ACL访问控制

目录
一、附加权限（特殊权限）
1、权限作用
2、权限分类
二、Set UID
1、简述
2、命令
3、实例
三、Set GID
1、简述
2、命令
3、实例
1）未设置SGID权限时，新建文件的属组，属于创建者的属组
2）当设置了SGID权限后，新建文件的属组，属于上层目录的属组
四、Sticky Bit
1、简述
2、命令
3、实例
1）未设粘滞位时，普通用户可任意删除文档
2）添加粘滞位后，普通用户将无法删除他人文档
五、ACL访问控制策略
1、简述
1）特殊权限的局限性：任何人只属于三种角色:属主、属组、其他人一无法实现更精细的控制
2）ACL访问控制策略：能够对个别用户、个别组设置独立的权限，大多数挂载的EXT3/4、XFS文件系统默认支持
2、命令
1）功能
2）格式
3）常用命令选项
3、实例
1）定义ACL控制策略
2）清除所有ACL控制策略

---

一、附加权限（特殊权限）

1、权限作用

叠加于权限位的u、g、o分组之上，用来传递程序执行身份、限制目录写入权等

2、权限分类

类别	字符表示	数字表示	叠加位置
Set UID	s	4	User的x位
Set GID	s	2	Group的x位
Sticky Bit	t	1	Other的x位

二、Set UID

1、简述

①Set UID简称为SUID权限，占用属主(User)的x位
②SUID权限显示为s或S，取决于属主是否有权限，仅对可执行的程序有意义
③当其他用户执行带SUID权限标记的程序时，具有此程序属主的身份和相应权限

2、命令

通过chmod命令添加，格式：chmod u+s 可执行的程序

3、实例

1. [root@localhost ~]# cp /bin/mkdir /bin/wu  #建立wu命令,功能与mkdir相同
3. [root@localhost ~]# chmod u+s /bin/wu    #添加SUID 权限
5. [root@localhost ~]# ls -l /bin/wu          #查看权限
7. -rwsr-xr-x. 1 root root 79760 Jun  6 17:00 /bin/wu
9. [root@localhost ~]# useradd wangwu   #添加用wangwu
11. [root@localhost ~]# su wangwu        #切换到用户wangwu
13. [wangwu@localhost root]$ wu /opt/wangwu   #在/opt下新建目录wangwu
15. [wangwu@localhost root]$ ls -ld /opt/wangwu  #查看权限
17. drwxrwxr-x. 2 root wangwu 6 Jun  6 17:12 /opt/wangwu
19. #普通用户可以用该程序在/目录下创建子目录

复制代码

三、Set GID

1、简述

①Set GID简称SGID权限，占用属组(Group)的x位
②显示为s或S，取决于属组是否有权限，对目录有效
③在一个具有SGID权限的目录下，新建的文档会自动继承此目录的属组身份

2、命令

通过chmod命令添加，格式：chmod g+s 目录

3、实例

1）未设置SGID权限时，新建文件的属组，属于创建者的属组

1. [root@localhost ~]# groupadd zhaoliu     #创建组zhaoliu
3. [root@localhost ~]# mkdir /opt/zhaoliu    #在/opt下创建目录zhaoliu
5. [root@localhost ~]# chown :zhaoliu /opt/zhaoliu  #修改zhaoliu目录属组为zhaoliu
7. [root@localhost ~]# ls -ld /opt/zhaoliu      #查看属组
9. drwxr-xr-x. 2 root zhaoliu 6 Jun  6 17:34 /opt/zhaoliu
11. [root@localhost ~]# mkdir /opt/zhaoliu/zl   #在zhaoliu目录下创建子目录
13. [root@localhost ~]# ls -ld /opt/zhaoliu/zl    #查看属组
15. drwxr-xr-x. 2 root root 6 Jun  6 17:36 /opt/zhaoliu/zl

复制代码

2）当设置了SGID权限后，新建文件的属组，属于上层目录的属组

1. [root@localhost ~]# chmod g+s /opt/zhaoliu  #添加SUID 权限
3. [root@localhost ~]# ls -ld /opt/zhaoliu       #查看权限
5. drwxr-sr-x. 3 root zhaoliu 16 Jun  6 17:36 /opt/zhaoliu
7. [root@localhost ~]# mkdir /opt/zhaoliu/lz    #在/opt/zhaoliu下创建lz目录
9. [root@localhost ~]# ls -ld /opt/zhaoliu/lz     #查看权限，属组属于上层目录的属组
11. drwxr-sr-x. 2 root zhaoliu 6 Jun  7 11:11 /opt/zhaoliu/lz

复制代码

四、Sticky Bit

1、简述

①Sticky Bit权限又称粘滞位
②显示为t或T，取决于其他人是否有x权限，适用于目录，用来限制用户滥用写入权，占用其他人(0ther)的x位
③在设置了粘滞位的文件夹下，即使用户有写入权限，也不能删除或改名其他用户文档

2、命令

通过chmod命令添加，格式：chmod o+t 目录

3、实例

1）未设粘滞位时，普通用户可任意删除文档

1. [root@localhost ~]# mkdir -m 777 /opt/zhangqi   #创建目录zhangqi并将权限设为777
3. [root@localhost ~]# touch /opt/zhangqi/zq.txt    #在/opt/zhaoliu创建zq.txt文件
5. [root@localhost ~]# useradd zhangqi   #添加用zhangqi
7. [root@localhost ~]# su zhangqi        #切换到用户zhangqi
9. [zhangqi@localhost root]$ rm -rf /opt/zhangqi/zq.txt   #成功删除zq.txt文件

复制代码

2）添加粘滞位后，普通用户将无法删除他人文档

1. [root@localhost ~]# chmod o+t /opt/zhangqi     #添加粘滞位
3. [root@localhost ~]# touch /opt/zhangqi/zq.txt    #在/opt/zhaoliu创建zq.txt文件
5. [root@localhost ~]# su zhangqi                #切换到用户zhangqi
7. [zhangqi@localhost root]$ cd /opt/zhangqi       #进入到/opt/zhangqi目录中
9. [zhangqi@localhost zhangqi]$ rm -rf zq.txt        #无法删除zq.txt文件
11. rm: cannot remove ‘zq.txt’: Operation not permitted

复制代码

五、ACL访问控制策略

1、简述

1）特殊权限的局限性：任何人只属于三种角色:属主、属组、其他人一无法实现更精细的控制


2）ACL访问控制策略：能够对个别用户、个别组设置独立的权限，大多数挂载的EXT3/4、XFS文件系统默认支持


2、命令

1）功能

setfacl 定义ACL控制策略
getfacl 查看ACL控制策略

2）格式

setfacl [选项] u:用户名:权限 文件|目录
setfacl [选项] g:组名:权限 文件|目录
getfacl [选项] 文件|目录

3）常用命令选项

①setfacl
-m:定义一条ACL策略
-x:清除指定的ACL策略
-b:清除所有已设置的ACL策略
-R:递归设置ACL策略

②getfacl
-t:使用制表符分隔的输出格式
-c:不显示注释表头
-R:递归显示ACL策略

3、实例

1）定义ACL控制策略

1. [root@localhost ~]# useradd liba     #创建liba
3. [root@localhost ~]# mkdir /opt/liba   #在/opt下创建liba目录
5. [root@localhost ~]# setfacl -m user:liba:r-x /opt/liba  
7. #为liba目录设置acl策略，使用户liba具有rx权限
9. [root@localhost ~]# ls -ld /opt/liba    #查看权限
11. drwxr-xr-x+ 2 root root 6 Jun  7 14:56 /opt/liba
13. [root@localhost ~]# getfacl /opt/liba  #查看详情
15. ... ... ...
17. user:liba:r-x
19. ... ... ...

复制代码

2）清除所有ACL控制策略

1. [root@localhost ~]# setfacl -d /opt/liba   
3. #只清除添加的ACL控制策略，保留原有的rwx访问权限
5. [root@localhost ~]# getfacl /opt/liba  #再次查看详情，成功删除

复制代码

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！