一般許可權、特殊許可權、隱藏許可權其實有乙個共性—許可權是針對某一類使用者設定的。如果希望對某個指定的使用者進行單獨的許可權控制,就需要用到檔案的訪問控制列表(acl)了。通俗來講,基於普通檔案或目錄設定acl其實就是針對指定的使用者或使用者組設定檔案或目錄的操作許可權。另外,如果針對某個目錄設定了acl,則目錄中的檔案會繼承其acl;若針對檔案設定了acl,則檔案不再繼承其所在目錄的acl。
setfacl命令用於管理檔案的acl規則,格式為「setfacl [引數] 檔名稱」。檔案的acl提供的是在所有者、所屬組、其他人的讀/寫/執行許可權之外的特殊許可權控制,使用setfacl命令可以針對單一使用者或使用者組、單一檔案或目錄來進行讀/寫/執行許可權的控制。其中,針對目錄檔案需要使用-r遞迴引數;針對普通檔案則使用-m引數;如果想要刪除某個檔案的acl,則可以使用-b引數。
常用引數:
-r:遞迴引數,針對目錄檔案時使用;
-m:針對普通檔案時使用;
-b:刪除檔案或目錄的acl;
getfacl命令用於顯示檔案上設定的acl資訊,格式為「getfacl 檔名稱」。要設定acl,用的是setfacl命令;要想檢視acl,則用的是getfacl命令。
linux系統為了安全性考慮,使得許多系統命令和服務只能被root管理員來使用,但是這也讓普通使用者受到了更多的許可權束縛,從而導致無法順利完成特定的工作任務。
su命令可以解決切換使用者身份的需求,使得當前使用者在不退出登入的情況下,順暢地切換到其他使用者,比如從root管理員切換至普通使用者。
su命令與使用者名稱之間有乙個減號(-),這意味著完全切換到新的使用者,即把環境變數資訊也變更為新使用者的相應資訊,而不是保留原始的資訊。強烈建議在切換使用者身份時新增這個減號(-)。
sudo命令把特定命令的執行許可權賦予給指定使用者,這樣既可保證普通使用者能夠完成特定的工作,也可以避免洩露root管理員密碼。我們要做的就是合理配置sudo服務,以便兼顧系統的安全性和使用者的便捷性。sudo服務的配置原則也很簡單—在保證普通使用者完成相應工作的前提下,盡可能少地賦予額外的許可權。
sudo命令用於給普通使用者提供額外的許可權來完成原本root管理員才能完成的任務,格式為「sudo [引數] 命令名稱」
引數 作用
-h 列出幫助資訊
-1 列出當前使用者可執行的命令
-u 使用者名稱或uid值 以指定的使用者身份執行命令
-k 清空密碼的有效時間,下次執行sudo時需要再次進行密碼驗證
-b 在後台執行指定的命令
-p 更改詢問密碼的提示語
限制使用者執行指定的命令:
記錄使用者執行的每一條命令;
配置檔案(/etc/sudoers)提供集中的使用者管理、許可權與主機等引數;
驗證密碼的後5分鐘內(預設值)無須再讓使用者再次驗證密碼。
用於配置使用者許可權。使用該命令配置使用者許可權時將禁止多個使用者同時修改sudoers配置檔案,還可以對配置檔案內的引數進行語法檢查,並在發現引數錯誤時進行報錯。只有root管理員才能用visudo命令
1).給普通使用者passwd命令,並用普通使用者修改root密碼
進入visudo裡,顯示行號set nu ,在99行下處新增
2 檔案系統訪問控制列表
案例引入 系統中有兩個使用者tom,jerry,tom在公共目錄中希望讓jerry訪問 讀寫 你作為管理員應該如何實現?講解引入 tom使用者建立的檔案的屬主和屬組 基本組 都是tom,這就意味著jerry不屬於tom的基本組,就不能應用於組許可權,此時jerry訪問時會應用其他other許可權,如...
linux檔案訪問控制列表
一般許可權 特殊許可權 隱藏許可權其實有乙個共性 許可權是針對某一類使用者設定的。如果希望對某個指定的使用者進行單獨的許可權控制,就需要用到檔案的訪問控制列表 acl 了。通俗來講,基於普通檔案或目錄設定acl其實就是針對指定的使用者或使用者組設定檔案或目錄的操作許可權。另外,如果針對某個目錄設定了...
Linux系統檔案訪問控制列表
linux系統中的rwx許可權 特殊許可權 隱藏許可權都是對某一類使用者設定的,而如果希望對某個指定的使用者進行單獨的許可權設定的話就需要用到檔案的 訪問控制許可權了。我們可以對普通檔案或目錄進行設定acl,通俗來說acl就是設定指定的特定使用者或 使用者組對某個檔案的操作許可權。如果對某個目錄設定...