一、acl 許可權
如果我們只想要某一使用者對檔案或者有許可權,可以使用acl許可權。
1、檢視acl是否開啟
default mount options: user_xattr acl#預設開啟
#如果沒有開啟,手工開啟分割槽的 acl 許可權
[root@localhost ~]# mount -o remount,acl / # 重新掛載根分割槽,並掛載加入 acl 許可權
也可以通過修改/etc/fstab 檔案,永久開啟 acl 許可權
[root@localhost ~]# vi /etc/fstab
[root@localhost ~]# mount -o remount / #重新掛載 / 分割槽
2、acl 基本命令
getfacl 檔名 查詢檔案的 acl 許可權
[root@localhost ~]# getfacl /root
getfacl: removing leading '/' from absolute path names
# file: root
# owner: root
# group: root
user::r-x
group::r-x
other::---
setfacl 選項 檔名 設定 acl 許可權
-m 設定 acl 許可權
-b 刪除 acl 許可權
-r 只能對目錄使用,遞迴賦予許可權
-x 刪除單個使用者的 acl 許可權
用法: setfacl -m u:使用者名稱:許可權 檔名
setfacl -m g:組名:許可權 檔名
setfacl -x u:使用者名稱 檔名
[love2@localhost ~]$ ls /root
ls: 無法開啟目錄/root: 許可權不夠,此時我們可以對love2使用者授予acl許可權,使其能夠對/root目錄由訪問許可權。
[root@localhost ~]# setfacl -m u:love2:rx /root
注意:如果給目錄賦予 acl 許可權,兩條命令都要輸入,遞迴與預設的區別:
setfacl -m u:love2:rx -r /root 只對已經存在的檔案生效
setfacl -m d:u:love2:rx -r /root/ 只對以後新建的檔案生效
[root@c1 ~]# getfacl file1
# file: file1
# owner: root
# group: root
user::rw-
user:love2:rw-
user:love1:r--
group::r--
group:hr:rwx
mask::rwx
other::---
[root@c1 ~]# setfacl -m m::- file1 #設定mask許可權
[root@c1 ~]# getfacl file1
# file: file1
# owner: root
# group: root
user::rw-
user:love2:rw- #effective:---
user:love1:r-- #effective:---
group::r-- #effective:---
group:hr:rwx #effective:---
mask::---
other::---
#mask許可權除了不影響所有者和其他人的許可權,其他的都會影響。
#一旦重新設定acl許可權,mask許可權就會恢復。
[root@localhost ~]# setfacl -x u:love2 /root/ # 刪除指定使用者和使用者組的 acl 許可權
[root@localhost ~]# setfacl -b /root # 會刪除檔案的所有的 acl 許可權
普通使用者執行某些命令沒有許可權時,可使用sudo命令賦予部分管理員許可權。
1 root 身份:
visudo 賦予普通使用者許可權命令,命令執行後和 vim 一樣使用
#allow root to run any commands anywhere
root all=(all) all
#使用者名稱 目標主機= (可使用的身份) 授權命令(絕對路徑)
#allows people in group wheel to run all commands
%wheel all=(all) all
% 組名 被管理主機的位址 = (可使用的身份) 授權命令(絕對路徑)
1)授權使用者 love2 可以重啟伺服器,則visudo新增如下行:
[root@localhost ~]# visudo / vim /etc/sudoers
love2 all=(root) /sbin/shutdown –r now
[user1@localhost ~]$ sudo -l #檢視可用的授權
2)授權love2使用者可以新增其他普通使用者
love2 all=/usr/sbin/useradd #賦予 love2 新增使用者許可權.命令必須寫入絕對路徑
love2 all=/usr/bin/passwd
love2 all=/usr/bin/passwd [a-za-z0-9]*, !/usr/bin/passwd "", !/usr/bin/passwd root #賦予改密碼許可權,取消對 root 的密碼修改
切換love2 身份
sudo /usr/sbin/useradd love3
(一)許可權管理系統介紹
為什麼需要許可權管理 一 安全性 誤操作 人為破壞 資料洩露等 二 資料隔離 不同的許可權能看到及操作不同的資料 三 明確職責 運營 客服等不同角色,leader和dev等不同級別 許可權管理核心 一 使用者 許可權 人員少,功能固定,或者特別簡單的系統 二 rbac role based acce...
Linux 許可權管理篇(一)
可讀 r 可寫 w 可執行 x 檔案屬性 第一欄 執行list al後第一欄的十個標誌 1 10 1 d 目錄 檔案 l 連線檔 b 配置檔案裡可供儲存的介面裝置 c 配置檔案裡串列埠裝置 2 4 擁有人的許可權 5 7 同群組的許可權 8 10 其他非本群組的許可權 如果是目錄性質的話,沒有可執行...
許可權管理(一)初識spring security
pom檔案 security元件 org.springframework.boot spring boot starter security org.springframework.boot spring boot starter web 熱部署使用 org.springframework.boot...