檔案訪問控制列表

2022-09-11 10:03:13 字數 1889 閱讀 4483

檔案訪問控制列表

一般許可權、特殊許可權、隱藏許可權其實有乙個共性—許可權是針對某一類使用者設定的。如果希望對某個指定的使用者進行單獨的許可權控制,就需要用到檔案的訪問控制列表(acl)了。通俗來講,基於普通檔案或目錄設定acl其實就是針對指定的使用者或使用者組設定檔案或目錄的操作許可權。另外,如果針對某個目錄設定了acl,則目錄中的檔案會繼承其acl;若針對檔案設定了acl,則檔案不再繼承其所在目錄的acl。

setfacl命令

setfacl命令用於管理檔案的acl規則,格式為「setfacl [引數] 檔名稱」。檔案的acl提供的是在所有者、所屬組、其他人的讀/寫/執行許可權之外的特殊許可權控制,使用setfacl命令可以針對單一使用者或使用者組、單一檔案或目錄來進行讀/寫/執行許可權的控制。其中,針對目錄檔案需要使用-r遞迴引數;針對普通檔案則使用-m引數;如果想要刪除某個檔案的acl,則可以使用-b引數。

常用引數:

-r:遞迴引數,針對目錄檔案時使用;

-m:針對普通檔案時使用;

-b:刪除檔案或目錄的acl;

getfacl命令

getfacl命令用於顯示檔案上設定的acl資訊,格式為「getfacl 檔名稱」。要設定acl,用的是setfacl命令;要想檢視acl,則用的是getfacl命令。

su命令與sudo服務

linux系統為了安全性考慮,使得許多系統命令和服務只能被root管理員來使用,但是這也讓普通使用者受到了更多的許可權束縛,從而導致無法順利完成特定的工作任務。

su命令

su命令可以解決切換使用者身份的需求,使得當前使用者在不退出登入的情況下,順暢地切換到其他使用者,比如從root管理員切換至普通使用者。

su命令與使用者名稱之間有乙個減號(-),這意味著完全切換到新的使用者,即把環境變數資訊也變更為新使用者的相應資訊,而不是保留原始的資訊。強烈建議在切換使用者身份時新增這個減號(-)。

sudo命令

sudo命令把特定命令的執行許可權賦予給指定使用者,這樣既可保證普通使用者能夠完成特定的工作,也可以避免洩露root管理員密碼。我們要做的就是合理配置sudo服務,以便兼顧系統的安全性和使用者的便捷性。sudo服務的配置原則也很簡單—在保證普通使用者完成相應工作的前提下,盡可能少地賦予額外的許可權。

sudo命令用於給普通使用者提供額外的許可權來完成原本root管理員才能完成的任務,格式為「sudo [引數] 命令名稱」。

sudo服務中的可用引數以及作用

-h   列出幫助資訊

-i   列出當前使用者可執行的命令

-u使用者名稱或uid值  以指定的使用者身份執行命令

-k   清空密碼的有效時間,下次執行sudo時需要再次進行密碼驗證

-b   在後台執行指定的命令

-p   更改詢問密碼的提示落

sudo命令具有如下功能:

限制使用者執行指定的命令:

記錄使用者執行的每一條命令;

配置檔案(/etc/sudoers)提供集中的使用者管理、許可權與主機等引數;

驗證密碼的後5分鐘內(預設值)無須再讓使用者再次驗證密碼。9

visudo命令

用於配置使用者許可權。使用該命令配置使用者許可權時將禁止多個使用者同時修改sudoers配置檔案,還可以對配置檔案內的引數進行語法檢查,並在發現引數錯誤時進行報錯。只有root管理員才能用visudo命令。

檔案訪問控制列表

一般許可權 特殊許可權 隱藏許可權其實有乙個共性 許可權是針對某一類使用者設定的。如果希望對某個指定的使用者進行單獨的許可權控制,就需要用到檔案的訪問控制列表 acl 了。通俗來講,基於普通檔案或目錄設定acl其實就是針對指定的使用者或使用者組設定檔案或目錄的操作許可權。另外,如果針對某個目錄設定了...

linux檔案訪問控制列表

一般許可權 特殊許可權 隱藏許可權其實有乙個共性 許可權是針對某一類使用者設定的。如果希望對某個指定的使用者進行單獨的許可權控制,就需要用到檔案的訪問控制列表 acl 了。通俗來講,基於普通檔案或目錄設定acl其實就是針對指定的使用者或使用者組設定檔案或目錄的操作許可權。另外,如果針對某個目錄設定了...

facl檔案訪問控制列表

檢視facl許可權 facl許可權匹配規則 mask 實驗facl 針對某個使用者單獨設定許可權,許可權設定精度更高 setfacl 給使用者新增許可權 setfacl m u zhangsan rwx file 給使用者組新增許可權 setfacl m g dev r file 刪除指定使用者的許...