Linux之权限管理

目录

一、什么是ACL

二、操作步骤

[1. 添加测试目录、用户、组,并将用户添加到组, 并查看组是否正常建立](#1. 添加测试目录、用户、组,并将用户添加到组, 并查看组是否正常建立)

[2. 修改目录的所有者和所属组](#2. 修改目录的所有者和所属组)

[3. 设定权限](#3. 设定权限)

[4. 为临时用户分配权限](#4. 为临时用户分配权限)

[5. 验证acl权限](#5. 验证acl权限)

[6. 控制组的acl权限](#6. 控制组的acl权限)

三、mask最大权限

[1. 什么是最大权限](#1. 什么是最大权限)

四、删除ACL权限


一、什么是ACL

ACL是Access Control List的缩写,即访问控制列表。

思考如何实现以下权限:

  • 每个项目成员有一个自己的项目目录,对自己的目录有完全权限
  • 项目组中的成员对项目目录也有完全权限
  • 其他人对项目目录没有任何权限
  • 对于被分配进入项目的临时人员,只有读和执行权限,不能修改

二、操作步骤

1. 添加测试目录、用户、组,并将用户添加到组, 并查看组是否正常建立

java 复制代码
[root@localhost ~]# mkdir /project
[root@localhost ~]# useradd zs
[root@localhost ~]# useradd ls
[root@localhost ~]# groupadd tgroup
[root@localhost ~]# gpasswd -a zs tgroup
正在将用户"zs"加入到"tgroup"组中
[root@localhost ~]# gpasswd -a ls tgroup
正在将用户"ls"加入到"tgroup"组中
查看组是否正常建立
cat /etc/group

2. 修改目录的所有者和所属组

java 复制代码
[root@localhost /]# chown root:tgroup /project
[root@localhost /]# ll | grep project
drwxr-xr-x.   2 root tgroup    6 2月  24 00:28 project

3. 设定权限

java 复制代码
[root@localhost /]# chmod 770 /project
[root@localhost /]# ll | grep project
drwxrwx---.   2 root tgroup    6 2月  24 00:28 project

4. 为临时用户分配权限

增加临时用户:

useradd tempuser

给临时用户增加密码:

passwd tempuser

分配特定权限:

java 复制代码
setfacl -m u:tempuser:rx /project

查看赋权成功:

getfacl /project

5. 验证acl权限

1.切换到临时用户tempuser:su tempuser

2.验证可以进入project目录:cd /project

3.验证不能在project中创建文件:

6. 控制组的acl权限

  1. 创建一个组:groupadd temp

  2. 设置组的ACL:setfacl -m g:tempuser:rx /project

  3. 查看设置后的ACL:getfacl /project

  1. 创建一个用户: useradd temp02 更改密码:passwd temp02

  2. 将用户添加到temp组中:gpasswd -a temp02 temp

  3. 验证:

三、mask最大权限

1. 什么是最大权限

最大权限是指:如果给用户赋予了ACL权限,则用户所获取的权限并不是ACL所附的权限,而是赋予的ACL权限 与 mask权限 进行 "与" 操作 之后的权限。例如:user:tempuser:r-x 第一位是r, mask的第一位也是r, 则与操作后,用户有 r 的权限, user:tempuser:r-x 第二位是 - ,mask的第二位是 w,则与操作后用户则没有 w 的权限。

java 复制代码
[root@localhost ~]# getfacl /project
getfacl: Removing leading '/' from absolute path names
# file: project
# owner: root
# group: tgroup
user::rwx
     # 所属用户权限
user:tempuser:r-x
   # 临时用户权限
group::rwx
    # 所属组权限, 文件创建时的所属组
group:temp:r-x
  # 一般组的权限  创建的临时组
mask::rwx
   # 权限掩码,用来控制最大权限  ✨
other::---
java 复制代码
# 设置mask
[root@localhost ~]# setfacl -m m:rx /project
# 查看mask
[root@localhost ~]# getfacl /project
getfacl: Removing leading '/' from absolute path names
# file: project
# owner: root
# group: tgroup
user::rwx
user:tempuser:r-x
group::rwx			#effective:r-x
   # 所属组虽然设置的权限为rwx,但其实际的权限 r-x  ✨
group:temp:r-x
mask::r-x
    # 修改之后的mask

最大权限的作用:mask的默认值为rwx,即最大权限,任何其他的权限值和mask相"与"都会得到其自身; 可以通过调整mask的方式来控制分配给用户的最大权限,例如: mask值调整为 r-x ,则不管是否给用户分配"w"权限,用户都没有"w"的权限。mask可以用来避免权限分配不当而给系统带来的风险。

四、删除ACL权限

java 复制代码
# 删除指定ACL权限
[root@localhost ~]# setfacl -x u:tempuser /project
[root@localhost ~]# getfacl /project
getfacl: Removing leading '/' from absolute path names
# file: project
# owner: root
# group: tgroup
user::rwx
group::rwx
group:temp:r-x
mask::rwx
other::---
# 删除所有ACL权限
[root@localhost ~]# setfacl -b /project
[root@localhost ~]# getfacl /project
getfacl: Removing leading '/' from absolute path names
# file: project
# owner: root
# group: tgroup
+
user::rwx
group::rwx
other::---
# 注意: 权限没有 + 
[root@localhost ~]# ll -d /project
drwxrwx---. 2 root tgroup 6 8月  23 13:07 /project
相关推荐
o不ok!1 分钟前
Linux面试问题-软件测试
linux·运维·服务器
DaxiaLeeSuper22 分钟前
Prometheus+Grafana+node_exporter监控linux服务器资源的方案
linux·grafana·prometheus
尽兴-2 小时前
如何将多个.sql文件合并成一个:Windows和Linux/Mac详细指南
linux·数据库·windows·sql·macos
kfepiza2 小时前
Netplan 中 bridges、bonds、ethernets、vlans 之间的关系 笔记250711
linux·tcp/ip·shell
小小不董2 小时前
深入理解oracle ADG和RAC
linux·服务器·数据库·oracle·dba
狄加山6753 小时前
Cadence模块复用
服务器·硬件架构·硬件工程·信号处理·智能硬件
宇钶宇夕3 小时前
SIMATIC S7-1200的以太网通信能力:协议与资源详细解析
运维·服务器·数据库·程序人生·自动化
该用户已不存在3 小时前
关于我把Mac Mini托管到机房,后续来了,还有更多玩法
服务器·前端·mac
杰夫贾维斯3 小时前
CentOS Linux 8 的系统部署 Qwen2.5-7B -Instruct-AWQ
linux·运维·人工智能·机器学习·centos