Linux之权限管理

目录

一、什么是ACL

二、操作步骤

[1. 添加测试目录、用户、组,并将用户添加到组, 并查看组是否正常建立](#1. 添加测试目录、用户、组,并将用户添加到组, 并查看组是否正常建立)

[2. 修改目录的所有者和所属组](#2. 修改目录的所有者和所属组)

[3. 设定权限](#3. 设定权限)

[4. 为临时用户分配权限](#4. 为临时用户分配权限)

[5. 验证acl权限](#5. 验证acl权限)

[6. 控制组的acl权限](#6. 控制组的acl权限)

三、mask最大权限

[1. 什么是最大权限](#1. 什么是最大权限)

四、删除ACL权限


一、什么是ACL

ACL是Access Control List的缩写,即访问控制列表。

思考如何实现以下权限:

  • 每个项目成员有一个自己的项目目录,对自己的目录有完全权限
  • 项目组中的成员对项目目录也有完全权限
  • 其他人对项目目录没有任何权限
  • 对于被分配进入项目的临时人员,只有读和执行权限,不能修改

二、操作步骤

1. 添加测试目录、用户、组,并将用户添加到组, 并查看组是否正常建立

java 复制代码
[root@localhost ~]# mkdir /project
[root@localhost ~]# useradd zs
[root@localhost ~]# useradd ls
[root@localhost ~]# groupadd tgroup
[root@localhost ~]# gpasswd -a zs tgroup
正在将用户"zs"加入到"tgroup"组中
[root@localhost ~]# gpasswd -a ls tgroup
正在将用户"ls"加入到"tgroup"组中
查看组是否正常建立
cat /etc/group

2. 修改目录的所有者和所属组

java 复制代码
[root@localhost /]# chown root:tgroup /project
[root@localhost /]# ll | grep project
drwxr-xr-x.   2 root tgroup    6 2月  24 00:28 project

3. 设定权限

java 复制代码
[root@localhost /]# chmod 770 /project
[root@localhost /]# ll | grep project
drwxrwx---.   2 root tgroup    6 2月  24 00:28 project

4. 为临时用户分配权限

增加临时用户:

useradd tempuser

给临时用户增加密码:

passwd tempuser

分配特定权限:

java 复制代码
setfacl -m u:tempuser:rx /project

查看赋权成功:

getfacl /project

5. 验证acl权限

1.切换到临时用户tempuser:su tempuser

2.验证可以进入project目录:cd /project

3.验证不能在project中创建文件:

6. 控制组的acl权限

  1. 创建一个组:groupadd temp

  2. 设置组的ACL:setfacl -m g:tempuser:rx /project

  3. 查看设置后的ACL:getfacl /project

  1. 创建一个用户: useradd temp02 更改密码:passwd temp02

  2. 将用户添加到temp组中:gpasswd -a temp02 temp

  3. 验证:

三、mask最大权限

1. 什么是最大权限

最大权限是指:如果给用户赋予了ACL权限,则用户所获取的权限并不是ACL所附的权限,而是赋予的ACL权限 与 mask权限 进行 "与" 操作 之后的权限。例如:user:tempuser:r-x 第一位是r, mask的第一位也是r, 则与操作后,用户有 r 的权限, user:tempuser:r-x 第二位是 - ,mask的第二位是 w,则与操作后用户则没有 w 的权限。

java 复制代码
[root@localhost ~]# getfacl /project
getfacl: Removing leading '/' from absolute path names
# file: project
# owner: root
# group: tgroup
user::rwx
     # 所属用户权限
user:tempuser:r-x
   # 临时用户权限
group::rwx
    # 所属组权限, 文件创建时的所属组
group:temp:r-x
  # 一般组的权限  创建的临时组
mask::rwx
   # 权限掩码,用来控制最大权限  ✨
other::---
java 复制代码
# 设置mask
[root@localhost ~]# setfacl -m m:rx /project
# 查看mask
[root@localhost ~]# getfacl /project
getfacl: Removing leading '/' from absolute path names
# file: project
# owner: root
# group: tgroup
user::rwx
user:tempuser:r-x
group::rwx			#effective:r-x
   # 所属组虽然设置的权限为rwx,但其实际的权限 r-x  ✨
group:temp:r-x
mask::r-x
    # 修改之后的mask

最大权限的作用:mask的默认值为rwx,即最大权限,任何其他的权限值和mask相"与"都会得到其自身; 可以通过调整mask的方式来控制分配给用户的最大权限,例如: mask值调整为 r-x ,则不管是否给用户分配"w"权限,用户都没有"w"的权限。mask可以用来避免权限分配不当而给系统带来的风险。

四、删除ACL权限

java 复制代码
# 删除指定ACL权限
[root@localhost ~]# setfacl -x u:tempuser /project
[root@localhost ~]# getfacl /project
getfacl: Removing leading '/' from absolute path names
# file: project
# owner: root
# group: tgroup
user::rwx
group::rwx
group:temp:r-x
mask::rwx
other::---
# 删除所有ACL权限
[root@localhost ~]# setfacl -b /project
[root@localhost ~]# getfacl /project
getfacl: Removing leading '/' from absolute path names
# file: project
# owner: root
# group: tgroup
+
user::rwx
group::rwx
other::---
# 注意: 权限没有 + 
[root@localhost ~]# ll -d /project
drwxrwx---. 2 root tgroup 6 8月  23 13:07 /project
相关推荐
Hiyajo pray1 小时前
SDN 访问控制性能调优方法
服务器·网络·网络安全
探索云原生2 小时前
终于搞懂 Kueue:5 个核心对象一次讲透
linux·docker·ai·云原生·kubernetes
huainingning2 小时前
交换机通过ftp下载文件或者传输文件到ftp服务器
运维·服务器·网络
An_s3 小时前
机器学习python之识别图中物品信息
java·linux·开发语言
edwarddamon3 小时前
CentOS 7 国内安装 Docker CE(阿里云源)
运维
Championship.23.243 小时前
Linux 3.0 LVDS驱动开发详解
linux·运维·驱动开发·lvds
小池先生4 小时前
Windows服务器如何备份
运维·服务器
风向决定发型丶4 小时前
Shell中的特殊变量
linux·运维·bash
FII工业富联科技服务4 小时前
灯塔工厂用例详解:AR 远程巡检与智能运维闭环落地实践
运维·ar
mounter6255 小时前
走向长时运行:引入协程(Coroutines),打破 BPF 程序的“一堂到底”限制
linux·ebpf·kernel