Linux之权限管理

目录

一、什么是ACL

二、操作步骤

[1. 添加测试目录、用户、组,并将用户添加到组, 并查看组是否正常建立](#1. 添加测试目录、用户、组,并将用户添加到组, 并查看组是否正常建立)

[2. 修改目录的所有者和所属组](#2. 修改目录的所有者和所属组)

[3. 设定权限](#3. 设定权限)

[4. 为临时用户分配权限](#4. 为临时用户分配权限)

[5. 验证acl权限](#5. 验证acl权限)

[6. 控制组的acl权限](#6. 控制组的acl权限)

三、mask最大权限

[1. 什么是最大权限](#1. 什么是最大权限)

四、删除ACL权限


一、什么是ACL

ACL是Access Control List的缩写,即访问控制列表。

思考如何实现以下权限:

  • 每个项目成员有一个自己的项目目录,对自己的目录有完全权限
  • 项目组中的成员对项目目录也有完全权限
  • 其他人对项目目录没有任何权限
  • 对于被分配进入项目的临时人员,只有读和执行权限,不能修改

二、操作步骤

1. 添加测试目录、用户、组,并将用户添加到组, 并查看组是否正常建立

java 复制代码
[root@localhost ~]# mkdir /project
[root@localhost ~]# useradd zs
[root@localhost ~]# useradd ls
[root@localhost ~]# groupadd tgroup
[root@localhost ~]# gpasswd -a zs tgroup
正在将用户"zs"加入到"tgroup"组中
[root@localhost ~]# gpasswd -a ls tgroup
正在将用户"ls"加入到"tgroup"组中
查看组是否正常建立
cat /etc/group

2. 修改目录的所有者和所属组

java 复制代码
[root@localhost /]# chown root:tgroup /project
[root@localhost /]# ll | grep project
drwxr-xr-x.   2 root tgroup    6 2月  24 00:28 project

3. 设定权限

java 复制代码
[root@localhost /]# chmod 770 /project
[root@localhost /]# ll | grep project
drwxrwx---.   2 root tgroup    6 2月  24 00:28 project

4. 为临时用户分配权限

增加临时用户:

useradd tempuser

给临时用户增加密码:

passwd tempuser

分配特定权限:

java 复制代码
setfacl -m u:tempuser:rx /project

查看赋权成功:

getfacl /project

5. 验证acl权限

1.切换到临时用户tempuser:su tempuser

2.验证可以进入project目录:cd /project

3.验证不能在project中创建文件:

6. 控制组的acl权限

  1. 创建一个组:groupadd temp

  2. 设置组的ACL:setfacl -m g:tempuser:rx /project

  3. 查看设置后的ACL:getfacl /project

  1. 创建一个用户: useradd temp02 更改密码:passwd temp02

  2. 将用户添加到temp组中:gpasswd -a temp02 temp

  3. 验证:

三、mask最大权限

1. 什么是最大权限

最大权限是指:如果给用户赋予了ACL权限,则用户所获取的权限并不是ACL所附的权限,而是赋予的ACL权限 与 mask权限 进行 "与" 操作 之后的权限。例如:user:tempuser:r-x 第一位是r, mask的第一位也是r, 则与操作后,用户有 r 的权限, user:tempuser:r-x 第二位是 - ,mask的第二位是 w,则与操作后用户则没有 w 的权限。

java 复制代码
[root@localhost ~]# getfacl /project
getfacl: Removing leading '/' from absolute path names
# file: project
# owner: root
# group: tgroup
user::rwx
     # 所属用户权限
user:tempuser:r-x
   # 临时用户权限
group::rwx
    # 所属组权限, 文件创建时的所属组
group:temp:r-x
  # 一般组的权限  创建的临时组
mask::rwx
   # 权限掩码,用来控制最大权限  ✨
other::---
java 复制代码
# 设置mask
[root@localhost ~]# setfacl -m m:rx /project
# 查看mask
[root@localhost ~]# getfacl /project
getfacl: Removing leading '/' from absolute path names
# file: project
# owner: root
# group: tgroup
user::rwx
user:tempuser:r-x
group::rwx			#effective:r-x
   # 所属组虽然设置的权限为rwx,但其实际的权限 r-x  ✨
group:temp:r-x
mask::r-x
    # 修改之后的mask

最大权限的作用:mask的默认值为rwx,即最大权限,任何其他的权限值和mask相"与"都会得到其自身; 可以通过调整mask的方式来控制分配给用户的最大权限,例如: mask值调整为 r-x ,则不管是否给用户分配"w"权限,用户都没有"w"的权限。mask可以用来避免权限分配不当而给系统带来的风险。

四、删除ACL权限

java 复制代码
# 删除指定ACL权限
[root@localhost ~]# setfacl -x u:tempuser /project
[root@localhost ~]# getfacl /project
getfacl: Removing leading '/' from absolute path names
# file: project
# owner: root
# group: tgroup
user::rwx
group::rwx
group:temp:r-x
mask::rwx
other::---
# 删除所有ACL权限
[root@localhost ~]# setfacl -b /project
[root@localhost ~]# getfacl /project
getfacl: Removing leading '/' from absolute path names
# file: project
# owner: root
# group: tgroup
+
user::rwx
group::rwx
other::---
# 注意: 权限没有 + 
[root@localhost ~]# ll -d /project
drwxrwx---. 2 root tgroup 6 8月  23 13:07 /project
相关推荐
花嫁代二娃19 分钟前
Linux:环境变量
linux
乌托邦的逃亡者1 小时前
Docker的/var/lib/docker/目录占用100%的处理方法
运维·docker·容器
ldj20201 小时前
Jenkins 流水线配置
运维·jenkins
古希腊数通小白(ip在学)4 小时前
stp拓扑变化分类
运维·服务器·网络·智能路由器
Muxiyale4 小时前
使用spring发送邮件,部署ECS服务器
java·服务器·spring
l1x1n06 小时前
Vim 编辑器常用操作详解(新手快速上手指南)
linux·编辑器·vim
12点一刻6 小时前
搭建自动化工作流:探寻解放双手的有效方案(2)
运维·人工智能·自动化·deepseek
未来之窗软件服务6 小时前
东方仙盟AI数据中间件使用教程:开启数据交互与自动化应用新时代——仙盟创梦IDE
运维·人工智能·自动化·仙盟创梦ide·东方仙盟·阿雪技术观
FreeBuf_6 小时前
微软365 PDF导出功能存在本地文件包含漏洞,可泄露敏感服务器数据
服务器·microsoft·pdf
lixzest7 小时前
C++ Lambda 表达式详解
服务器·开发语言·c++·算法