3.2:设置文件facl和chattr权限验证 facl: 用命令查看系统上有几个用户 [root@max ~]# cat /etc/passwd|grep -v 'nologin' |cut -d
3.2:设置文件facl和chattr权限验证 facl:
用命令查看系统上有几个用户
[root@max ~]# cat /etc/passwd|grep -v 'nologin' |cut -d ':' -f 1
root
sync
shutdown
halt
// 用grep筛选出可以登录系统的用户,并用cut列出第第一列
发现只有没有合适的用户,我们现在新建两个用户user1 和user2 .新建一个ok文件夹,让其他用户只有读的权限,没有写的权限
[root@max ok]# cd /opt
[root@max opt]# ll
total 4
drwxrwxr-x 2 user1 user1 4096 Sep 30 11:35 ok
[root@max opt]# ll /opt/ok
total 0
-rw-rw-r-- 1 user1 user1 0 Sep 30 11:16 1.txt
-rw-rw-r-- 1 user1 user1 0 Sep 30 11:16 2.txt
-rw-rw-r-- 1 user1 user1 0 Sep 30 11:16 3.txt
-rw-rw-r-- 1 user1 user1 0 Sep 30 11:16 4.txt
-rw-rw-r-- 1 user1 user1 0 Sep 30 11:16 5.txt
-rw-r--r-- 1 user1 root 0 Sep 30 11:34 lili
我们现在切换到user2 试着用vi /opt/ok/1.txt 修改一下1.txt 发现无法进行修改。
使用getfacl命令查看2.txt的权限
[user2@max ok]$ getfacl 2.txt
# file: 2.txt
# owner: user1
# group: user1
user::rw-
group::rw-
other::r--
//其他用户只有可读的权限
登录user2 ,尝试删除2.txt 发现失败
[user2@max ok]$ rm 2.txt
rm: remove write-protected regular empty file `2.txt'? y
rm: cannot remove `2.txt': Permission denied
[user2@max ok]$
现在用setfacl 命令给user2加上权限
[root@max ok]# setfacl -m u:user2:rwx 2.txt // 设置user2对2.txt的acl
[root@max ok]# getfacl 2.txt //查看2.txt的ACL 发现user2已经添加进去了
# file: 2.txt
# owner: user1
# group: user1
user::rw-
user:user2:rwx
group::rw-
mask::rwx
other::r--
我们登录user2对2.txt进行操作,发现现在已经可以对2.txt进行编辑和删除了。
现在新建一个用户lilichow,
setfacl -m g:lilichow:rwx 2.txt//将2.txt加入到 lilichow这个组里,但是lilichow用户对2.txt只有执行的权限
[root@max ok]# getfacl 2.txt
# file: 2.txt
# owner: user1
# group: user1
user::rw-
user:user2:rwx
group::rw-
group:lilichow:rwx
mask::rwx
other::r--
[root@max ok]# ll
total 4
-rw-rwxr--+ 1 user1 user1 52 Sep 30 13:59 2.txt
-rw-rw-r-- 1 user1 user1 0 Sep 30 11:16 3.txt
-rw-rw-r-- 1 user1 user1 0 Sep 30 11:16 4.txt
-rw-rw-r-- 1 user1 user1 0 Sep 30 11:16 5.txt
-rw-r--r-- 1 user1 root 0 Sep 30 11:34 lili
su 到lilichow 用户,然后vi 2.txt 可以对文件进行编辑和保存。
facl已得到验证同理目录也可用此方法。
getfacl 文件/目录 //查看文件的facl setfacl -m u:username:rwx 文件/目录 设置用户对这个文件和目录的ACLsetfacl -m g:groupname:rwx 文件/目录 设置组对这个文件和> 目录的ACLsetfacl -m d:username:rwx 目录 设置目录的默认ACLsetfacl -x m:: 删除masksetfacl -x u:username 删除username的aclsetfacl -x g:groupname 删除groupname的aclsetfacl -k 目录 删除默认ACLsetfacl -m m::rwx 文件/目录 设置ACL的MASK值规定了能够设置ACL的最高权限1.对于设置了facl的用户或者组的文件或目录,原权限设置失效以facl设置的为准,其他未设置facl的用户 或组依然按照原有权限进行限制。2.face设置了用户和组都存在,那么用户facl生效,组facl不生效3.facl的mask值是facl能够生效的最大权限
4.2.对于设置了fac
Chattr:
lsattr 查看文件或目录的超级权限位
chattr +i 文件不能被删除、改名,同时不> 能写入或新增内容
目录:目录中不能创建文件,修改文件名,不能删除文件
chattr + a 文件 设定文件只能被追加不能修改
目录 可以创建文件,但不能删除或重命名文件chattr -i/a 取消相应的权限
PS:有时候你发现用root权限都不能修改某个文件,大部分原因是曾经用chattr命令锁定该文件了。chattr命令的作用很大,其中一些功能是由Linux内核版本来支持的,不过现在生产绝大部分跑的linux系统都是2.6以上内核了。通过chattr命令修改属性能够提高系统的安全性,但是它并不适合所有的目录。chattr命令不能保护/、/dev、/tmp、/var目录。lsattr命令是显示chattr命令设置的文件属性。
