开发者社区> 余二五> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

linux系统对访问控制(ACL)权限和chattr,lsattr命令的实现

简介:
+关注继续查看
福利推荐:阿里云、腾讯云、华为云等大品牌云产品全线2折优惠活动来袭,4核8G云服务器899元/3年,新老用户共享优惠,点击这里立即抢购>>>

1.对分区添加一个ACL访问控制的权限和增加用户

[root@localhost ~]# mount -o remount,acl /dev/md0? /mnt/sdb
[root@localhost ~]# useradd user1
[root@localhost ~]# useradd user2

?

2.关于用户对目录的权限授权

[root@localhost ~]# setfacl -m u:user1:rwx /mnt/sdb?? --设置/mnt/sdb目录对user1用户可以读写
[root@localhost ~]# setfacl -m u:user2:rx /mnt/sdb??? --设置/mnt/sdb目录对user2用户可以读

-m, --modify=acl??????? 修改当前ACP策略或者文件
-M, --modify-file=file? 修改文件的ACL
-x, --remove=acl??????? 移除当前ACP策略或者文件

-X, --remove-file=file? 移除文件的ACL

-b, --remove-all??????? 回收所有ACL策略

-k, --remove-default??? 回收默认的ACL权限

?

3.测试是否生效

[root@localhost ~]# su - user1???? --连接user1用户
[user1@localhost ~]$ cd /mnt/sdb
[user1@localhost sdb]$ mkdir qw??? --user1用户可以写入文件
[user1@localhost sdb]$ touch 1.txt
[user1@localhost sdb]$ exit
logout
[root@localhost ~]# su - user2??? --连接user2用户
[user2@localhost ~]$ cd /mnt/sdb
[user2@localhost sdb]$ mkdir as???? --不能创建目录
mkdir: cannot create directory `as': Permission denied
[user2@localhost sdb]$ touch 2.txt??? --不能写入文件
touch: cannot touch `2.txt': Permission denied
[user2@localhost sdb]$

?

4.查看文件是否的控制权限和取消控制权限

[user2@localhost sdb]$ getfacl 1.txt???? --查看文件权限
# file: 1.txt
# owner: user1
# group: user1
user::rw-
group::rw-
other::r--
[user2@localhost sdb]$ getfacl qw??? --查看目录权限
# file: qw
# owner: user1
# group: user1
user::rwx
group::rwx
other::r-x
[root@localhost ~]# setfacl? -x u:user1? /mnt/sdb???? --用-x取消权限
[root@localhost ~]# getfacl /mnt/sdb???? --查看取消之后的权限
getfacl: Removing leading '/' from absolute path names
# file: mnt/sdb
# owner: root
# group: root
user::rwx
user:user2:r-x
group::r-x
mask::r-x
other::rwx
[root@localhost ~]#

?

5.使用chattr,lsattr对文件加特殊权限,对文件夹无用

A:文件或目录的?atime?(access?time)不可被修改(modified),?可以有效预防例如手提电脑磁盘I/O错误的发生。?

S:硬盘I/O同步选项,功能类似sync。

a:只能向文件中添加数据,而不能删除,多用于服务器日志文?件安全,只有root才能设定这个属性。

c:即compresse,设定文件是否经压缩后再存储。读取时需要经过自动解压操作。

d:即no?dump,设定文件不能成为dump程序的备份目标。

i:设定文件不能被删除、改名、设定链接关系,同时不能写入或新增内容,i参数对于文件系统的安全设置有很大帮助。

s:保密性地删除文件或目录,如果文件删除即将完全删除,无法找回。

u:与s相反,当设定为u时,数据内容其实还存在磁盘中,可以找回.

各参数选项中常用到的是a和i.a选项强制只可添加不可删除,多用于日志系统的安全设定

?

(1)不能修改文件访问时间

[root@node2 home]# touch 1.txt
[root@node2 home]# ll 1.txt?
-rw-r--r--. 1 root root 0 May? 8 16:43 1.txt
[root@node2 home]# chattr +A 1.txt?
[root@node2 home]# touch 1.txt
[root@node2 home]# ll 1.txt?
-rw-r--r--. 1 root root 0 May? 8 16:43 1.txt???? --与上一次访问时间没有变
[root@node2 home]#?


(2)不能删除文件

[root@node2 home]# touch 1.txt
[root@node2 home]# lsattr? 1.txt??????? --查看文件是否有特殊权限
-------------e- 1.txt
[root@node2 home]# chattr? +i 1.txt???? --给文件加特殊权限
[root@node2 home]# lsattr? 1.txt
----i--------e- 1.txt
[root@node2 home]# rm -rf 1.txt???? --删除文件,无权限
rm: cannot remove `1.txt': Operation not permitted
[root@node2 home]# chattr? -i 1.txt???? --删除特殊权限
[root@node2 home]# rm -rf 1.txt???????? --文件正确删除了
[root@node2 home]#

?

(3)只能追加内容,不能删除内容

[root@node2 home]# touch 2.txt
[root@node2 home]# chattr +a? 2.txt???? --添加特殊权限
[root@node2 home]# lsattr? 2.txt??????? ? --查看特殊权限
-----a-------e- 2.txt
[root@node2 home]# echo '123' > 2.txt??? --在文件中写入内容失败
-bash: 2.txt: Operation not permitted
[root@node2 home]# echo '123' >> 2.txt?? --追加内容成功
[root@node2 home]# cat 2.txt
123
[root@node2 home]#

?










本文转自 z597011036 51CTO博客,原文链接:http://blog.51cto.com/tongcheng/1350397,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
Kubernetes中的角色访问控制机制(RBAC)支持
RBAC vs ABAC 目前 Kubernetes 中有一系列的鉴权机制。 https://kubernetes.io/docs/admin/authorization/ 鉴权的作用是,决定一个用户是否有权使用 Kubernetes API 做某些事情。
2402 0
kubernetes RBAC实战 kubernetes 用户角色访问控制,dashboard访问,kubectl配置生成
kubernetes RBAC实战 环境准备 先用kubeadm安装好kubernetes集群,[包地址在此](https://market.aliyun.com/products/56014009/cmxz022571.
1946 0
+关注
文章
问答
文章排行榜
最热
最新
相关电子书
更多
ECS系统指南之Linux系统诊断
立即下载
ECS运维指南 之 Linux系统诊断
立即下载
Decian GNU/Linux安全合规之路
立即下载


http://www.vxiaotou.com