ACL访问控制列表.docx

ACL访问控制列表.docx

《ACL访问控制列表.docx》由会员分享，可在线阅读，更多相关《ACL访问控制列表.docx（12页珍藏版）》请在冰豆网上搜索。

ACL访问控制列表

ACL访问控制列表

一、作用。

设置更精细的权限，可以针对某一个用户或组设置权限

二、应用

1、在不改变属主、属组的情况下，给bob设置权限，让他可以修改hello文件内容

（1）查看缺省权限

（2）修改权限。

bob属于其他人，但是如果给其他人加上w权限，除了bob以外的用户也可以修改文件。

为了只给bob授权，需要使用acl

（3）验证。

bob可以向hello文件中写入内容，但是alice不可以。

2、setfacl语法格式

三、为alice组也设置对hello文件的写入权限

四、删除alice组对hello的权限

五、恢复文件的权限，让其不具备ACL权限。

权限恢复后，ll查看时，就没有那个+号了。

六、设置可继续的权限。

新建一个目录newdir，该目录对于bob来说具有全部的权限。

当在该目录下创建子目录和文件时，bob对于这些新建的目录、权限也具有权限。

1、创建目录

2、为bob用户设置ACL权限

3、在newdir目录下新增加的文件、目录，bob对其都会有权限

七、附加权限

1、stickybit设置某一个目录所有用户有全部权限，但是用户只能删除自己的文件

（1）重新建立相关目录

（2）把newdir目录权限设置为777

（3）bob用户在newdir下建立的文件，alice也能删除

（4）设置stickybit，用户只能删除自己的文件，不能删除其他人的

（5）验证。

bob创建文件，alice不能删除。

alice也可以创建文件，也可以把自己的文件删掉

2、SGID

创建一个hrdata目录，该目录的属组是hr组。

在该目录下创建文件时，文件的属组和hrdata目录的属组不一样。

如果希望在hrdata目录下创建的文件，属组也是hr（和它所在目录的属组一致），那么可以设置SGID

设置SGID的方法，还可以有如下格式：

#chmod2755hrdata

3、SUID。

如果一个可执行程序对于所有人来说都具有x权限，而且该程序具有suid设置，那么这个程序在执行期间就具有属主的权限。

（一）例一

（1）bob对/root目录没有权限，所以不能查看该目录的内容

（2）只要给ls命令，加上suid权限，bob也就可以查看/root目录内容了。

（二）例二：

（1）bob可以重置自己的密码，密码存放的位置是/etc/shadow，但是shadow对于普通用户来说是没有权限的

（2）为了达到普通用户就能改密码的目的，那么passwd命令在执行期间就应该具有root权限，也就是说passwd命令应该具有suid设置。

（3）如果passwd命令只是普通的权限，那么普通用户将无法修改密码

（三）例三：

（1）touch命令只具有普通权限，所以bob用户创建的文件属主将是bob

（2）给touch命令加上suid权限。

因为touch命令在执行期间是以root身份运行，所以bob创建出来的文件，属主也是root