ACL访问控制列表.docx
《ACL访问控制列表.docx》由会员分享,可在线阅读,更多相关《ACL访问控制列表.docx(12页珍藏版)》请在冰豆网上搜索。
ACL访问控制列表
ACL访问控制列表
一、作用。
设置更精细的权限,可以针对某一个用户或组设置权限
二、应用
1、在不改变属主、属组的情况下,给bob设置权限,让他可以修改hello文件内容
(1)查看缺省权限
(2)修改权限。
bob属于其他人,但是如果给其他人加上w权限,除了bob以外的用户也可以修改文件。
为了只给bob授权,需要使用acl
(3)验证。
bob可以向hello文件中写入内容,但是alice不可以。
2、setfacl语法格式
三、为alice组也设置对hello文件的写入权限
四、删除alice组对hello的权限
五、恢复文件的权限,让其不具备ACL权限。
权限恢复后,ll查看时,就没有那个+号了。
六、设置可继续的权限。
新建一个目录newdir,该目录对于bob来说具有全部的权限。
当在该目录下创建子目录和文件时,bob对于这些新建的目录、权限也具有权限。
1、创建目录
2、为bob用户设置ACL权限
3、在newdir目录下新增加的文件、目录,bob对其都会有权限
七、附加权限
1、stickybit设置某一个目录所有用户有全部权限,但是用户只能删除自己的文件
(1)重新建立相关目录
(2)把newdir目录权限设置为777
(3)bob用户在newdir下建立的文件,alice也能删除
(4)设置stickybit,用户只能删除自己的文件,不能删除其他人的
(5)验证。
bob创建文件,alice不能删除。
alice也可以创建文件,也可以把自己的文件删掉
2、SGID
创建一个hrdata目录,该目录的属组是hr组。
在该目录下创建文件时,文件的属组和hrdata目录的属组不一样。
如果希望在hrdata目录下创建的文件,属组也是hr(和它所在目录的属组一致),那么可以设置SGID
设置SGID的方法,还可以有如下格式:
#chmod2755hrdata
3、SUID。
如果一个可执行程序对于所有人来说都具有x权限,而且该程序具有suid设置,那么这个程序在执行期间就具有属主的权限。
(一)例一
(1)bob对/root目录没有权限,所以不能查看该目录的内容
(2)只要给ls命令,加上suid权限,bob也就可以查看/root目录内容了。
(二)例二:
(1)bob可以重置自己的密码,密码存放的位置是/etc/shadow,但是shadow对于普通用户来说是没有权限的
(2)为了达到普通用户就能改密码的目的,那么passwd命令在执行期间就应该具有root权限,也就是说passwd命令应该具有suid设置。
(3)如果passwd命令只是普通的权限,那么普通用户将无法修改密码
(三)例三:
(1)touch命令只具有普通权限,所以bob用户创建的文件属主将是bob
(2)给touch命令加上suid权限。
因为touch命令在执行期间是以root身份运行,所以bob创建出来的文件,属主也是root