1、ACL访问控制列表ACL访问控制列表一、作用。设置更精细的权限,可以针对某一个用户或组设置权限二、应用1、在不改变属主、属组的情况下,给bob设置权限,让他可以修改hello文件内容(1)查看缺省权限(2)修改权限。bob属于其他人,但是如果给其他人加上w权限,除了bob以外的用户也可以修改文件。为了只给bob授权,需要使用acl(3)验证。bob可以向hello文件中写入内容,但是alice不可以。2、setfacl语法格式三、为alice组也设置对hello文件的写入权限四、删除alice组对hello的权限五、恢复文件的权限,让其不具备ACL权限。权限恢复后,ll查看时,就没有那个+号了
2、。六、设置可继续的权限。新建一个目录newdir,该目录对于bob来说具有全部的权限。当在该目录下创建子目录和文件时,bob对于这些新建的目录、权限也具有权限。1、创建目录2、为bob用户设置ACL权限3、在newdir目录下新增加的文件、目录,bob对其都会有权限七、附加权限1、sticky bit 设置某一个目录所有用户有全部权限,但是用户只能删除自己的文件(1)重新建立相关目录(2)把newdir目录权限设置为777(3)bob用户在newdir下建立的文件,alice也能删除(4)设置sticky bit,用户只能删除自己的文件,不能删除其他人的(5)验证。bob创建文件,alice不
3、能删除。alice也可以创建文件,也可以把自己的文件删掉2、SGID创建一个hrdata目录,该目录的属组是hr组。在该目录下创建文件时,文件的属组和hrdata目录的属组不一样。如果希望在hrdata目录下创建的文件,属组也是hr(和它所在目录的属组一致),那么可以设置SGID设置SGID的方法,还可以有如下格式:# chmod 2755 hrdata3、SUID。如果一个可执行程序对于所有人来说都具有x权限,而且该程序具有suid设置,那么这个程序在执行期间就具有属主的权限。(一)例一(1)bob对/root目录没有权限,所以不能查看该目录的内容(2)只要给ls命令,加上suid权限,bob也就可以查看/root目录内容了。(二)例二:(1)bob可以重置自己的密码,密码存放的位置是/etc/shadow,但是shadow对于普通用户来说是没有权限的(2)为了达到普通用户就能改密码的目的,那么passwd命令在执行期间就应该具有root权限,也就是说passwd命令应该具有suid设置。(3)如果passwd命令只是普通的权限,那么普通用户将无法修改密码(三)例三:(1)touch命令只具有普通权限,所以bob用户创建的文件属主将是bob(2)给touch命令加上suid权限。因为touch命令在执行期间是以root身份运行,所以bob创建出来的文件,属主也是root