Linux权限、组管理和访问控制列表(ACL)

 一、用户组管理

创建组

groupad命令:

groupadd [OPTION]... group_name
    -g GID: 指明GID号;[GID_MIN,GID_MAX]
    -r: 创建系统组; CentOS 6: ID<500 CentOS 7:ID<1000

Linux权限、组管理和访问控制列表(ACL)

组属性修改

groupmod命令:

groupmod [OPTION]... group_name
    -g:GID,改变组id
    -n:改变组名
groupmod -n mutest mysystem
groupmod -g 10010 mytest

Linux权限、组管理和访问控制列表(ACL)

删除组

groupdel命令:

groupdel  group_name
groupdel mytest

组密码

gpasswd命令:

gpasswd [OPTION] GROUP
    -a user: 将user添加至指定组中;
    -d user: 从指定组中移除用户user
    -A user1,user2,...: 设置有管理权限的用户列表

Linux权限、组管理和访问控制列表(ACL)

newgrp命令:临时切换基本组; 如果用户本不属于此组,则需要组密码

newgroup mytest

Linux权限、组管理和访问控制列表(ACL)

更改和查看组成员

groupmems命令:

groupmems [options] [action] options:
    -g, --group groupname 更改为指定组 (只有root) Actions:
    -a, --add username      指定用户加入组
    -d, --delete username    从组中删除用户
    -p, --purge                从组中清除所有成员
    -l, --list                   显示组成员列表 
    groups [OPTION].[USERNAME]... 查看用户所属组列表

Linux权限、组管理和访问控制列表(ACL)

二、用户权限管理

文件基本权限说明:

[root@centos7 ~]# ll
total 4
-rw-r--r--. 1 root root 11 Aug  4 12:26 file
-:文件类型
rw-:所有者权限
r--:所属组权限
r--:其他用户权限
.:selinux是否开启
1:链接次数,引用次数
root:所属主
root:所有者
11:文件大小
Aug 4 12:26:文件创建时间 
file:文件名

文件属性操作:

修改文件的属主、属组 

chown [OPTION]... [OWNER][:[GROUP]] FILE...
用法:
    OWNER
    OWNER:GROUP
    :GROUP
    命令中的冒号可用.替换;
    -R: 递归 chown [OPTION]... --reference=RFILE FILE...
chown -R nginx.nginx /var/html/www/
chown gentoo:hadoop file 
chown :root file 
chown hadoop file 
chown --reference=/etc/shadow file

Linux权限、组管理和访问控制列表(ACL)

修改文件属组,只有管理员才有此权利:

chgrp [OPTION]... GROUP FILE... chgrp[OPTION]...
    --reference=RFILE FILE...
    -R 递归
chgrp gentoo chen.txt  
chgrp --reference=/tmp/chen.out  /root/file
chgrp -R hadoop /var/html/www/

Linux权限、组管理和访问控制列表(ACL)

文件权限详解:

r:读 w:写 x:执行 r=4 w=2 x=1 
管理员创建文件默认权限如下:
[root@centos7 ~]# ll
total 4
-rw-r--r--. 1 root gentoo  0 Aug  4 13:20 chen.txt
drwxr-xr-x. 2 root root    6 Aug  4 13:27 dir
-rw-r--r--. 1 root root   11 Aug  4 12:26 file
[root@centos7 ~]# umask
0022
umask:遮罩码
管理员:
目录权限:777-umask 755
文件权限:666-umask 644 
[root@centos7 ~]# su - gentoo
[gentoo@centos7 ~]$ touch file
[gentoo@centos7 ~]$ mkdir dir
[gentoo@centos7 ~]$ ll
total 0
drwxrwxr-x. 2 gentoo gentoo 6 Aug  4 13:32 dir
-rw-rw-r--. 1 gentoo gentoo 0 Aug  4 13:31 file
[gentoo@centos7 ~]$ umask
0002
普通用户:
目录权限:777-umask 775 
文件权限:666-umask 664 

umask原理:
    umask从目录文件上屏蔽掉最大权限相应的位,从而得出默认的权限 
dir:777-umask 
file:666-umaks 如果是基数加一,偶数不变
umask值 可以用来保留在创建文件权限
新建FILE权限: 666-umask
如果所得结果某位存在执行(奇数)权限,则将其权限+1 
新建DIR权限: 777-umask
非特权用户umask是 002 
root的umask 是 022 
umask: 查看
umask #: 设定 
umask002 
umask –S 模式方式显示 
umask –p 输出可被调用 
全局设置: /etc./bashrc   用户设置::~/.bashrc

Linux权限、组管理和访问控制列表(ACL)

设定文件属性命令:

chattr [ -RVf ] [ -v version ] [ mode ] files...
    chattr +A 加上则访问文件三时间不变   
    chattr +i 不能删除,改名,更改
    chattr -i 解锁
    chattr +a 只能增加 
    chattr -a 
lsattr 显示特定属性
[root@centos7 ~]# chattr +i file
[root@centos7 ~]# lsattr file
----i----------- file
[root@centos7 ~]# rm -rf file
rm: cannot remove ‘file’: Operation not permitted
[root@centos7 ~]# echo "love">>file
-bash: file: Permission denied
[root@centos7 ~]# chattr -i file..
[root@centos7 ~]# chattr +a file
[root@centos7 ~]# lsattr file
-----a---------- ./file
[root@centos7 ~]# rm -rf file
rm: cannot remove ‘file’: Operation not permitted
[root@centos7 ~]# echo "love" >> file
[root@centos7 ~]# cat file
love

三、访问控制列表

ACL:Access ControlList,实现灵活的权限管理
除了文件的所有者,所属组和其它人,可以对更多的用户设置权限 
CentOS7.0默认创建的xfs和ext4文件系统有ACL功能。
CentOS7.X之前版本,默认手工创建的ext4文件系统无ACL 功能。
需手动增加: tune2fs –o acl /dev/sdb1 mount –oacl /dev/sdb1  /mnt
ACL生效顺序:所有者,自定义用户,自定义组,其他人

ACL文件上的group权限是mask 值(自定义用户,自定义组 ,拥有组的最大权限),而非传统的组权限 
getfacl 可看到特殊权限:flags
默认ACL权限给了x,文件也不会继承x权限。
base ACL 不能删除 
setfacl -k dir 删除默认ACL权限 
setfacl -b file1清除所有ACL权限 
getfacl file1 | setfacl --set-file=-file2  复制file1 的acl权限给file2

setfacl命令:
setfacl - set file access control lists
     setfacl [-bkndRLPvh] [{-m|-x} acl_spec] [{-M|-X} acl_file] file ...
   选项:-b:删除所有权限
        -k:清除默认权限
        -m,x:定义acl权限
        -R:递归
setfacl -m  u:wang:rwx file|directory
setfacl -Rm g:sales:rwX directory
setfacl -M  file.acl file|directory
setfacl -m  g:salesgroup:rw file|directory
setfacl -m  d:u:wang:rx  directory
setfacl -x  u:wang  file |directory
setfacl -X file.acl  directory
setfacl -m  m::rw file
本文转自chengong1013 51CTO博客,原文链接:http://blog.51cto.com/purify/1834328,如需转载请自行联系原作者
上一篇:GPS轨迹数据集免费下载资源整理


下一篇:运维常见软件工具注册码或序列号记录