1、ACL概述

ACL用于解决对文件身份不足问题

2、ACL基本命令

2.1、查询文件的ACL权限

 getfacl 文件名   

2.2、设置ACL权限

 setfacl 选项 文件名
 选项
 -m 设置ACL权限
 -b 删除ACL权限
 -x:用户 删除单个用户的ACL权限

setfacl -m u:用户名:权限 文件名 setfacl -m g:组名:权限 文件名

setfacl -m u:aa:rwx /test 给 test 目录赋予 aa 是读写执行的 ACL 权限 setfacl -m u:cc:rx -R soft/ 赋子递归ACL权限，只能赋子目录,-R 递归 setfacl -m d:u:aa:rwx -R /test ACL 默认权限。注意:默认权限只能赋予目录

注意:如果给目录赋予 acl权限，两条命令都要输入 递归与默认的区别: setfacl -m u:cc:rx -R test/ 只对已经存在的文件生效 setfacl -m d:u:aa:rwx -R /test 只对以后新建的文件生效

2.3、删除ACL权限

 root@localhost /]# setfacl -x u:test /project/
 #删除指定用户和用户组的ACL权限
 root@localhost /# setfacl -b project/
 #会删除文件的所有的 ACL 权限

3、sudo授权

给普通用户赋予部分管理员权限

授权用户user1可以重启服务器，则由root 用户添加如下行:

root@localhost l# visudo userl ALL=/sbin/shutdown -r now #查看可用的授权 userl@localhost $ sudo -l

4、授权一个用户管理你的Apach服务器

授权一个用户管理你的 Web 服务器，不用自己插手是不是很爽，以后修改设置更新网页什么都不用管，首先要分析授权用户管理 Apache 至少要实现哪些基本授权: 1、可以使用 Apache 管理脚本 2、可以修改 Apache 配置文件 3、可以更新网页内容 假设 Aapche 管理脚本程序为/etc/rc.d/init.d/httpd 为满足条件一，用 visudo 进行授权:

 [root@localhost ~]# visudo 
 user1 192.168.0.156=/etc/rc.d/init.d/httpd reload, /etc/rc.d/init.d/httpd configtest

授权用户 user1 可以连接 192.168.0.156 上的 Apache 服务器，通过 Apache 管理脚本重新读取配置文件让更改的设置生效(reload)和可以检测 Apache 配置文件语法错误(configtest)，但不允许其执行关闭(stop)、重启(restart)等操作。

为满足条件二，同样使用 visudo 授权: root@localhost # visudo user1 192.168.0.156=/binvi /etc/httpd/conf/httpd. conf

授权用户 user1 可以用 root 身份使用 vi 编辑 Apache 配置文件 以上两种 sudo 的设置，要特别注意，很多朋友使用 sudo 会犯两个错误:第一，授权命令没有细化到选项和参数;第二，认为只能授权管理员执行的命令。条件三则比较简单，假设网页存放目录为/var/www/html ，则只需要授权 user1 对此目录具有写权限或者索性更改目录所有者为 user1 即可。如果需要，还可以设置user1 可以通过 FTP 等文件共享服务更新网页。

3)授权 aa 用户可以添加其他普通用户

aa ALL=/usr/sbin/useradd 赋予 aa 添加用户权限.命令必须写入绝对路径 aa ALL=/usr/bin/passwd 赋子改密码权限，取消对 root 的密码修改 aa ALL=/usr/bin/passwd [A-Za-z]*,!/usr/bin/passwd "", !/usr/bin/passwd root aa 身份 sudo /usr/sbin/useradd ee 普通用户使用 sudo 命令执行超级用户命令

4、文件的特殊权限 SetUID、SetGID、Seicky BIT

SetUID 是什么

只有可以执行的二进制程序才能设定 SUID 权限 命令执行者要对该程序拥有x(执行)权限 命令执行者在执行该程序时获得该程序文件属主的身份(在执行程序的过程中灵魂附体为文件的属主) SetUID 权限只在该程序执行过程中有效，也就是说身份改变只在程序执行过程中有效

举例

通过s的位置判断文件的特殊权限是suid/sgid/sbit

usr/bin/passwd 命令拥有特殊权限 SetUID也就是在属主的权限位的执行权限上是s。可以这样来理解它:当一个具有执行权限的文件设置 SetUID 权限后，用户执行这个文件时将以文件所有者的身份执行。usr/bin/passwd 命令具有 SetUID 权限,所有者为root(Linux 中的命令默认所有者都是 root),也就是说当普通用户使用 passwd 更改自己密码的时候,那一瞬间突然灵魂附体了,实际是在用 passwd命令所有者 root 的身份在执行 passwd 命令，root 当然可以将密码写入/etc/shadow 文件(不要忘记 root这个家伙是 superman 什么事都可以干)，所以普通用户也可以修改/etc/shadow 文件，命令执行完成后该身份也随之消失

如果取消 SetUID 权限，则普通用户就不能修改自己的密码了

注意，我们的文件最好不要设置SetUID、SetGID、Seicky BIT权限，监测SetUID的脚本

5、文件系统属性chattr权限

chattr [+-=] [选项] 文件或目录名

选项:

+：增加权限

-：删除权限 =：等于某权限 i：如果对文件设置i属性，那么不允许对文件进行删除、改名，也不能添加和修改数据;如果对目录设置i属性，那么只能修改目录下文件的数据，但不允许建立和删 除文件。如果对文件设置a属性，那么只能在文件中增加数据，但是不能删除也不能修改数

a：如果对目录设置a属性，那么只允许在目录中建立和修改文件，但是不允许删据:Linux 中绝大多数的文件都默认拥有e属性。表示该文件是使用 ext 文件系统进行 e:存储的，而且不能使用“chattr -e”命令取消e属性。

[root@localhost ~]# lsattr 选项 文件名

选项: a显示所有文件和目录 d 若目标是目录，仅列出目录本身的属性，而不是子文件的

编辑保存会失败

vim aa