Linux基礎(chǔ)與服務(wù)管理課件 第11講 Linux操作系統(tǒng)-系統(tǒng)高級(jí)權(quán)限

項(xiàng)目三：賬戶與權(quán)限管理任務(wù)3：系統(tǒng)高級(jí)權(quán)限CONTENT目錄課堂引入學(xué)習(xí)任務(wù)0102總結(jié)與鞏固04教學(xué)內(nèi)容技能拓展03教學(xué)目標(biāo)素質(zhì)目標(biāo)知識(shí)目標(biāo)（1）線上線下結(jié)合，引導(dǎo)學(xué)習(xí)方式，培養(yǎng)自主學(xué)習(xí)能力。（2）線上課程現(xiàn)場(chǎng)演示命令操作，將理論應(yīng)用到實(shí)踐，培養(yǎng)學(xué)生的觀察能力，研究精神。（1）學(xué)生能夠準(zhǔn)確了解SET位特殊權(quán)限的概念。（2）學(xué)生能夠了解粘滯位權(quán)限和ACL權(quán)限的概念。（3）學(xué)生能夠了解ACL權(quán)限與傳統(tǒng)權(quán)限的區(qū)別。>能力目標(biāo)（1）學(xué)生能夠能夠熟練操作SET權(quán)限的操作方法。（2）學(xué)生能夠熟練操作粘滯位的設(shè)置方法。教學(xué)重點(diǎn)與難點(diǎn)

教學(xué)重點(diǎn)（1）SET位特殊權(quán)限的作用（2）粘滯位權(quán)限的作用>教學(xué)難點(diǎn)（1）特殊權(quán)限與實(shí)際應(yīng)用的關(guān)系課堂導(dǎo)入01課堂活動(dòng)：

1.復(fù)習(xí)上一節(jié)課講的權(quán)限管理。學(xué)情分析：為什么要學(xué)習(xí)高級(jí)權(quán)限在linux中同個(gè)系統(tǒng)可以有多個(gè)用戶，用戶的創(chuàng)建就是在passwd文件、shadow文件、group文件、gshadow文件中添加記錄，修改密碼時(shí)，root用戶可以修改所有的，普通用戶也可以修改自己的密碼，但是這些都是對(duì)shadow文件的修改，換句話說(shuō)普通用戶在文件中可以修改root密碼造成系統(tǒng)的不安全。linux中通過(guò)高級(jí)權(quán)限來(lái)處理。學(xué)習(xí)任務(wù)02SET權(quán)限（

SUID、SGID、SBIT）（1）SUID命令：chmodu+s可執(zhí)行文件SUID可以讓普通用戶對(duì)某個(gè)可執(zhí)行命令擁有屬主的權(quán)限，比如普通用戶可以用passwd命令，然而passwd的權(quán)限為：可以看到passwd的屬主權(quán)限是rws，即x被賦予了特殊權(quán)限，其他用戶執(zhí)行該命令的時(shí)候也會(huì)擁有屬主的權(quán)限。例：*通過(guò)這個(gè)例子可以看出，當(dāng)我們賦予rm特殊權(quán)限后，即使普通用戶對(duì)文件沒(méi)有寫入權(quán)限，也可以使用特殊權(quán)限對(duì)其操作。SET權(quán)限（

SUID、SGID、SBIT）（2）SGID（命令：chmodg+s目錄）SGID可以讓其他用戶對(duì)某個(gè)可執(zhí)行命令擁有屬組權(quán)限，原理同SUID，只是這個(gè)是屬組中x被賦予特殊權(quán)限，具體不再詳解，請(qǐng)看例子：（3）SBIT（粘滯位權(quán)限）可以看到wall的屬組權(quán)限是r-s，即x被賦予了特殊權(quán)限，其他組執(zhí)行該命令的時(shí)候也會(huì)擁有屬組的權(quán)限。刪除SGID特殊權(quán)限：chmodg-s/usr/bin/wall,關(guān)于chmod的命令這里就不解釋了。SBIT是針對(duì)others來(lái)設(shè)置的，SBIT目前只針對(duì)目錄有效，對(duì)于目錄的作用是：普通用戶對(duì)該目錄擁有w和x權(quán)限，即普通用戶可以在此目錄中擁有寫入權(quán)限，如果沒(méi)有粘滯位，那么普通用戶擁有w權(quán)限，就可以刪除此目錄下的所有文件，包括其他用戶建立的文件。但是一旦被賦予了粘滯位，除了root可以刪除所有文件，普通用戶就算有w權(quán)限也只能刪除自己建立的文件，而不能刪除其他用戶建立的文件。像/tmp目錄(drwxrwxrwt.)，任何人可以在/tmp內(nèi)增加、修改文件,但是這個(gè)目錄只有root和自己才能夠刪除文件。舉例說(shuō)明：文件隱藏權(quán)限（chattr、lattr）linux中有些文件，雖然我們對(duì)這個(gè)文件有權(quán)限，卻沒(méi)有辦法編輯和刪除，或者僅能對(duì)這個(gè)文件追加等操作，這個(gè)就涉及到了linux的隱藏權(quán)限。（1）、chattr命令用來(lái)改變文件屬性（chattr[+|-選項(xiàng)][文件]）。A：

告訴系統(tǒng)不要修改對(duì)這個(gè)文件的最后訪問(wèn)時(shí)間。S：

一旦應(yīng)用程序?qū)@個(gè)文件執(zhí)行了寫操作，使系統(tǒng)立刻把修改的結(jié)果寫到磁盤。a：

系統(tǒng)只允許在這個(gè)文件之后追加數(shù)據(jù)，不允許任何進(jìn)程覆蓋或截?cái)噙@個(gè)文件。如果目錄具有這個(gè)屬性，

系統(tǒng)將只允許在這個(gè)目錄下建立和修改文件，而不允許刪除任何文件。b：

不更新文件或目錄的最后存取時(shí)間。c：

將文件或目錄壓縮后存放。d：

當(dāng)dump程序執(zhí)行時(shí)，該文件或目錄不會(huì)被dump備份。D: 檢查壓縮文件中的錯(cuò)誤。i：

系統(tǒng)不允許對(duì)這個(gè)文件進(jìn)行任何的修改。如果目錄具有這個(gè)屬性，那么任何的進(jìn)程只能修改目錄之下的

文件，不允許建立和刪除文件。s：

徹底刪除文件，不可恢復(fù)，因?yàn)槭菑拇疟P上刪除，然后用0填充文件所在區(qū)域。u：

當(dāng)一個(gè)應(yīng)用程序請(qǐng)求刪除這個(gè)文件，系統(tǒng)會(huì)保留其數(shù)據(jù)塊以便以后能夠恢復(fù)刪除這個(gè)文件，用來(lái)防止意

外刪除文件或目錄。t: 文件系統(tǒng)支持尾部合并（tail-merging）。X：

可以直接訪問(wèn)壓縮文件的內(nèi)容。>文件隱藏權(quán)限（chattr、lattr）（1）chattr命令用來(lái)改變文件屬性（chattr[+|-選項(xiàng)][文件]）。1例：用chattr命令防止系統(tǒng)中某個(gè)關(guān)鍵文件被修改。

命令：chattr+i/etc/fstab2例：讓某個(gè)文件只能往里面追加內(nèi)容，不能刪除。

命令：chattr+a/data1/user_act.log（2）lattr用來(lái)查看隱藏權(quán)限（lattr[文件]）。>ACL權(quán)限設(shè)置命令（setfacl、getfacl）訪問(wèn)控制列表（AccessControlList,ACL）是一個(gè)針對(duì)文件或目錄的訪問(wèn)控制列表，它在UGO權(quán)限管理的基礎(chǔ)上為文件提供了一個(gè)額外的、更靈活的權(quán)限管理機(jī)制，在很多地方都能看到，比如路由交換命令中，防火墻規(guī)則中都能看到這個(gè)名詞，主要是限制細(xì)節(jié)的功能。以上的權(quán)限管理都是基于用戶和用戶組的，而無(wú)法做到更精細(xì)的文件權(quán)限管理。這里就引入了setfacl命令可以對(duì)單一用戶、單一文件或目錄進(jìn)行rwx權(quán)限控制。>ACL權(quán)限設(shè)置命令（setfacl、getfacl）（1）setfacl命令用于權(quán)限控制（命令：setfacl[-bkndRLP]{-m|-M|-x|-X...}文件）-m --modify-acl更改文件的訪問(wèn)控制列表-M --modify-file=file從文件讀取訪問(wèn)控制列表?xiàng)l目更改-x --remove=acl根據(jù)文件中訪問(wèn)控制列表移除條目-X --remove-file=file從文件讀取訪問(wèn)控制列表?xiàng)l目并刪除-b --remove-all刪除所有擴(kuò)展訪問(wèn)控制列表?xiàng)l目-k --remove-default移除默認(rèn)訪問(wèn)控制列表 --set=acl設(shè)定替換當(dāng)前的文件訪問(wèn)控制列表 --set-file=file從文件中讀取訪問(wèn)控制列表?xiàng)l目設(shè)定 --mask重新計(jì)算有效權(quán)限掩碼-n --no-mask不重新計(jì)算有效權(quán)限掩碼-d --default應(yīng)用到默認(rèn)訪問(wèn)控制列表的操作-R --recursive遞歸操作子目錄-L --logical依照系統(tǒng)邏輯，跟隨符號(hào)鏈接-P --physical依照自然邏輯，不跟隨符號(hào)鏈接 --restore=file恢復(fù)訪問(wèn)控制列表，和“getfacl-R”作用相反 --test測(cè)試模式，并不真正修改訪問(wèn)控制列表屬性例：為用戶設(shè)定對(duì)某文件的ACL權(quán)限（setfacl–mu:用戶名：權(quán)限（rwx）文件名）ACL權(quán)限設(shè)置命令（setfacl、getfacl）（2）getf