Linux基础与服务管理课件 第11讲 Linux操作系统-系统高级权限

项目三：账户与权限管理任务3：系统高级权限CONTENT目录课堂引入学习任务0102总结与巩固04教学内容技能拓展03教学目标素质目标知识目标（1）线上线下结合，引导学习方式，培养自主学习能力。（2）线上课程现场演示命令操作，将理论应用到实践，培养学生的观察能力，研究精神。（1）学生能够准确了解SET位特殊权限的概念。（2）学生能够了解粘滞位权限和ACL权限的概念。（3）学生能够了解ACL权限与传统权限的区别。>能力目标（1）学生能够能够熟练操作SET权限的操作方法。（2）学生能够熟练操作粘滞位的设置方法。教学重点与难点

教学重点（1）SET位特殊权限的作用（2）粘滞位权限的作用>教学难点（1）特殊权限与实际应用的关系课堂导入01课堂活动：

1.复习上一节课讲的权限管理。学情分析：为什么要学习高级权限在linux中同个系统可以有多个用户，用户的创建就是在passwd文件、shadow文件、group文件、gshadow文件中添加记录，修改密码时，root用户可以修改所有的，普通用户也可以修改自己的密码，但是这些都是对shadow文件的修改，换句话说普通用户在文件中可以修改root密码造成系统的不安全。linux中通过高级权限来处理。学习任务02SET权限（

SUID、SGID、SBIT）（1）SUID命令：chmodu+s可执行文件SUID可以让普通用户对某个可执行命令拥有属主的权限，比如普通用户可以用passwd命令，然而passwd的权限为：可以看到passwd的属主权限是rws，即x被赋予了特殊权限，其他用户执行该命令的时候也会拥有属主的权限。例：*通过这个例子可以看出，当我们赋予rm特殊权限后，即使普通用户对文件没有写入权限，也可以使用特殊权限对其操作。SET权限（

SUID、SGID、SBIT）（2）SGID（命令：chmodg+s目录）SGID可以让其他用户对某个可执行命令拥有属组权限，原理同SUID，只是这个是属组中x被赋予特殊权限，具体不再详解，请看例子：（3）SBIT（粘滞位权限）可以看到wall的属组权限是r-s，即x被赋予了特殊权限，其他组执行该命令的时候也会拥有属组的权限。删除SGID特殊权限：chmodg-s/usr/bin/wall,关于chmod的命令这里就不解释了。SBIT是针对others来设置的，SBIT目前只针对目录有效，对于目录的作用是：普通用户对该目录拥有w和x权限，即普通用户可以在此目录中拥有写入权限，如果没有粘滞位，那么普通用户拥有w权限，就可以删除此目录下的所有文件，包括其他用户建立的文件。但是一旦被赋予了粘滞位，除了root可以删除所有文件，普通用户就算有w权限也只能删除自己建立的文件，而不能删除其他用户建立的文件。像/tmp目录(drwxrwxrwt.)，任何人可以在/tmp内增加、修改文件,但是这个目录只有root和自己才能够删除文件。举例说明：文件隐藏权限（chattr、lattr）linux中有些文件，虽然我们对这个文件有权限，却没有办法编辑和删除，或者仅能对这个文件追加等操作，这个就涉及到了linux的隐藏权限。（1）、chattr命令用来改变文件属性（chattr[+|-选项][文件]）。A：

告诉系统不要修改对这个文件的最后访问时间。S：

一旦应用程序对这个文件执行了写操作，使系统立刻把修改的结果写到磁盘。a：

系统只允许在这个文件之后追加数据，不允许任何进程覆盖或截断这个文件。如果目录具有这个属性，

系统将只允许在这个目录下建立和修改文件，而不允许删除任何文件。b：

不更新文件或目录的最后存取时间。c：

将文件或目录压缩后存放。d：

当dump程序执行时，该文件或目录不会被dump备份。D: 检查压缩文件中的错误。i：

系统不允许对这个文件进行任何的修改。如果目录具有这个属性，那么任何的进程只能修改目录之下的

文件，不允许建立和删除文件。s：

彻底删除文件，不可恢复，因为是从磁盘上删除，然后用0填充文件所在区域。u：

当一个应用程序请求删除这个文件，系统会保留其数据块以便以后能够恢复删除这个文件，用来防止意

外删除文件或目录。t: 文件系统支持尾部合并（tail-merging）。X：

可以直接访问压缩文件的内容。>文件隐藏权限（chattr、lattr）（1）chattr命令用来改变文件属性（chattr[+|-选项][文件]）。1例：用chattr命令防止系统中某个关键文件被修改。

命令：chattr+i/etc/fstab2例：让某个文件只能往里面追加内容，不能删除。

命令：chattr+a/data1/user_act.log（2）lattr用来查看隐藏权限（lattr[文件]）。>ACL权限设置命令（setfacl、getfacl）访问控制列表（AccessControlList,ACL）是一个针对文件或目录的访问控制列表，它在UGO权限管理的基础上为文件提供了一个额外的、更灵活的权限管理机制，在很多地方都能看到，比如路由交换命令中，防火墙规则中都能看到这个名词，主要是限制细节的功能。以上的权限管理都是基于用户和用户组的，而无法做到更精细的文件权限管理。这里就引入了setfacl命令可以对单一用户、单一文件或目录进行rwx权限控制。>ACL权限设置命令（setfacl、getfacl）（1）setfacl命令用于权限控制（命令：setfacl[-bkndRLP]{-m|-M|-x|-X...}文件）-m --modify-acl更改文件的访问控制列表-M --modify-file=file从文件读取访问控制列表条目更改-x --remove=acl根据文件中访问控制列表移除条目-X --remove-file=file从文件读取访问控制列表条目并删除-b --remove-all删除所有扩展访问控制列表条目-k --remove-default移除默认访问控制列表 --set=acl设定替换当前的文件访问控制列表 --set-file=file从文件中读取访问控制列表条目设定 --mask重新计算有效权限掩码-n --no-mask不重新计算有效权限掩码-d --default应用到默认访问控制列表的操作-R --recursive递归操作子目录-L --logical依照系统逻辑，跟随符号链接-P --physical依照自然逻辑，不跟随符号链接 --restore=file恢复访问控制列表，和“getfacl-R”作用相反 --test测试模式，并不真正修改访问控制列表属性例：为用户设定对某文件的ACL权限（setfacl–mu:用户名：权限（rwx）文件名）ACL权限设置命令（setfacl、getfacl）（2）getf