Linux中权限和ACL策略的应用

5t4we

基本权限：
一. 访问方式：
1.读取：允许查看内容--read r （能够 ls 浏览此目录内容）
2.写入：允许修改内容--write w （能够执行 rm/mv/cp/mkdir/touch/等更改目录内容的操作
3.可执行：语序运行和切换--execut x （能够 cd 切换到此目录）
二. 权限适用对象(归属)
1.所有者：拥有此文件/目录的用户-user u
2.所属组：拥有此文件/目录的组 group g
3.其他用户：除所有者，所属组以外的用户 other o

～使用ls -l 命令
ls -ld 显示文件或目录的详细属性
显示的内容以-开头的为：文本文件
d开头的为：目录
l 开头的为：快捷方式
下面举例说明：
drwxr-xr-x. 3 root root 15 7月 11 2014 /opt 这个是用命令查看的opt属性
d表示：此文加为目录文件
rwx为root所有者所具备的权限
r-x为所属组所具有的权限
最后的r-x为其他用户所具有的权限

～设置基本权限：
使用chmod 命令（此命令是用来给权限对象添加或删除某些权限）
chmod g+w nsd01 给nsd01文件的所属组新添加一个w写入的权限
chmod u-w /nsd01 给nsd01的所有者去掉一个写入的权限
chmod o=rwx /nsd01 给nsd01的其他用户重新写入一些权限，rwx
chmod u=wrx,g=rx,o=--- /nsd01 给nsd01的所有者写入wrx权限，所属组rx权限，其他用户无权限，他们之间用逗号隔开

以下为权限应用的案例:
以root用户新建/nsddir/目录，在此目录下新建readme.txt文件，并进一步完成下列操作
1）使用户zhangsan能够在此目录下创建子目录 切换用户 su - zhangsan
chmod o+w /nsddir/

2）使用户zhangsan不能够在此目录下创建子目录
chmod o-w /nsddir/

3）使用户zhangsan能够修改readme.txt文件
chmod o+w /nsddir/readme.txt

4）调整此目录的权限，使所有用户都不能进入此目录
chmod u-x,g-x,o-x /nsddir/

5）为此目录及其下所有文档设置权限 rwxr-x---
chmod -R u=rwx,g=rx,o=--- /nsddir/

～使用chown 命令

先创建一个文件夹 mkdir /nsd33
查看文件属性：ls -ld /nsd33 为：
drwxr-xr-x. 2 root root 6 11月 24 20:30 /nsd33 他的所有者和所属组都是root
通过chown命令来实现修改他的所有者和所属组，命令如下：
chown zhangsan:tarena /nsd33 这个就是把nsd33的所有者改为zhangsan，所属组改为tarena
通过chown也可以实现只修改所有者或者所属组，命令如下：
chown lisi /nsd33 只修改了所有者
chown ：root /nsd33 只修改了所属组

附加权限（特殊权限）
～ Set GID
• 附加在属组的 x 位上
– 属组的权限标识会变为 s
– 适用于目录,Set GID可以使目录下新增的文档自动设
置与父目录相同的属组(继承)
mkdir /nsd06 创建一个06的文件机
ls -ld /nsd06 查看06 文件属性，如下：
drwxr-xr-x. 2 root root 6 11月 25 08:38 /nsd06 这个为查看到的文件属性
chown :tarena /nsd06 修改文件的所属组，由root改为tarena
mkdir /nsd06/abc 在06的文件下再创建一个文件adc
ls -ld /nsd06/abc 查看adc01的属性，如下：
drwxr-xr-x. 2 root root 6 11月 25 08:40 /nsd06/abc 发现所建的文件属性没有继承父母的属性
chmod g+s /nsd06/ 这个时候我们继续在原来的06文加上添加一个+s的附加权限
ls -ld /nsd06/查看文件属性，如下;
drwxr-sr-x. 3 root tarena 16 11月 25 08:40 /nsd06 这里有一个变化，所属组的x为变成了s
mkdir /nsd06/abc02 再在06文件下创建一个adc2的文件
ls -ld /nsd06/abc02查看属性如下：
drwxr-sr-x. 2 root tarena 6 11月 25 08:43 /nsd06/abc2，这个时候发现abc2的文件的所属组就继承了06的属性；

ACL策略权限

什么情况下需要使用ACL策略权限?比如在企业里有一个人员信息存放文件，这个文件只能给文员部的人wrx权限的，其他人员一律无任何权限，但这个时候老板说他 想只访问查看这个文件夹；这个时候我们第一不能把老板添加到文员组里面，因为老板不能去修改数据，第二，不能去修改其他用户的权限，因为一旦修改了其他人 都能访问了，所以这个时候就要使用ACL策略权限，给老板自己单独一个权限；
～acl访问策略：能够对个别用户个别组设置独立的权限

                        大多数挂载的EXT3/4、XFS文件系统默认已支持

• 使用 getfacl、setfacl 命令
– getfacl 文档... #查看acl策略
– setfacl -m u:用户名:权限类别 文档... 为用户添加策略
– setfacl -m g:组名:权限类别 文档... 为组添加策率
– setfacl -b 文档... #清除所有的ACL策略
– setfacl -x 文档... #清除指定的ACL策略

getfacl /nsd 查看nsd文件的acl策略权限；
setfacl -m u:zhangsan:rx /nsd10 设置acl策略，给张三添加一个访问读取权限
setfacl -x u:kenji /nsd10 删除keji的acl策略
setfacl -b /nsd10 删除nsd10 的全部acl策略

使用LDAP认证
什么是LDAP?
• 轻量级目录访问协议
– Lightweight Directory Access Protocol
– 由服务器来集中存储并向客户端提供的信息,存储方
式类似于DNS分层结构

– 提供的信息包括:用户名、密码、通信录、主机名映
射记录、......
本地用户:本地/etc/passwd

网络用户的实现: LDAP服务器

服务器：classroom.example.com

以下为具体操作：
客户端：
1.安装一个客户端软件sssd 与LDAP服务器沟通的软件
yum -y install sssd 安装软件命令
2.安装图形软件authconfig-gtk 配置sssd工具
yum -y install authconfig-gtk
3.运行图形软件authconfig-gtk 进行配置
[iyunv@server0 /]# authconfig-gtk 以下为配置信息：
用户账户数据库：LDAP
LDAP搜索基础DN：dc=example,dc=com
LDAP服务器： classroom.example.com
钩选：用TLS加密连接
指定证书加密：
http://classroom.example.com/pub/example-ca.crt
认证方法：LDAP密码
4.重起客户端sssd服务
systemctl restart sssd 重启sssd服务
systemctl enable sssd 设置开机自启
5.验证：LDAP服务器上用户可以在本地识别
二、家目录漫游，在本地访问服务器上的资源
服务端：
classroom.example.com 作了NFS共享文件夹，共享了所有的家目录
客户端：访问共享
[iyunv@server0 ~]# showmount -e classroom.example.com
Export list for classroom.example.com:
/home/guests 172.25.0.0/255.255.0.0

挂载共享目录，提供访问点
mount classroom:/home/guests/ /home/guests