linux系统对访问控制(ACL)权限和chattr,lsattr命令的实现

1.对分区添加一个ACL访问控制的权限和增加用户

[root@localhost ~]# mount -o remount,acl /dev/md0  /mnt/sdb

[root@localhost ~]# useradd user1

[root@localhost ~]# useradd user2

2.关于用户对目录的权限授权

[root@localhost ~]# setfacl -m u:user1:rwx /mnt/sdb   --设置/mnt/sdb目录对user1用户可以读写

[root@localhost ~]# setfacl -m u:user2:rx /mnt/sdb    --设置/mnt/sdb目录对user2用户可以读

-m, --modify=acl        修改当前ACP策略或者文件

-M, --modify-file=file  修改文件的ACL

-x, --remove=acl        移除当前ACP策略或者文件

-X, --remove-file=file  移除文件的ACL

-b, --remove-all        回收所有ACL策略

-k, --remove-default    回收默认的ACL权限

3.测试是否生效

[root@localhost ~]# su - user1     --连接user1用户

[user1@localhost ~]$ cd /mnt/sdb

[user1@localhost sdb]$ mkdir qw    --user1用户可以写入文件

[user1@localhost sdb]$ touch 1.txt

[user1@localhost sdb]$ exit

logout

[root@localhost ~]# su - user2    --连接user2用户

[user2@localhost ~]$ cd /mnt/sdb

[user2@localhost sdb]$ mkdir as     --不能创建目录

mkdir: cannot create directory `as': Permission denied

[user2@localhost sdb]$ touch 2.txt    --不能写入文件

touch: cannot touch `2.txt': Permission denied

[user2@localhost sdb]$

4.查看文件是否的控制权限和取消控制权限

[user2@localhost sdb]$ getfacl 1.txt     --查看文件权限

# file: 1.txt

# owner: user1

# group: user1

user::rw-

group::rw-

other::r--

[user2@localhost sdb]$ getfacl qw    --查看目录权限

# file: qw

user::rwx

group::rwx

other::r-x

[root@localhost ~]# setfacl  -x u:user1  /mnt/sdb     --用-x取消权限

[root@localhost ~]# getfacl /mnt/sdb     --查看取消之后的权限

getfacl: Removing leading '/' from absolute path names

# file: mnt/sdb

# owner: root

# group: root

user:user2:r-x

group::r-x

mask::r-x

other::rwx

[root@localhost ~]#

5.使用chattr,lsattr对文件加特殊权限,对文件夹无用

A:文件或目录的 atime (access time)不可被修改(modified), 可以有效预防例如手提电脑磁盘I/O错误的发生。 

S:硬盘I/O同步选项,功能类似sync。

a:只能向文件中添加数据,而不能删除,多用于服务器日志文 件安全,只有root才能设定这个属性。

c:即compresse，设定文件是否经压缩后再存储。读取时需要经过自动解压操作。

d:即no dump，设定文件不能成为dump程序的备份目标。

i:设定文件不能被删除、改名、设定链接关系,同时不能写入或新增内容,i参数对于文件系统的安全设置有很大帮助。

s:保密性地删除文件或目录,如果文件删除即将完全删除,无法找回。

u:与s相反,当设定为u时,数据内容其实还存在磁盘中,可以找回.

各参数选项中常用到的是a和i.a选项强制只可添加不可删除，多用于日志系统的安全设定

(1)不能修改文件访问时间

[root@node2 home]# touch 1.txt

[root@node2 home]# ll 1.txt 

-rw-r--r--. 1 root root 0 May  8 16:43 1.txt

[root@node2 home]# chattr +A 1.txt 

-rw-r--r--. 1 root root 0 May  8 16:43 1.txt     --与上一次访问时间没有变

[root@node2 home]# 

(2)不能删除文件

[root@node2 home]# lsattr  1.txt        --查看文件是否有特殊权限

-------------e- 1.txt

[root@node2 home]# chattr  +i 1.txt     --给文件加特殊权限

[root@node2 home]# lsattr  1.txt

----i--------e- 1.txt

[root@node2 home]# rm -rf 1.txt     --删除文件,无权限

rm: cannot remove `1.txt': Operation not permitted

[root@node2 home]# chattr  -i 1.txt     --删除特殊权限

[root@node2 home]# rm -rf 1.txt         --文件正确删除了

[root@node2 home]#

(3)只能追加内容,不能删除内容

[root@node2 home]# touch 2.txt

[root@node2 home]# chattr +a  2.txt     --添加特殊权限

[root@node2 home]# lsattr  2.txt          --查看特殊权限

-----a-------e- 2.txt

[root@node2 home]# echo '123' > 2.txt    --在文件中写入内容失败

-bash: 2.txt: Operation not permitted

[root@node2 home]# echo '123' >> 2.txt   --追加内容成功

[root@node2 home]# cat 2.txt

123

本文转自 z597011036 51CTO博客，原文链接：http://blog.51cto.com/tongcheng/1350397，如需转载请自行联系原作者