[toc]

系统版本

  • cat /proc/version 查询内核信息
Linux version 3.10.0-957.el7.x86_64 (mockbuild@kbuilder.bsys.centos.org) (gcc version 4.8.5 20150623 (Red Hat 4.8.5-36) (GCC) ) #1 SMP Thu Nov 8 23:39:32 UTC 2018
  • cat /etc/redhat-release
CentOS Linux release 7.6.1810 (Core)

权限目的

一般线上系统都会出现多人协作的情况,如果只是一人,权限的作用就没有太大的实际意义。多人同时协作,避免不了的会出现误操作情况和有些信息防止无意中被泄露的风险

权限控制的几个方向

  • 原始目录和文件的权限控制
    • 默认说明 avataravatar
    • 通过上面的截图,我们可以快速看到默认的root用户拥有最高的权限(rwx)
    • 下面将通过简单命令,创建其他的用户
    • 调整对应的权限目录
      • cd /usr/local/jysemel
      • mkdir test avatar
      • chmod 700 test/ (表示只有所有者用户rwx,其他用户和组没有任何权限) avatar
  • 通过创建组和组员控制
    • 组的管理
    • 创建组 groupadd dev
    • 删除组 groupdel -R dev
    • 查询组的信息 cat /etc/group
    • 用户管理
      • 创建用户 useradd -g dev dev0
      • 删除用户 userdel dev0
      • 查询用户信息 cat /etc/passwd
      • 初始化密码 passwd dev0 avatar
  • 通过ack机制控制-针对特殊用户,开通特殊权限,前提是存在该用户
    • 创建 setfacl -m u:dev0:rwx -R /usr/local/jysemel
    • 查看 getfacl /usr/local/jysemel/ avatar
    • 删除(可以删除文件名下的所有acl权限) setfacl -b /usr/local/jysemel/ avatar

示例演示

  • 案例说明 1、管理员-拥有最大权限-root 2、操作员-用户比普通用户较大的权限-dev0 3、分析员-用户普通读的权限、部分目录没有权限-dev1\dev2 4、用户列表如下: avatar
  • 创建演示目录
mkdir -p /data/jysemel 具有一定的安全性要求,不对分析员公开,对操作员有读的权限
mkdir -p /data/log  对分析员和操作原开放读权限
  • 权限操作如下
    • chmod 700 /data/jysemel/
    • setfacl -m u:dev0:rx -R /data/
  • 验证结果如下
    • root用户 avatar
    • dev0用户 avatar
    • dev1用户 avatar

参考目录

1、参考 2、参考 3、参考

Last Updated:
Contributors: jysemel