如何在 Linux 的 shell 里针对特定用户/组来限制某些命令的使用

0-前言

最近,业务侧有个需求,需要禁止特定用户访问linux特定的命令,如禁止用户A使用rm命令。

我们知道,在linux系统中,一切皆文件。

那么,这个问题也可以泛化为:

如何在linux里限制特定用户/用户组对特定文件/文件夹的访问权限的控制?

1-解决方案

为了叙述方便,这里将需求收拢:如何限制用户使用rm命令。

这里会涉及到一些基础知识,可以详见第二章节: 基础知识补充

1.1-使用 chmod

首先看下 rm 的权限

$ ls -l /bin/rm
-rwxr-xr-x  1 root  wheel  105984 Jan  1  2020 /bin/rm
复制代码

可以看到:rm命令针对root用户的权限是755,也就是说root可以可读可写可执行,针对root所在的组(这里是wheel)是可读可执行,针对其他用户是可读可执行。

那么,如果需求是限制非 root 用户执行 rm 命令,就可以执行命令:

$ chmod 754 /bin/rm$ ls -l /bin/rm
-rwxr-x--x  1 root  wheel  105984 Jan  1  2020 /bin/rm
复制代码

这样,除了 root 用户,其他所有用户,均没办法执行 rm 命令了。

但是这个方案有个缺陷,会“一刀切”,只会区分 root 用户和非 root 用户(严格意义上说,是分为用户、组、其他人)。如果需要更细粒度的权限,比如允许 root 用户和 user_a 用户可以执行 rm 操作,不允许 user_b 用户执行,chmod 命令就不能满足了,此时需要使用 setfacl 命令。

1.2-使用 getfacl+setfacl

  • 首先使用 getfacl 查看 rm 的 acl 权限
 $ getfacl /bin/rm# file: bin/rm
# owner: root
# group: root
user::rwx # 所有用户都有x权限,即执行权限
group::r-x
other::r-x
复制代码
  • 关闭所有用户的执行权限
 $ setfacl -m user::rw /bin/rm
$ setfacl -m other::r /bin/rm
$ getfacl bin/rm
# file: bin/rm
# owner: root
# group: root
user::rw- # 所用用户的x权限被收回
group::r-x
other::r--
复制代码
  • 打开 root 用户的执行权限
 $ setfacl -m user:root:rwx /bin/rm
$ getfacl bin/rm
# file: bin/rm
# owner: root
# group: root
user::rw-
user:root:rwx # 给root用户添加了x权限
group::r-x
mask::rwx
other::r--
复制代码
  • 打开 user_a 用户的执行权限
 $ setfacl -m user:user_a:rwx /bin/rm
$ getfacl bin/rm
# file: bin/rm
# owner: root
# group: root
user::rw-
user:root:rwx # 给root用户添加了x权限
user:user_a:rwx # 给user_a用户添加了x权限
group::r-x
mask::rwx
other::r--
复制代码

通过上面的设置,就实现了:允许 root 用户和 user_a 用户可以执行 rm 操作,不允许 user_b 用户执行的需求了。

2-基础知识补充

2.1- Linux 文件基本属性介绍

我们知道,Linux 系统下的每个文件都有一个和权限相关的基本属性,通过 ls -l就可查看,如下图

  • 第一个黄色的表示文件类型:

    • d --- 表示是文件夹(directory)
    • - --- 表示是一个文件
    • l --- 表示是一个链接(link)
    • b --- 表示为装置文件里面的可供储存的接口设备(可随机存取装置)
    • c --- 表示为装置文件里面的串行端口设备,例如键盘、鼠标(一次性读取装置)
  • 第二个绿色表示是的用户的权限。权限分为 rwx

    • r --- 读权限,分值是5
    • w --- 写权限,分值是2
    • x --- 执行权限,分值是1
  • 第三个蓝色表示的是用户所在组的权限
  • 第四个红色表示的是其他用户的权限
  • 另外在红色后面,有时候还会出现 + 和 .

    • . --- 在开启SELinux的情况下创建的目录和文件有具有这个点,权限列有这个点说明该目录或文件以及设置了SELinux相关的权限。在禁用SELinux权限之后,在之前开启SELinux权限时创建的文件或目录保持原来的权限不变,权限列的点依然显示。新创建的目录或文件在权限列无这个点显示。
    • + --- 权限列中最后一个位置如果是加号,说明这个目录或文件已经设置了ACL权限相关的内容。如果加号存在,则已经有点的目录或文件,点的显示会被覆盖,但原来的SELinux属性保持不变

点表示该文件具有SELinux安全上下文,加号表示该文件配置了ACL权限,加号不会覆盖SELinux控制。

  • 第二列的数字表示的是硬链接的个数,可以理解为这个文件被引用了多少次
  • 第三列表示文件属于哪个用户
  • 第四列表示文件属于那个用户组
  • 第五列表示文件的大小,默认是 byte 显示,可以使用 ls -h 更加直观的看(h = human)
  • 第六-八列表示上次修改的时间
  • 最后一列是文件名称

2.2 - getfacl / setfacl

  • getfacl -- 获取文件访问控制列表
使用方法: getfacl  [-aceEsRLPtpndvh]  文件 ...-a,  --access           仅显示文件访问控制列表-d, --default           仅显示默认的访问控制列表-c, --omit-header     不显示注释表头-e, --all-effective     显示所有的有效权限-E, --no-effective      显示无效权限-s, --skip-base         跳过只有基条目(base entries)的文件-R, --recursive         递归显示子目录-L, --logical           逻辑遍历(跟随符号链接)-P, --physical          物理遍历(不跟随符号链接)-t, --tabular           使用制表符分隔的输出格式-n, --numeric           显示数字的用户/组标识-p, --absolute-names    不去除路径前的 '/' 符号-v, --version           显示版本并退出-h, --help              显示本帮助信息
复制代码
  • setfacl -- 设定文件访问控制列表
用法: setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ...-m, --modify=acl 更改文件的访问控制列表-M, --modify-file=file 从文件读取访问控制列表条目更改-x, --remove=acl 根据文件中访问控制列表移除条目-X, --remove-file=file 从文件读取访问控制列表条目并删除-b, --remove-all 删除所有扩展访问控制列表条目-k, --remove-default 移除默认访问控制列表--set=acl 设定替换当前的文件访问控制列表--set-file=file 从文件中读取访问控制列表条目设定--mask 重新计算有效权限掩码-n, --no-mask 不重新计算有效权限掩码-d, --default 应用到默认访问控制列表的操作-R, --recursive 递归操作子目录-L, --logical 依照系统逻辑,跟随符号链接-P, --physical 依照自然逻辑,不跟随符号链接--restore=file 恢复访问控制列表,和“getfacl -R”作用相反--test 测试模式,并不真正修改访问控制列表属性-v, --version           显示版本并退出-h, --help              显示本帮助信息
复制代码
  • 使用示例
 $ getfacl test
# file: test
# owner: root
# group: root
user::r-x
user:tank:rwx                   #effective:---
group::r-x                      #effective:---
mask::---
other::---$ setfacl -m u:zhangy:rw- test #修改文件的acl权限,添加一个用户权限
$ getfacl test
# file: test
# owner: root
# group: root
user::r-x
user:zhangy:rw-                       #多出来一个用户
user:tank:rwx
group::r-x
mask::rwx
other::---$ setfacl -m g:zhangying:r-w test      #添加一个组
$ getfacl test
# file: test
# owner: root
# group: root
user::r-x
user:zhangy:rw-
user:tank:rwx
group::r-x
group:zhangying:rw-
mask::rwx
other::---$ getfacl test     #查看acl
# file: test
# owner: root
# group: root
user::rw-
group::r--
other::r--$ setfacl -m u:tank:rx test   #给tank用户向test文件增加读和执行的acl规则
$ getfacl test    #查看acl
# file: test
# owner: root
# group: root
user::rw-
user:tank:r-x      #已加入
group::r--
mask::r-x
other::r--$ setfacl -m u::rwx test   #设置默认用户,读,写,可执行
$ getfacl test
# file: test
# owner: root
# group: root
user::rwx
user:tank:r-x
group::r--
mask::r-x
other::r--$ setfacl -b test     #清除所有acl
$ getfacl test 
# file: test
# owner: root
# group: root
user::rwx
group::r--
other::r--$ setfacl -m u:tank:rx test      #给tank用户向test文件增加读和执行的acl规则
$ setfacl -m u:testtank:rx test  #给testtank用户向test文件增加读和执行的acl规则
$ getfacl test
# file: test
# owner: root
# group: root
user::rwx
user:testtank:r-x
user:tank:r-x
group::r--
mask::r-x
other::r--$ setfacl -x u:tank test    #清除tank用户,对test文件acl规则
$ getfacl test
# file: test
# owner: root
# group: root
user::rwx
user:testtank:r-x
group::r--
mask::r-x
other::r--

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/57045.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Android 公历农历

SolarLunarView 公历农历 - 日历View 1.显示中国节假日 2.公历 3.农历 预览 资源 名字资源AARsolar_lunar_view.aarGiteeSolarLunarViewGitHubSolarLunarView Maven 1.build.grade | setting.grade repositories {...maven { url https://jitpack.io } }2./app/build.gra…

php 获取农历,PHP获取农历、阳历转阴历

PHP获取农历、阳历转阴历 <?php class lunar{ #农历每月的天数 var $everyCMontharray( 0>array(8,0,0,0,0,0,0,0,0,0,0,0,29,30,7,1), 1>array(0,29,30,29,29,30,29,30,29,30,30,30,29,0,8,2), 2>array(0,30,29,30,29,29,30,29,30,29,30,30,30,0,9,3), 3>arr…

【微信小程序】农历公历互相转换

文章目录 需求来源实战代码核心方法运行效果工具方法 其他优化 需求来源 之前写了一篇获取农历日期的文章&#xff0c;【微信小程序】获取农历及星期&#xff0c;后来想到我这个小程序【TimeAssistant】中的“远离工作”功能模块还得优化&#xff0c;具体功能界面如下图 此功能…

阳历转换成阴历PHP实现详解

结合上次做的日历&#xff0c;提前粘贴一下效果图 当前月份 下一个月 相关概念 阳历&#xff0c;有很强的规律性。每年12个月&#xff0c;1、3、5、7、8、10、12月都为31天&#xff1b;平年2月份28天&#xff0c;润年2月份29天&#xff0c;其余的月30天。 阴历&#x…

c语言中万年历公历农历转换,公历农历转换,教你切换阳历和阴历生日

公历&#xff0c;又叫阳历&#xff0c;农历&#xff0c;又叫阴历&#xff0c;阳历和阴历所依据的参照物不同&#xff0c;计算方法也不一样&#xff0c;应该如何换算呢&#xff1f;下面就来看看本文关于公历农历转换&#xff0c;教你切换阳历和阴历生日的分析吧。 一、快速切换方…

阳历转阴历,阳历转中国农历

文章目录 阳历转阴历&#xff0c;阳历转中国农历 阳历转阴历&#xff0c;阳历转中国农历 阳历转阴历一直都是很繁琐的过程&#xff0c;所以我制作了一个开发包&#xff0c;来方便我们转换阳历到中国农历。 让我们下载 moon-time&#xff1a; moon-time 是一个将阳历转换为阴…

软件设计师---结构化开发

笔记有错误欢迎直接在评论区进行纠正&#xff01;我将不再维护软件设计师笔记&#xff01; 结构化开发上午题大概4分 模块化 耦合 真题 真题1 真题2 这里不要一看到数据结构就觉得是标记耦合&#xff0c;标记耦合是两个模块传递的是数据结构&#xff0c;而这里没有传递&…

软件工程之结构化方法

结构化方法 结构化分析结构化分析模型数据流图 结构化分析过程需求规格说明书需求验证 结构化设计总体设计体系结构设计接口设计数据设计 详细设计详细设计工具 软件设计规约 结构化分析 结构化方法是一种特定的软件开发方法学。 结构化方法就软件需求分析而言&#xff0c;即…

实验一 结构化分析(软件工程)

&#xff08;一&#xff09;实验目的要求 1. 了解Visio/在线绘图工具的功能特色 2. 了解Visio/在线绘图工具的工具环境 3. 运用Visio/在线绘图工具绘制数据流图 4. 能够运用Visio/在线绘图工具绘制系统E-R图 &#xff08;二&#xff09;实验材料和仪器设备 1. PC机 2. V…

【软件工程】之结构化分析

结构化分析 6.1引言6.2结构化分析建模6.3面向数据流的建模方法6.4面向数据的建模方法6.5面向状态的建模方法6.6思考题1、结构化分析的特点2、数据流图的建模元素3、数据字典 结构化需求分析的建模方法&#xff1a; ①面向数据流的建模方法&#xff1a; 数据流图(DFD)-功能域 ②…

系分 - 结构化方法【概念】

个人总结&#xff0c;仅供参考&#xff0c;欢迎加好友一起讨论 文章目录 系分 - &#xff08;概念&#xff09;结构化方法结构化分析&#xff08;SA&#xff0c;Structured Analysis&#xff09;结构化设计&#xff08;SD&#xff0c;Structured Design&#xff09;结构化程序设…

软件工程——结构化分析

目录 一、结构化分析方法 二、功能建模 三、数据建模 四、行为建模 五、数据字典 六、加工规格说明 一、结构化分析方法 传统的分析建模方法称为结构化分析&#xff08;structured analysis&#xff0c;SA&#xff09;方法。 最有代表性的是一种面向数据流进行需求分析的方…

GPT-4“王炸”发布!1秒生成网站!

果然&#xff0c;能打败昨天的OpenAI的&#xff0c;只有今天的OpenAI。 刚刚&#xff0c;OpenAI震撼发布了大型多模态模型GPT-4&#xff0c;支持图像和文本的输入&#xff0c;并生成文本结果。 OpenAI老板Sam Altman直接开门见山地介绍说&#xff1a; 这是我们迄今为止功能最强…

StackLLaMA: 用 RLHF 训练 LLaMA 的手把手教程

来自&#xff1a;Hugging Face 进NLP群—>加入NLP交流群 如 ChatGPT&#xff0c;GPT-4&#xff0c;Claude 这样的语言模型之所以强大&#xff0c;是因为它们采用了 基于人类反馈的强化学习 (Reinforcement Learning from Human Feedback, RLHF) 来使之更符合我们的使用场景。…

ChatGPT 已能操控机器人,工程师连代码都不用写,网友:微软在搞天网?

Alex 发自 凹非寺 本文源自&#xff1a;量子位 | 公众号 QbitAI 当我还在跟ChatGPT吹牛尬聊时&#xff0c;有人已经在拿它操控机器人了。 不是别人&#xff0c;正是OpenAI的金主爸爸、不久前刚拿ChatGPT“重新发明搜索引擎”的微软。 到目前为止&#xff0c;开发者调教机器人…

自从使用了Cursor工作效率飞起

什么是Cursor 官网&#xff1a;https://www.cursor.so/ 看官网接受大家应该就知道是什么东西了&#xff0c;他是一个开源的AI编程编辑器。开源地址https://github.com/getcursor/cursor 目前在国内是可以不需要其他东西&#xff0c;可以之间访问的。而且目前免费使用。支持多…

大模型惨遭人类大范围攻击!国内各领域专家组团投毒,GPT-4 也 Hold 不住

这是「进击的Coder」的第 852 篇技术分享 作者&#xff1a;关注前沿科技 来源&#xff1a;量子位 “ 阅读本文大概需要 9 分钟。 ” 包括 GPT-4 在内等多个大模型惨遭人类攻击&#xff01;还是大范围、多边形那种。 而且这个军团被爆个个来头不小。 包括社会学家李银河、心理学…

宵夜杂谈 | Uni3D是自动驾驶脱不去的长衫?

作者 | matrix明仔 编辑 | 汽车人 原文链接&#xff1a;https://zhuanlan.zhihu.com/p/616531799 点击下方卡片&#xff0c;关注“自动驾驶之心”公众号 ADAS巨卷干货&#xff0c;即可获取 点击进入→自动驾驶之心【全栈算法】技术交流群 1说在前面的话 我一个朋友昨天喝了两大…

CUDA实战 | CUDA卷积算子手写详细实现流程!

作者 | Pegessi 编辑 | 极市平台 原文链接&#xff1a;https://zhuanlan.zhihu.com/p/613538649 点击下方卡片&#xff0c;关注“自动驾驶之心”公众号 ADAS巨卷干货&#xff0c;即可获取 点击进入→自动驾驶之心【模型部署】技术交流群 后台回复【CUDA】获取CUDA实战书籍&…

万字长文 | 详解CUDA卷积算子手写实现

作者 | Pegessi 编辑 | 极市平台 原文链接&#xff1a;https://zhuanlan.zhihu.com/p/613538649 点击下方卡片&#xff0c;关注“自动驾驶之心”公众号 ADAS巨卷干货&#xff0c;即可获取 点击进入→自动驾驶之心【模型部署】技术交流群 导读 本篇文章主要介绍如何利用CUDA实现…