1.1ACL权限

首先我们来看下我们的系统有哪些分区：df -h 命令

查看分区的详细信息：dumpe2fs -h 分区路径

-h 仅显示超级块中的信息。

我们重新挂载根分区，并挂载加入ACL权限使用以下命令：

永久开启分区的ACL权限：

执行以下命令使修改生效：

给用户设定ACL权限步骤如下：

ACL权限的设置：setfacl  选项 文件名

选项：

-m 设定ACL权限

-x删除指定的ACL权限

-b删除所有的ACL权限

-d 设定默认的ACL权限

-k删除默认ACL权限

-R递归设定ACL权限

ACL权限的查看：getfacl   文件名

我们再看下最大有效权限mask.

删除指定用户的ACL权限：

如果是删除指定用户组的ACL权限，则使用下面命令：

setfacl  -x g:组名称  文件名

删除该目录下所有的ACL权限：

1.2文件特殊权限

(1)SetUID

SetUID权限设定注意事项：

• 只有可以执行的二进制程序才能设定SUID权限
• 命令执行者要对该程序拥有x（执行）权限
• 命令执行者在执行该程序时获得该程序文件属主的身份
• SetUID权限只在该程序执行过程中有效，也就是说身份改变只在程序执行过程中有效
• passwd命令拥有SetUID权限，所以普通可以修改自己的密码

(2)SetGID

SetUID权限设定注意事项：

• 只有可执行的二进制程序才能设置SGID权限
  
• 命令执行者要对该程序拥有x（执行）权限
  
• 命令执行在执行程序的时候，组身份升级为该程序文件的属组
  
• SetGID权限同样只在该程序执行过程中有效，也就是说组身份改变只在程序执行过程中有效
  

(3)Sticky BIT

SBIT粘着位作用：

• 粘着位目前只对目录有效
• 普通用户对该目录拥有w和x权限，即普通用户可以对此目录具有写入的权限
• 如果没有粘着位，普通用户拥有w权限，可以删除此目录下的所有文件，包括其他用户建立的文件。一旦赋予了粘着位，除了root可以删除所有文件，普通用户就算拥有w权限，也只能删除自己创建的文件，不能删除其他用户创建的文件。

粘着位的取消：chmod  755 目录名

1.3文件系统属性权限

chattr命令格式：chattr +  选项   文件名

+: 增加权限
-: 删除权限
=: 等于某权限
选项：

1)  i：如果对文件设置i属性，那么不允许对文件进行删除、改名，也不能添加和修改数据；如果对目录
设置i属性，那么只能修改目录下文件的数据，但不允许建立和删除文件。
2) a：如果对文件设置a属性，那么只能在文件中增加数据，但是不能删除也不能修改数据；如果对目录设置a属性，那么只允许在目录中建立和修改文件，但是不允许删除。

1.4系统命令sudo权限

sudo权限：

1)root把本来只能超级用户执行的命令赋予普通用户执行.
2)sudo的操作对象是系统命令.

sudo的使用：

[[email protected] ~]# visudo
#实际修改的是/etc/sudoers文件
root ALL=(ALL) ALL
#用户名 被管理主机的地址=（可使用的身份） 授权命令（绝对路径）
# %wheel ALL=(ALL) ALL
#%组名 被管理主机的地址=（可使用的身份） 授权命令（绝对路径）

普通用户执行sudo赋予的命令：

[[email protected] ~]# su – an
[[email protected] ~]$ sudo -l
#查看可用的sudo命令
[[email protected] ~]$ sudo /sbin/shutdown -r now
#普通用户执行sudo赋予的命令