413课堂练习《第六章》管理附加文件权限

78 阅读 0 评论 52 点赞

我是靠谱客的博主深情麦片，最近开发中收集的这篇文章主要介绍413课堂练习《第六章》管理附加文件权限，觉得挺不错的，现在分享给大家，希望可以做个参考。

概述

目录
413课堂练习《第一章》跟踪安全更新
413课堂练习《第二章》管理软件更新
413课堂练习《第三章》创建文件系统
413课堂练习《第四章》管理文件系统
413课堂练习《第五章》特殊权限管理
413课堂练习《第六章》管理附加文件权限
413课堂练习《第七章》监视文件系统变更
413课堂练习《第八章》管理用户账户
413课堂练习《第九章》管理PAM
413课堂练习《第十章》加强控制台安全
413课堂练习《第十一章》安装CA中心
413课堂练习《第十二章》管理CA中心
413课堂练习《第十三章》配置系统日志
413课堂练习《第十四章》配置系统审计
413课堂练习《第十五章》控制网络服务访问

课堂演示
1. 以student身份登录，查看umask
[student@serverX ~]$ umask
0002

2. 创建新文件以及目录，查看umask如何影响权限
[student@serverX ~]$ touch newfile1
[student@serverX ~]$ mkdir newdir1

3. 将umask设置为0， 创建新文件以及目录，查看umask如何影响权限
[student@serverX ~]$ umask 0
[student@serverX ~]$ touch newfile2
[student@serverX ~]$ mkdir newdir2

4. 将umask设置为007， 创建新文件以及目录，查看umask如何影响权限
[student@serverX ~]$ umask 007
[student@serverX ~]$ touch newfile3
[student@serverX ~]$ mkdir newdir3

5. 将umask设置为027， 创建新文件以及目录，查看umask如何影响权限
[student@serverX ~]$ umask 027
[student@serverX ~]$ touch newfile4
[student@serverX ~]$ mkdir newdir4

6. 以root身份登录，设置umask使不属于用户组的非授权用户不能访问
[root@serverX ~]# vim /etc/bashrc
......
if [ $UID -gt 199 ] && [ "`id -gn`" = "`id -un`" ]; then
umask 007
else
umask 022
......
[root@serverX ~]# vim /etc/profile
......
if [ $UID -gt 199 ] && [ "`id -gn`" = "`id -un`" ]; then
umask 007
else
umask 022
......

7. 以student身份登录，确认umask的永久改变
[student@serverX ~]$ umask

课堂演示
1. 以student身份登录，确保student不能更改/etc/motd
[student@serverX ~]$ vim /etc/motd

2. 以root身份登录，增加ACL配置，使student对/etc/motd可读写
[root@serverX ~]# getfacl /etc/motd
[root@serverX ~] # setfacl -m u:student:rw /etc/motd

3. 以student身份修改/etc/motd，并使用ssh确认修改结果
[student@serverX ~]$ echo 'Welcome from student!' >> /etc/motd
[student@desktopX ~]$ ssh serverX

4. 以root身份创建/var/tmp/collab目录，增加默认ACL配置，使student对/var/tmp/collab中创建的文件能读能写
[root@serverX ~]# mkdir /var/tmp/collab
[root@serverX ~]# setfacl -m d:u:student:rw /var/tmp/collab

5. 以root身份创建/var/tmp/collab/rootfile文件
[root@serverX ~]# echo root file contents > /var/tmp/collab/rootfile

6. 以student身份在 /var/tmp/collab/rootfile文件中增加一行
[student@serverX ~]$ echo 'student was here' >> /var /tmp/collab/rootfile

7. 确认编辑成功
[root@serverX ~]# cat /var/tmp/collab/rootfile

案例（限制用户权限）
1. 修改默认umask为027
[root@serverX ~]# vim +62 /etc/profile
[root@serverX ~]# vim +66 /etc/bashrc
[root@serverX ~]# grep -n 'umask 027' /etc/profile /etc/bashrc
/etc/profile:62: umask 027
/etc/bashrc:66: umask 027

2. 创建/home/project目录，使peg和rex用户对此目录以及目录中的文件有全权，而其他用户无任何权利
[root@serverX ~]# mkdir /home/project
[root@serverX ~]# setfacl -m u:peg:rwx /home/project
[root@serverX ~]# setfacl -m u:rex:rwx /home/project
[root@serverx ~]# setfacl -m d:u:peg:rwx /home/ project
[root@serverX ~]# setfacl -m d:u:rex:rwx /home/project
[root@serverX ~]# setfacl -m o:- /home/project
[root@serverX ~]# setfacl -m d:o :- /home/project

3. 对上述目录及内容给ann和joe用户只读权限
[root@serverX ~]# setfacl -m u:ann:rx /home/project
[root@serverX ~]# setfacl -m u:joe:rx /home/project
[root@serverX ~]# setfacl -m d:u:ann: rx /home/project
[root@serverX ~]# setfacl -m d:u:joe:rx /home/project

4. 检查ACL列表
[root@serverX ~] # getfacl /home/project/

5. 创建/home/project/sensitive文件并检查ACL设置
[root@serverX ~]# touch /home/project/sensitive
[root@serverX ~]# setfacl -x u:ann /home/project/sensitive
[root@serverX ~]# setfacl -x u:joe /home/project/sensitive
[root@serverX ~]# getfacl /home/project/sensitive
......
user::rw-
user:peg:rwx
user:rex:rwx
group::r-x
mask::rwx
other::---

6. 以root身份在文件中增加一行
[root@serverX ~] # echo secret stuff > /home/project/sensitive

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/24644775/viewspace-1253285/，如需转载，请注明出处，否则将追究法律责任。

转载于:http://blog.itpub.net/24644775/viewspace-1253285/