Linux基础与服务管理课件 第11讲 Linux操作系统--系统高级权限.pptxVIP

项目三：账户与权限管理任务3：系统高级权限

CONTENT目录课堂引入学习任务0102总结与巩固04教学内容技能拓展03

教学目标素质目标知识目标（1）线上线下结合，引导学习方式，培养自主学习能力。（2）线上课程现场演示命令操作，将理论应用到实践，培养学生的观察能力，研究精神。（1）学生能够准确了解SET位特殊权限的概念。（2）学生能够了解粘滞位权限和ACL权限的概念。（3）学生能够了解ACL权限与传统权限的区别。能力目标（1）学生能够能够熟练操作SET权限的操作方法。（2）学生能够熟练操作粘滞位的设置方法。

教学重点与难点教学重点（1）SET位特殊权限的作用（2）粘滞位权限的作用教学难点（1）特殊权限与实际应用的关系

课堂导入01

课堂活动：1.复习上一节课讲的权限管理。

学情分析：为什么要学习高级权限在linux中同个系统可以有多个用户，用户的创建就是在passwd文件、shadow文件、group文件、gshadow文件中添加记录，修改密码时，root用户可以修改所有的，普通用户也可以修改自己的密码，但是这些都是对shadow文件的修改，换句话说普通用户在文件中可以修改root密码造成系统的不安全。linux中通过高级权限来处理。

学习任务02

SET权限（SUID、SGID、SBIT）（1）SUID命令：chmodu+s可执行文件SUID可以让普通用户对某个可执行命令拥有属主的权限，比如普通用户可以用passwd命令，然而passwd的权限为：可以看到passwd的属主权限是rws，即x被赋予了特殊权限，其他用户执行该命令的时候也会拥有属主的权限。例：*通过这个例子可以看出，当我们赋予rm特殊权限后，即使普通用户对文件没有写入权限，也可以使用特殊权限对其操作。

SET权限（SUID、SGID、SBIT）（2）SGID（命令：chmodg+s目录）SGID可以让其他用户对某个可执行命令拥有属组权限，原理同SUID，只是这个是属组中x被赋予特殊权限，具体不再详解，请看例子：（3）SBIT（粘滞位权限）可以看到wall的属组权限是r-s，即x被赋予了特殊权限，其他组执行该命令的时候也会拥有属组的权限。删除SGID特殊权限：chmodg-s/usr/bin/wall,关于chmod的命令这里就不解释了。SBIT是针对others来设置的，SBIT目前只针对目录有效，对于目录的作用是：普通用户对该目录拥有w和x权限，即普通用户可以在此目录中拥有写入权限，如果没有粘滞位，那么普通用户拥有w权限，就可以删除此目录下的所有文件，包括其他用户建立的文件。但是一旦被赋予了粘滞位，除了root可以删除所有文件，普通用户就算有w权限也只能删除自己建立的文件，而不能删除其他用户建立的文件。像/tmp目录(drwxrwxrwt.)，任何人可以在/tmp内增加、修改文件,但是这个目录只有root和自己才能够删除文件。举例说明：

文件隐藏权限（chattr、lattr）linux中有些文件，虽然我们对这个文件有权限，却没有办法编辑和删除，或者仅能对这个文件追加等操作，这个就涉及到了linux的隐藏权限。（1）、chattr命令用来改变文件属性（chattr[+|-选项][文件]）。A： 告诉系统不要修改对这个文件的最后访问时间。S： 一旦应用程序对这个文件执行了写操作，使系统立刻把修改的结果写到磁盘。a： 系统只允许在这个文件之后追加数据，不允许任何进程覆盖或截断这个文件。如果目录具有这个属性， 系统将只允许在这个目录下建立和修改文件，而不允许删除任何文件。b： 不更新文件或目录的最后存取时间。c： 将文件或目录压缩后存放。d： 当dump程序执行时，该文件或目录不会被dump备份。D: 检查压缩文件中的错误。i： 系统不允许对这个文件进行任何的修改。如果目录具有这个属性，那么任何的进程只能修改目录之下的 文件，不允许建立和删除文件。s： 彻底删除文件，不可恢复，因为是从磁盘上删除，然后用0填充文件所在区域。u： 当一个应用程序请求删除这个文件，系统会保留其数据块以便以后能够恢复删除这个文件，用来防止意 外删除文件或目录。t: 文件系统支持尾部合并（tail-merging）。X： 可以直接访问压缩文件的内容。

文件隐藏权限（chattr、lattr）（1）chattr命令用来改变文件属性（chattr[+|-选项][文件]）。1例：用chattr命令防止系统中某个关键文件被修改。

命令：chattr+i/etc/fstab2例：让某个文件只能往里面追加内容，不能删除。

命令：chattr+a/data1/user_act.log（2）lattr用来查看隐