Linux高级权限管理：ACL用法简介

Linux高级权限管理：ACL用法简介

来源: ChinaUnix博客

前段时间，在Linux上设置一个目录的访问权限时，发现通过简单的chmod操作不能满足自己的需求，

问题：如果用root帐号创建了一个目录DIR，有A,B,C,D四组用户，我想给A组用户读写执行的权限（rwx），给B组用户读写的权限（rw-），给C组用户读的权限（r--），不给D任何权限（---），要如何实现？

UGO的局限性

通常大家熟悉的是UGO的权限管理方式（User, Group,

Other），即对一个文件的所有者，所属组和其他用户来分别设置该文件的读写执行权限。对于简单应用来说，这种粗粒度的权限管理方式已经够用了，设置起

来也很方便。然而，当我们需要对某个文件进行较复杂详细的权限设置时，UGO方式就显示出了其局限性。

如，对于本文开始所提出的问题，需要为四组不同用户设置对目录DIR的不同访问权限，而UGO方式只能对目录的所有者，所属组，以及其他用户设置不同权限，即最多只能设置3种不同权限，还不能对多个不同用户分别设置。

ACL则很好的满足了这样的需求。

ACL简介

ACL，全称Access Control

List，即文件/目录的访问控制列表，可以针对任意指定的用户/组分配rwx权限。现在主流的商业Unix系统都支持ACL。FreeBSD也提供了对

ACL的支持。Linux在这个方面也不会落后，从2.6版内核开始支持ACL[1]。顾名思义，ACL将用户对一个文件访问权限就像是放在了一个列表

里，列表的每一项分别对应了一个或一组具体用户对该文件的特定访问权限。这就使任意的访问权限管理成为了可能。

下面我们来看看如何通过ACL进行详细的文件访问权限管理。

检查ACL包安装情况

首先检查你的Linux系统的核心是否有支持ACL的功能。因为Linux系统并

不是每一个版本的核心都有支持ACL的功能，而且即使在kernel 中已加进了ACL

的支持，也不一定已经自动启用。最简单的方法就是检查系统目前的核心能否支持，下面是我在ubuntu8.04上面查看boot/config文件的结

果：

zhou@zhou-desktop:~$ uname -a

Linux zhou-desktop 2.6.24-23-generic #1 SMP Thu Feb 5 15:00:25 UTC 2009 i686 GNU/Linux

zhou@zhou-desktop:~$ cat /boot/config-2.6.24-23-generic | grep -i acl CONFIG_EXT2_FS_POSIX_ACL=y

CONFIG_EXT3_FS_POSIX_ACL=y

CONFIG_FS_POSIX_ACL=y

CONFIG_GENERIC_ACL=y

CONFIG_JFS_POSIX_ACL=y

CONFIG_NFSD_V2_ACL=y

CONFIG_NFSD_V3_ACL=y

CONFIG_NFS_ACL_SUPPORT=m

CONFIG_NFS_V3_ACL=y

CONFIG_REISERFS_FS_POSIX_ACL=y

CONFIG_TMPFS_POSIX_ACL=y

CONFIG_XFS_POSIX_ACL=y

如果看到该文件里包含了以上多个POSIX_ACL=y的行，说明ACL已经编译到了内核中，如ext2, ext3等文件系统已经能够支持ACL功能。

在基于Debian的系统，如ubuntu中，可以使用dpkg命令来查看是否已经安装了acl 相应软件包。

zhou@zhou-desktop:~$ dpkg -l | grep -i acl

ii acl 2.2.45-1 Access control list utilities

ii libacl1 2.2.45-1 Access control list shared library

开启ACL选项

即使系统已经支持了ACL，通常系统是不会自动开启acl选项的，因此需要手动重新加载文件系统，开启acl选项：

$ mount -o remount,acl /

后面的/ 是硬盘分区，-o后面的两个选项，分别表示重新加载根分区，和开启acl选项。当然，在重新加载文件系统时也可以指定文件系统类型和路径：

$ mount -t ext3 -o remount,acl /home

若没有提示错误，则表示重新加载成功。

如果希望系统启动时自动开启ACL选项，可以在/etc/fstab文件中进行设置，找到希望开启ACL选项的文件系统对应行，在选项栏中加入",acl"，保存退出。在下次启动系统时则将自动开启ACL选项。

UUID=32308755-b5ed-426b-a49c-cc8951aa1eb3

/ ext3 relatime,acl,errors=remount-ro 0

如上行中的红色部分，表明在根文件系统上自动开启ACL选项。

ACL设置

ACL的主要命令有2个：getfacl和setfacl，下面分别对其进行简单介绍。

getfacl，用于获取文件的acl权限信息，基本用法如下：

zhou@zhou-desktop:~/Temp$ getfacl aclTest/

# file: aclTest

# owner: zhou

# group: zhou

user::rwx

group::r-x

other::r-x

注意，即使该文件系统上没有开启ACL选项，getfacl命令仍然可用，不过只显示默认的文件访问权限，即与ls -l显示的内容相似：

zhou@zhou-desktop:~/Temp$ ls -l

drwxr-xr-x 2 zhou zhou 4096 2009-03-18 19:29 aclTest

setfacl，用于详细设置文件的访问权限，基本用法如下：

setfacl –[mxdb] file/dir

-m 建立一个ACL规则

-x 删除一个ACL规则

-b 删除全部的ACL规则

下面来看具体例子。

添加/修改ACL规则：-m选项，为用户guest和组guset设置aclTest目录的读写权限，并使用getfacl查看设置结果：

zhou@zhou-desktop:~/Temp$ setfacl -m u:guest:rw,g:guest:rw aclTest/ zhou@zhou-desktop:~/Temp$ getfacl aclTest/

# file: aclTest

# owner: zhou

# group: zhou

user::rwx

user:guest:rw-

group::r-x

group:guest:rw-

mask::rwx

other::r-x

可以看到，目录aclTest的ACL中多了3条规则（蓝色部分）。其中，user:guest:rw-和group:guest:rw-为我们设置的访问权限，而mask::rwx为自动添加的内容。mask 权限的作用我们在后文将进行介绍。

删除ACL规则：删除用户guest对目录aclTest的访问权限：

zhou@zhou-desktop:~/Temp$ setfacl -x u:guest aclTest/

zhou@zhou-desktop:~/Temp$ getfacl aclTest/

# file: aclTest

# owner: zhou

# group: zhou

user::rwx

group::r-x

group:guest:rw-

mask::rwx

other::r-x

可以看到，用户guest对于目录aclTest的访问权限已经完全删除了。注意，这里不能指定删除guest对aclTest的某一个权限，如setfacl -x u:guest:w aclTest/ 将提示参数错误。

删除文件的所有ACL规则：-b选项

zhou@zhou-desktop:~/Temp$ setfacl -b aclTest/

zhou@zhou-desktop:~/Temp$ getfacl aclTest/

# file: aclTest

# owner: zhou

# group: zhou

user::rwx

group::r-x

other::r-x

覆盖文件的原有ACL规则：--set选项。注意，-m选项只是修改已有的配置或是新增加一些，而--set选项和-m不同，它会把原有的ACL项全都删除，并用新的替代，需要注意的是--set选项的参数中一定要包含UGO的设置，不能象-m一样只是添加ACL就可以了。使用方法如下所示：

zhou@zhou-desktop:~/Temp$ setfacl --set u::rwx,g::rx,o::rx,u:guest:rwx,g:guest:rwx aclTest/

zhou@zhou-desktop:~/Temp$ getfacl aclTest/

# file: aclTest

# owner: zhou

# group: zhou

user::rwx

user:guest:rwx

group::r-x

group:guest:rwx

mask::rwx

other::r-x

如果在后面的参数中没有写明UGO参数，即u::rwx,g::rx,o::rx，系统将提示参数缺失。另外，如果使用ls -l命令查看设置了ACL的文件，将会发现其访问权限位后面比一般文件多了一个+号：

zhou@zhou-desktop:~/Temp$ ls -l

drwxrwx---+ 2 zhou zhou 4096 2009-03-18 19:29 aclTest

最后我们来说说mask

如果说ACL的优先级高于UGO，那么mask就是一个名副其实的最后一道防线。它决定了一个用户/组能够得到的最大的权限。这样我们在不改变已有ACL的定义的基础上，可以临时提高或是降低安全级别：

zhou@zhou-desktop:~/Temp$ setfacl -m mask::r aclTest/

zhou@zhou-desktop:~/Temp$ getfacl aclTest/

# file: aclTest

# owner: zhou

# group: zhou

user::rwx

user:guest:rwx #effective:r--

group::r-x #effective:r--

group:guest:rwx #effective:r--

mask::r--

other::r-x

可以看到，在我们将mask访问权限设置为只读时，mask行以上的ACL权限，

除文件所有者外，都变成了只读，即#effective:r--所标识的实际权限。这就为临时改变整体权限和迅速恢复提供了便利。mask只对其他用户和

组的权限有影响，对owner和other的权限是没有任何影响的。在使用了ACL的情况下，group的权限显示的就是当前的mask。通常我们把

mask设置成rwx，以不阻止任何的单个ACL项

到此为止，我们已经可以轻而易举地解决本文开头提出的问题了，只需要使用ACL为四组用户设置相应权限即可。最终设置结果如下：

zhou@zhou-desktop:~/Temp$ getfacl aclTest/

# file: aclTest

# owner: zhou

# group: zhou

user::---

group::---

group:groupA:rwx

group:groupB:rw-

group:groupC:r--

group:groupD:---

mask::rwx

other::---

本文对ACL的使用只作了简单粗略的介绍，若读者希望进行深入研究，可以参考本文后续的参考资料。

参考资料：

1. Linux ACL 体验,

https://www.wendangku.net/doc/db12797976.html,/developerworks/cn/linux/l-acl/

2. POSIX Access Control Lists on Linux,

https://www.wendangku.net/doc/db12797976.html,/Linux/ACL/POSIX_ACL_on_Linux.html

3. Linux—acl用法,

https://www.wendangku.net/doc/db12797976.html,/loverwind/archive/2008/10/20/3109498.aspx

4. 文件权限管理－POSIX ACL，

https://www.wendangku.net/doc/db12797976.html,/network_security_zone/2008/0530/893022.shtml 5. Linux ACL学习笔记，

https://www.wendangku.net/doc/db12797976.html,/Blog/cns!490DE0D7BCF1AB67!249.entry

信息系统用户和权限管理制度

物流信息系统用户和权限管理制度 第一章总则 第一条为加强物流信息系统用户账号和权限的规范化管理,确保物流信息系统安全、有序、稳定运行，防范应用风险，杜绝公司商业数据外泄，特制定本制度。 第二条物流信息系统用户、角色、权限的划分和制定，以人力资源部对部门职能定位和各业务部门内部分工为依据。 第三条物流信息系统须指定系统管理员负责用户和权限管理的具体操作。 第四条物流信息系统用户和权限管理的基本原则是： （一）账号申请或权限修改，由使用人报本部门分管副总和总经理审核。 （二）用户、权限和口令设置、U盾由系统管理员全面负责。 （三）用户、权限和口令管理、U盾必须作为物流信息系统登陆的强制性技术标准或要求。 （四）用户采用实名制管理模式。 （五）用户必须使用自己的U盾和密码登陆系统，严禁挪用、转借他人。 第二章管理职责 第五条超级系统管理员职责 负责本级用户管理以及对下一级系统管理员管理。包括创建各类申请用户、用户有效性管理、为用户分配经授权批准使用的业务系统、为业务管理员提供用户授权管理的操作培训和技术指导。 第八条业务管理员职责 负责本级本业务系统角色制定、本级用户授权及下一级本业务系统业务管理员管理。负责将上级创建的角色或自身创建的角色授予相应的本级用户和下一级业务管理员，为本业务系统用户提供操作培训和技术指导，使其有

权限实施相应业务信息管理活动。 第九条用户职责 用户须严格管理自己用户名和口令以及U盾，遵守保密性原则，除获得授权或另有规定外，不能将收集的数据信息向任何第三方泄露或公开。系统内所有用户信息均必须采用真实信息，即实名制登记。 第三章用户管理 第十条用户申请和创建 （一）申请人在《用户账号申请和变更表》上填写基本情况，提交所在部门分管副总； （二）所在部门分管副总确认申请业务的用户身份权限，并在《用户账号申请和变更表》上签字确认，提交总经理审核。 （三）总经理审核并在《用户账号申请和变更表》上签字确认。 （四）申请人持签字确认的《用户账号申请和变更表》到行政后勤部领取U盾（修改权限不需领取U盾）。 （五）申请人持签字确认的《用户账号申请和变更表》和U盾到信息中心,创建用户或者变更权限。 （六）系统管理员和业务管理员将创建的用户名、口令告知申请人本人，并要求申请人及时变更口令； （七）系统管理员和业务管理员将《用户账号申请和变更表》存档管理。 第十一条用户变更和停用 （一）用户因工作岗位变动，调动、离职等原因导致使用权限发生变化或需要注销其账号时，应填写《用户账号申请和变更表》，按照用户账号停用的相关流程办理，由系统管理员和业务管理员对其权限进行修改或注销。 （二）行政后勤部主管确认此业务用户功能权限改变原因或离职，并在《用户账号申请和变更表》上签字确认； （三）用户归属部门主管确认此业务用户功能权限改变原因或离职，并

ACL访问控制列表配置要点

ACL的使用 ACL的处理过程： 1.它是判断语句，只有两种结果，要么是拒绝（deny），要么是允许（permit） 2.语句顺序 按照由上而下的顺序处理列表中的语句 3. 语句排序 处理时，不匹配规则就一直向下查找，一旦某条语句匹配，后续语句不再处理。 4.隐含拒绝 如果所有语句执行完毕没有匹配条目默认丢弃数据包，在控制列表的末尾有一条默认拒绝所有的语句，是隐藏的（deny） 要点： 1.ACL能执行两个操作：允许或拒绝。语句自上而下执行。一旦发现匹配，后续语句就不再进行处理---因此先后顺序很重要。如果没有找到匹配，ACL末尾不可见的隐含拒绝语句将丢弃分组。一个ACL应该至少有一条permit语句；否则所有流量都会丢弃，因为每个ACL末尾都有隐藏的隐含拒绝语句。 2.如果在语句结尾增加deny any的话可以看到拒绝记录 3.Cisco ACL有两种类型一种是标准另一种是扩展，使用方式习惯不同也有两种方式一种是编号方式，另一种是命名方式。 示例： 编号方式 标准的ACL使用1 ~ 99以及1300~1999之间的数字作为表号，扩展的ACL使用100 ~ 199以及2000~2699之间的数字作为表号 一、标准（标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。） 允许172.17.31.222通过，其他主机禁止 Cisco-3750(config)#access-list 1（策略编号）（1-99、1300-1999）permit host 172.17.31.222 禁止172.17.31.222通过,其他主机允许 Cisco-3750(config)#access-list 1 deny host 172.17.31.222 Cisco-3750(config)#access-list 1 permit any 允许172.17.31.0/24通过,其他主机禁止 Cisco-3750(config)#access-list 1 permit 172.17.31.0 0.0.0.254（反码255.255.255.255减去子网掩码，如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255） 禁止172.17.31.0/24通过,其他主机允许 Cisco-3750(config)#access-list 1 deny 172.17.31.0 0.0.0.254 Cisco-3750(config)#access-list 1 permit any 二、扩展（扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。） 允许172.17.31.222访问任何主机80端口，其他主机禁止 Cisco-3750(config)#access-list 100 permit tcp host 172.17.31.222（源）any（目标）eq www

系统权限管理方案

权限 在系统中，权限通过模块＋动作来产生。（在系统中也就是一个页面的所有操作，比如（浏览、添加、修改、删除等）。将模块与之组合可以产生此模块下的所有权限。 权限组 为了更方便的权限的管理，另将一个模块下的所有权限组合一起，组成一个权限组，也就是一个模块管理权限，包括所有基本权限操作。比如一个权限组（用户管理），包括用户的浏览、添加、删除、修改、审核等操作权限，一个权限组也是一个权限。 角色 权限的集合，角色与角色之间属于平级关系，可以将基本权限或权限组添加到一个角色中，用于方便权限的分配。 用户组将某一类型的人、具有相同特征人组合一起的集合体。通过对组授予权限（角色），快速使一类人具有相同的权限，来简化对用户授予权限的繁琐性、耗时性。用户组的划分，可以按职位、项目或其它来实现。用户可以属于某一个组或多个组。 一、通过给某个人赋予权限，有四种方式： （一）：通过职位 在职位中，职位成员的权限继承当前所在职位的权限，对于下级职位拥有的权限不可继承。 例如前台这个职位，对于考勤查询有权限，则可以通过对前台这个职位设置考勤 查询的浏览权，使他们有使用这个对象的权限，然后再设置个考勤查询权（当然也可以不设置，默认能进此模块的就能查询），则所有前台人员都拥有考勤查询的权利。 （二）：通过项目 在项目中，项目成员的权限来自于所在项目的权限，他们同样不能继承下级项目的权限，而对于项目组长，他对项目有全权，对下级项目也一样。 例如在项目中，项目成员可以对项目中上传文档，查看本项目的文档，可以通过对项目设置一个对于本项目的浏览权来实现进口，这样每个成员能访问这个项目了，再加上项目文档的上传权限和查看文档权限即可。 对于组长，因为可以赋予组长一个组长权（组长权是个特殊的权限，它包含其他各种权限的一个权限包），所有组长对于本项目有全权，则项目组长可以对于项目文档查看，审批，删除，恢复等，这些权限对于本项目的下级项目依然有效。 （三）：通过角色 角色中的成员继承角色的权限，角色与角色没有上下级关系，他们是平行的。通过角色赋予权限，是指没办法按职位或项目的分类来赋予权限的另一种方式，如：系统管理员，资料备份员 例如对于系统中，全体人员应该默认都有的模块，如我的邮件，我的文档，我的日志，我的考勤等等，这些模块系统成员都应该有的，我们建立一个角色为系统默认角色， 把所有默认访问的模块的浏览权限加入到里面去，则系统成员都能访问这些模块。 （四）：直接指定 直接指定是通过对某个人具体指定一项权限，使其有使用这个权限的能力。直接指定是角色指定的一个简化版，为了是在建立像某个项目的组长这种角色时，省略创建角色这一个步骤，使角色不至于过多。 例如指定某个项目的组长，把组长权限指定给某个人。 二针对职位、项目组： 如果用添加新员工，员工调换职位、项目组，满足了员工会自动继承所在职位、项目组的权限，不需要重新分配权限的功能。

(完整版)linux文件系统管理-权限管理实验4报告

实验报告 课程Linux系统应用与开发教程实验名称linux文件系统管理-权限管理（高级设置） 一、实验目的 1、掌握Linux文件系统权限的设置 2、掌握linux用户帐号与组管理 3、掌握linux 文件共享的设置方法 4、掌握linux 文件共享的权限设置方法 二、实验内容 1、使用root帐号通过系统提供的6个虚拟控制台登陆到linux，或在x-windows开启一个终端。 2、完成以下的实验内容 (1)、假设你是系统管理员：现要在公司linux服务器系统中新增一些用户与一个用户组。 ?使用groupadd account 添加一个名为account的组 ?使用useradd -G account acc-user1，(该命令将添加一个用户名为acc-user1的用户, 同时会建立一个与用户名同名的私有组（该私有组为用户的默认组，这个组中只有一个用户名），并把该用户将加入account的标准组，同时，按同样的方法建立acc-user2、acc-user3、acc-user4。 ?建立用户后，请使用x-window中的用户与组管理工具查看用户与组建立情况，检查用户与组的归属情况。 (2)、开启多个控制台，分别使用acc-user1、acc-user2、acc-user3登陆系统（可以在控制台分别登陆，也可以在X-windows中多开几个终端程序，默认使用root登陆，然后使用su命令通过切换用户的方式登陆，其语法为“su - user-name”，提示可以在登陆成功后运行命令“id”查看当前登陆的用户属于哪些组，当前的默认组是什么？） (3)、为account组建立一个公共共享目录/home/account-share，满足以下的权限设定要求，以及设置何种的umask： ?该目录的拥有者为acc-user1，所属组为account。 ?在该目录下建立一个/home/account-share/full-share的子目录，修改该目录的权限，使得account组的成员均能在对该目录有完全控制权限，account组外的其他用户没有任何权限，即account组的成员都可以在该目录下建立文件，同时在该子目录full-share下建立的文件，只有文件建立者有权限删除，并且每个用户在该子目录full-share下建立的文件也能自动与该account组成员可读共享。 ?在/home/account-share/为每个用户建立一个与用户名同名的子目录(如/home/account-share/acc-user1为用户acc-user1的目录，其拥有者为acc-user1，所在的组为account)，配置该子目录的拥有者有完全控制权限，而同组用户只能读取，同时在用户在该目录下建立的文件，可供同组用户读。 (4)、考虑完成以上的共享目录权限设置，应注意哪些设置。包括目录的权限，目录的拥有者，目录所在的组，具体文件的权限，umask设置等。 (5)、实验报告应体现出使用不同身份的用户对所配置目录的访问测试过程。 三、实验环境 安装有vmware或visual pc软件的window主机，系统中有提供turbolinux或redhat的硬盘

访问控制列表(ACL)总结

访问控制列表（ACL）总结 一、什么是ACL？ 访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。 二、访问控制列表使用原则 由于ACL涉及的配置命令很灵活，功能也很强大，所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来，方便各位读者更好的消化ACL知识。 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。 3、默认丢弃原则 在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。 由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。 三、标准访问列表 访问控制列表ACL分很多种，不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表，标准访问控制列表是通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号1到99来创建相应的ACL 标准访问控制列表的格式： 访问控制列表ACL分很多种，不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表，他是通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号1到99 来创建相应的ACL。 它的具体格式如下：access-list ACL号permit|deny host ip地址 例：access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。 当然我们也可以用网段来表示，对某个网段进行过滤。命令如下：access-list 10 deny 192.168.1.0 0.0.0.255 通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是0.0.0.255呢？这是因为CISCO规定在ACL中用反向掩玛表示子网掩码，反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。 注：对于标准访问控制列表来说，默认的命令是HOST，也就是说access-list 10 deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通讯，可以省去我们输入host命令。 标准访问控制列表实例一：

中国免疫规划信息管理系统用户与权限管理规范

中国免疫规划信息管理系统用户与权限管理规范 一、总则 （一）目的 加强中国免疫规划信息管理系统管理，规范系统用户与权限，保障免疫规划信息管理系统的安全运行，特制定本规范。 （二）依据 《计算机信息系统安全保护条例》 《疫苗流通和预防接种管理条例》 《卫生系统电子认证服务管理办法（试行）》 《预防接种工作规范》 《儿童预防接种信息报告管理工作规范（试行）》 《全国疑似预防接种异常反应监测方案》 《中国疾病预防控制中心计算机网络安全管理办法（试行）》 （三）适用范围 “中国免疫规划信息管理系统”包括预防接种、疫苗管理、疑似预防接种异常反应、冷链设备4个业务管理子系统和综合管理系统。 本规范适用于使用“中国免疫规划信息管理系统”的所有机构和用户，包括各级卫生计生行政部门、疾病预防控制机构、乡级防保组织和预防接种单位、药品不良反应监测机构及其它有关机构和用户。 二、用户管理 （一）用户类型

1、系统管理员 国家、省、市、县级疾病预防控制机构设立系统管理员，授权管理“中国免疫规划信息管理系统”用户，是履行用户管理与服务职能的唯一责任人。 2、审计管理员 国家、省、市、县级疾病预防控制机构设立审计管理员，授权“中国免疫规划信息管理系统”安全审计，是履行系统安全审计的责任人。 3、业务管理员 国家、省、市、县级疾病预防控制机构设立业务管理员，授权分配业务子系统用户权限，是履行所管业务子系统的权限分配、建立角色等职能的责任人。 4、普通用户 各级根据业务需求，由系统管理员建立普通用户，由业务管理员授权，是执行相应业务工作的责任人。 （二）用户职责 1、系统管理员 负责本级的业务管理员、普通用户以及下一级系统管理员的用户账号管理，县级系统管理员还需负责辖区内乡级普通用户的账号管理。包括各类用户的创建、有效性及密码等维护管理，分配业务子系统，为所管用户提供账号使用的操作培训和技术指导等。 2、审计管理员 负责本级及下一级操作安全审计，县级审计管理员还需负责辖区

ACL访问控制列表配置案例

访问控制列表练习----扩展访问控制列表 R1#configure R1(config)#intloo 1 R1(config-if)#ip add 1.1.1.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)# intfa 0/0 R1(config-if)#ip add 12.12.12.1 255.0.0.0 R1(config-if)#no shutdown R1(config-if)#do show ipint b R1(config-if)# R1(config)#ip route 23.0.0.0 255.0.0.0 fa0/0 R1(config)#ip route 3.3.3.0 255.255.255.0 fa0/0 R1(config)#ip route 100.100.100.0 255.255.255.0 fa0/0 R1(config)#exit R1#show ip route

R2#configure R2(config)#intfa 0/0 R2(config-if)#ip add 12.12.12.2 255.0.0.0 R2(config-if)#no shutdown R2(config-if)# intfa 0/1 R2(config-if)#ip add 23.23.23.1 255.0.0.0 R2(config-if)#no shutdown R2(config-if)#do show ipint b R2(config-if)# R2(config)#ip route 1.1.1.0 255.255.255.0 fa0/0 R2(config)#ip route 3.3.3.0 255.255.255.0 fa0/1 R2(config)#ip route 100.100.100.0 255.255.255.0 fa0/1 R2(config)#exit

实验五、用户管理与权限管理

实验五、用户管理和权限管理 一、实验目的 1、掌握对系统用户和组的建立与管理。 2、掌握linux的文件访问权限和访问权限类型。 3、掌握如何设置文件访问权限。 二、实验重点与难点 1、学会使用useradd、usermod和userdel命令 2、学会使用chmod设置文件权限 三、实验内容及步骤 1)查看/etc/passwd文件和/etc/shadow文件内容，识别该文件中记录的信 息内容。 2)使用YaST创建新用户user1和用户组group1，将用户user1加入到组 group1。 3)用useradd命令建立2个用户admin和geeko（注意要求创建用户主目 录），设定好对应的用户密码，再用groupadd命令建立一个用户组school。 4)使用命令将admin用户改名为administrator。 5)使用命令将administrator账户锁定，然后再使用该账户登录系统，观 察会发生什么？然后再将账号解除锁定。 6)将linux系统注销使用geeko账号登录，在geeko的主目录下创建两个 新的文件K1,K2。在/tmp目录下创建两个文件W1,W2。 7)删除geeko账号及其主目录。并尝试删除所有属于geeko用户的文件。 8)在/tmp目录中创建两个新文件newfile，test，将newfile文件访问权限 设置为rwxrw-rw-，test文件访问权限设置为rwxr--r-- 。 9)使用su命令将用户身份切换至administrator，将“I can read and write”写入newfile文件中，并保存。是否可以对test文件进行编辑？ 10)如果要实现其他用户对test文件的编辑权限，应该如何设置该文件的 权限？写出操作的命令。 11)创建一个目录directory，将目录访问权限设置为rwxrwxrw-。

5文件权限管理

实训项目5 文件权限管理 一、实训目的 ●掌握利用chmod及chgrp等命令实现Linux文件权限管理。 ●掌握磁盘限额的实现方法。 二、项目背景 某公司有60个员工，分别在5个部门工作，每个人工作内容不同。需要在服务器上为每个人创建不同的账号，把相同部门的用户放在一个组中，每个用户都有自己的工作目录。并且需要根据工作性质给每个部门和每个用户在服务器上的可用空间进行限制。 假设有用户user1，请设置user1对/dev/sdb1分区的磁盘限额，将user1对blocks的soft设置为5000，hard设置为10000；inodes的soft设置为5000，hard设置为10000。 三、实训内容 练习chmod、chgrp等命令的使用，练习在Linux下实现磁盘限额的方法。 四、实训步骤 子项目1．设置文件权限 ●在用户user1主目录下创建目录test，进入test目录创建空文件file1。并以长格形式显示文件信息，注意文件的权限和所属用户和组。 ●对文件file1设置权限，使其他用户可以对此文件进行写操作。并查看设置结果。 ●取消同组用户对此文件的读取权限。查看设置结果。 ●用数字形式为文件file1设置权限，所有者可读、可写、可执行；其他用户和所属组用户只有读和执行的权限。设置完成后查看设置结果。

●用数字形式更改文件file1的权限，使所有者只能读取此文件，其他任何用户都没有权限。查看设置结果。 ●为其他用户添加写权限。查看设置结果。 ●回到上层目录，查看test的权限。 ●为其他用户添加对此目录的写权限。 子项目2．改变文件的所有者 ●查看目录test及其中文件的所属用户和组。 ●把目录test及其下的所有文件的所有者改成bin，所属组改成daemon。查看设置结果。 ●删除目录test及其下的文件。

用户与权限管理文档

用户与权限管理文档 一、安装SAP客户端 (2) 二、配置SAP客户端 (4) 三、用户管理 (6) 3.1登录SAP服务器 (6) 3.2从无到有建立用户 (9) 3.3从其它用户复制用户 (13) 3.4删除用户 (14) 3.5锁定/解锁用户 (15) 3.6初始用户密码 (15) 3.7给用户分配角色 (16) 四、用户的批量维护 (17) 五、PFCG (22) 六、ST01&SU53使用手册 (38) 七、BW权限管理 (50) 八、SUIM (64) 九、SU20 (97) 十、SU21 (102) 十一、SU22&SU24 (110)

一、安装SAP客户端 当你第一次通过SAP客户端使用SAP产品时，首先你需要安装SAP的客户端，即我们通常所说的SAP Gui。 1.1 安装SAP客户端 (1) 找到SAPGui安装目录，双击SapGuiSetup.exe文件。 (2)在弹出的安装界面选择按钮。

(3)在选择要安装的组件画面只选择SAP GUI、SAP Logon pad和SAP Logon这三个组件， 其它组件都不用选。 (4)选择完成后单击按钮开始安装。 (5)安装完毕后单击"Finish"按钮结束安装过程。 1.2 给SAP客户端打补丁 (1) 双击SAP Gui安装目录下的SAP客户端补丁安装文件，根据提示安装最新的补丁。 至此，SAP客户端安装完成，我们就可以进行下一步的设定了。

二、配置SAP客户端 当安装好SAP Gui之后，你必须对SAP Gui进行配置，以连接到特定的SAP服务器。 2.1 手工配置SAP客户端 (1) 双击桌面的的"SAP Logon"快捷方式图标或单击"开始"->"SAP Front End"->"SAP Logon"，运行SAP客户端，进入如下界面： (2)单击按钮，进入服务器参数设置画面。

解读Linux文件权限的设置方法

解读Linux文件权限的设置方法 原文作者：李汉强 Windows系统其实和Linux系统有相似的地方，Windows系统文件、目录的属性有只读、隐藏，而Linux也一样。 Linux中，每一个文件都具有特定的属性。主要包括文件类型和文件权限两个方面。可以分为5种不同的类型：普通文件、目录文件、链接文件、设备文件和管道文件。 所谓的文件权限，是指对文件的访问权限，包括对文件的读、写、删除、执行。Linux 是一个多用户操作系统，它允许多个用户同时登录和工作。因此Linux 将一个文件或目录与一个用户或组联系起来。访问控制列表(ACL：Access Control List)为计算机提供更好的访问控制，它的作用是限制包括root用户在内的所有用户对文件、资源或者套接字的访问。下面就来教大家简单的设置方法。 步骤1 检查系统核心 首先检查你的Linux系统的核心是否有支持ACL的功能。因为Linux系统并不是每一个版本的核心都有支持ACL的功能，而最简单的方法就是检查系统目前的核心能否支持： [root@mail /]# cat /boot/config-kernel-version | grep -i ext3 CONFIG_EXT3_FS=m CONFIG_EXT3_IDEX=y CONFIG_EXT3_FS_XATTR_SHARING=y CONFIG_EXT3_FS_XATTR_USER=y CONFIG_EXT3_FS_XATTR_TRUSTED=y CONFIG_EXT3_FS_ACL=y 此时如果能看到上面的几项则表示已经编译到核心中,ext3文件系统已支持ACL功能，这些功能在编译核心选项中都可以找到。如果编译时找不到，可以到ACL的官方网站来安装Kernel（http://acl.bestbits.at/）。 步骤2 挂载分区 你可以用下列的方式挂载分区并启用ACL： #mount -t ext3 -o acl /dev/sda1 /fs1 你也可以直接写在/etc/fstab文件中,这样就可以在开机后支持ACL功能：#vi /etc/fstab 步骤3 设置ACL权限 ACL常常针对个别用户来进行设置，下面是多个不同的例子： 例如需要创建test1、test2、test3三个用户，可以先用root身份登录系统，然后执行以下命令分别创建三个用户名和密码： [root@mail root]#adduser test1 [root@mail root]#adduser test2 [root@mail root]#adduser test3 [root@mail root]#passwd test1 [root@mail root]#passwd test2 [root@mail root]#passwd test3

linux文件系统的权限王国(一)

作者：池建强 在这个系列中和?大家聊聊 Linux 的?文件、?用户、?用户组、?文件系统的权限等内容，其中很多细节也是我使?用了很?长时间 Linux 后才真正掌握，希望?大家不?用那么久。 为什么是 Linux ？我觉得写技术的东?西还是相对严谨?一些好，虽然Unix 、Linux 、OS X ?一脉相承，但在具体命令上还是会有些差异，这个系列?文章?里所有的命令和显?示结果都是在 Linux 上进?行的，?大家可以对照在 Mac 上试试，当然最后也会讲?一点 OS X 的内容，否则怎么叫 MacTalk 呢？ 在开始讲 Linux ?王国的?臣民之前，先介绍?一下?王国中最?牛的主：root ，这货不翻译为「根」，也不叫「管理员」，?而是被尊称为超级Linux ?文件系统的权限?王国（?一）

?用户，是不是觉得?高端霸?气？超级?二字绝不是恭维之词，从 Linux ?王国诞?生之初，root 就存在了，他会?一直霸占着超级?用户的?角?色并世世代代存在下去，没有禅让，没有民选，没有换位，所有的?用户都?自他?而起。如果你以为 root 会像上帝创造亚当和夏娃那样，让这?二位开开?心?心?生娃去了，那你就太Naive了。Linux 系统中的所有?用户要么由root 创建，要么借?用 root 的权限创建，等级极为森严，总之没有 root 的允许，想搞出?一位新?用户绝?无可能。看到这你们是不是都开始觉得计划?生育政策好啦？ root 不仅能够管理?用户，还能管理?文件系统、进程、设备、??网络、通信、协议等等，总之他就像站在神?山上的神祗，俯视着芸芸众?生，看着数据信息在软件和硬件之间川流不息，时不时的做?一些计划性干预，如果有?人想超越系统的规则，他就能让你消失的像从来没有存在过。 所以那些成天叫嚣被蹂躏被代表的民众，看看 root，?大家?心理就会舒服?一些。 以 root 开篇，下?面我们聊聊 Linux 的?文件系统和索引节点。 Linux 的?文件系统本?身是?比较复杂的，仅 ext2、ext3 和 ext4 就得解释好?几天，本?文的重点不在于此，所以简单介绍?一下。?文件系统主要是?用来保存?文件和相关结构的，让?文件存储更安全、更快、更容易检索、能?支持更?大的物理介质等等。在 Linux 系统中，每个磁盘分区都可以看做?一个?文件系统，每个系统都有?自?己的??目录结构，Linux 会把这些分区按照?一定的?方式组织成统?一的??目录结构，?方便?用户访问。但是每个分区上的?文件系统都是独?立的，可以采?用不容的?文件格式，就像?一国两制?一样，虽然统?一，但是?自治。 那么如何查看?文件系统的格式呢？可以使?用 df -T -h 命令，T 表?示打印?文件格式，h 表?示?用G 或 M 来显?示?文件?大?小，如下：

移动资管系统-权限管理子系统操作手册v3.0

权限管理子系统操作手册 版本号：3.0 浪潮乐金信息系统有限公司 2005年7月

目录 第一章引言--------------------------------------------------------------------------------------------------- 4 1.1编写目的------------------------------------------------------------------------------------------ 4 1.2背景------------------------------------------------------------------------------------------------ 4 1.3定义------------------------------------------------------------------------------------------------ 4 1.4参考资料------------------------------------------------------------------------------------------ 5 1.5用户的特点 -------------------------------------------------------------------------------------- 5 1.6使用范围------------------------------------------------------------------------------------------ 5 1.7使用环境------------------------------------------------------------------------------------------ 5第二章系统操作 -------------------------------------------------------------------------------------- 6 2.1功能概述------------------------------------------------------------------------------------------ 6 2.1.1模块关系图 -------------------------------------------------------------------------------- 6 2.1.2赋权流程 ----------------------------------------------------------------------------------- 6 2.1.3权限规则 ----------------------------------------------------------------------------------- 7 2.2登录------------------------------------------------------------------------------------------------ 7 2.2.1操作------------------------------------------------------------------------------------------ 7 2.2.2说明------------------------------------------------------------------------------------------ 8 2.3用户管理------------------------------------------------------------------------------------------ 9 2.3.1新建用户 ----------------------------------------------------------------------------------- 9 2.3.2用户查询 ---------------------------------------------------------------------------------- 12 2.3.3修改密码 ---------------------------------------------------------------------------------- 15 2.3.4退出登录 ---------------------------------------------------------------------------------- 15 2.4用户组管理 ------------------------------------------------------------------------------------- 15 2.4.1新建组 ------------------------------------------------------------------------------------- 16 2.4.2组查询 ------------------------------------------------------------------------------------- 19 2.5角色管理----------------------------------------------------------------------------------------- 23 2.5.1角色新建 ---------------------------------------------------------------------------------- 23 2.5.2角色查询 ---------------------------------------------------------------------------------- 25 2.6功能维护----------------------------------------------------------------------------------------- 27 2.6.1功能类型 ---------------------------------------------------------------------------------- 27 2.6.2功能项 ------------------------------------------------------------------------------------- 29 2.7资源管理----------------------------------------------------------------------------------------- 30 2.7.1新增资源 ---------------------------------------------------------------------------------- 31 2.7.2资源查询 ---------------------------------------------------------------------------------- 33 2.8基本信息管理 ---------------------------------------------------------------------------------- 34 2.8.1员工信息 ---------------------------------------------------------------------------------- 34 2.8.2部门管理 ---------------------------------------------------------------------------------- 35 2.9系统维护----------------------------------------------------------------------------------------- 39 2.9.1规则维护 ---------------------------------------------------------------------------------- 39 2.9.2参数设置 ---------------------------------------------------------------------------------- 41 2.9.3LDAP同步-------------------------------------------------------------------------------- 43 2.10取回密码----------------------------------------------------------------------------------------- 43

配置路由器的ACL访问控制列表

在路由器上实现访问控制列表 试验描述： 实验目的和要求： 1.掌握在路由器上配置ACL的方法。 2.对路由器上已配置的ACL进行测试。 试验环境准备（GNS3）：3台路由器互联，拓扑图如下： 3. 试验任务：（1）配制标准访问控制列表；（2）配制扩展访问控制列表；（3）配制名称访问控制列表；（4）配制控制telnet访问。 4. 试验容：OSPF，ACL，telnet

试验步骤： 1.运行模拟器，按照如下拓扑图进行部署。 2.R2路由器的基本配置。 3.R2路由器的基本配置。 4.R2路由器的基本配置

5.R1 ping R2 6.R2 ping R3 7.R1 ping R3，要是能通就活见鬼了！ 8.现在在3台路由器上配置单区域OSPF，首先R1。

9.R2配置单区域OSPF。 10.R3配置单区域OSPF。 11.R3 ping R1，使用扩展ping的方式。应该可以ping通了。

12.R1ping R3，使用扩展ping的方式。应该可以ping通了。 13.在路由器R3上查看路由表时发现了一个10.1.1.1/32的主机地址条目，带有32位掩码。 这种情况最好加以避免，因为一旦在一个网络里路由器上所有的条目都出现在路由表上的话，路由器将使用大量的资源处理这些条目，太浪费了。本试验中，这个主机条目的出现是因为R1使用了一个loopback接口，虽然是逻辑接口，如果在OSPF路由器上使用这种接口，其它运行OSPF的路由器学习到这个路由器的时候就会显示出一个主机条目。消除这一现象可以通过将该网络设置为点到点即可。分别在R1和R3上设置。 14.R1设置点到点。

NC系统用户及权限管理规定

N C系统用户及权限管理 规定 Document serial number【NL89WT-NY98YT-NC8CB-NNUUT-NUT108】

N C-E R P系统用户账号及权限管理制度 第一章总则 第一条 NC-ERP系统用户的管理包括系统用户ID的命名；用户ID的主数据的建立；用户ID的增加、修改；用户ID的终止；用户密码的修改；用户ID的锁定和解锁；临时用户的管理；用户ID的安全管理等。 第二章管理要求 第二条 NC-ERP系统管理员（以下简称系统管理员）在系统中不得任意增加、修改、删除用户ID，必须根据《NC-ERP系统用户账号申请表》和相关领导签字审批才能进行相应操作，并将相关文档存档。 第三条 用户ID的持有人特别是共享的用户ID必须保证用户ID和用户密码的保密和安全，不得对外泄漏，防止非此用户ID的所有者登录系统。 第四条 用户管理员要定期检查系统内用户使用情况，防止非法授权用户恶意登录系统，保证系统的安全。 第五条 用户ID持有人要对其在系统内的行为负责，各部门领导要对本部门用户的行为负责。 第六条

用户ID的命名由系统管理员执行，用户ID命名应遵循用户ID的命名规则，不得随意命名。 第七条 用户ID主数据库的建立应保证准确、完整和统一，在用户ID发生改变时，用户管理员应及时保证主数据库的更新，并做好用户ID变更的归档工作。 第八条 对用户申请表等相关文档各申请部门的用户管理员必须存档，不得遗失。 第九条 公司NC-ERP系统中各部门必须明确一名运维管理人员负责本部门用户管理、权限管理及基础数据维护等相关工作。 第三章增加、修改用户ID的管理 第十条 公司NC-ERP系统中增加、修改用户ID应符合下列情况之一： 1、因工作需要新增或修改用户ID； 2、用户ID持有人改变； 3、用户ID封存、冻结、解冻； 4、单位或部门合并、分离、撤消； 5、岗位重新设置； 6、其他需要增加或修改公司NC-ERP系统中用户ID的情况。 第十一条