在麒麟系统中需依安全需求选择权限机制:一、用chmod设基础权限;二、用chown/chgrp改归属;三、用acl实现细粒度控制;四、图形界面快速配置;五、通过kylin security center启用内核级fpro保护。
如果您需要在麒麟操作系统中精确控制用户对文件或目录的访问能力,则需依据不同安全需求选择适配的权限管理机制。以下是解决此问题的步骤:
一、使用chmod命令修改文件基础权限
该方法通过标准Linux权限模型(rwx)调整所有者、所属组及其他用户的读、写、执行权限,适用于大多数日常场景,操作直接且生效迅速。
1、打开终端,输入ls -l /path/to/file查看当前文件权限状态。
2、使用八进制模式设置权限:执行sudo chmod 750 /path/to/file,使所有者获得读写执行权限,所属组获得读和执行权限,其他用户无任何权限。
3、使用符号模式增减权限:执行sudo chmod u+x,g-w,o-rx /path/to/file,为所有者添加执行权限,移除所属组的写权限,移除其他用户的读与执行权限。
4、对目录及其全部内容递归设置权限:执行sudo chmod -R 755 /path/to/directory,确保子目录与文件继承统一权限策略。
二、使用chown与chgrp变更文件归属关系
该方法用于重置文件或目录的所有者及所属组,是实现基于用户/组粒度访问控制的前提,尤其在多用户协作或服务进程隔离场景中不可或缺。
1、仅修改所有者:执行sudo chown newuser /path/to/file,将文件所有权转移至指定用户。
2、仅修改所属组:执行sudo chgrp newgroup /path/to/file,将文件所属组更改为指定组。
3、同时修改所有者与所属组:执行sudo chown newuser:newgroup /path/to/file,一次性完成双属性更新。
4、递归修改目录归属:执行sudo chown -R newuser:newgroup /path/to/directory,确保整个目录树下所有文件均归属一致。
三、启用ACL实现细粒度访问控制
当标准三元权限(user/group/others)无法满足复杂授权需求时,可启用POSIX ACL机制,在不改变原有权限结构的前提下,为特定用户或组单独授予或拒绝某项权限。
1、确认目标文件系统已启用ACL支持:执行mount | grep "$(df . | tail -1 | awk '{print $1}')" | grep acl,输出含acl即表示已启用。
2、为指定用户添加读写权限:执行sudo setfacl -m u:targetuser:rw /path/to/file。
3、为指定组添加只读权限:执行sudo setfacl -m g:targetgroup:r /path/to/file。
4、移除某用户的ACL条目:执行sudo setfacl -x u:targetuser /path/to/file。
5、查看当前ACL配置:执行getfacl /path/to/file,确认user:targetuser:rw-等条目已正确写入。
四、通过图形界面属性面板快速配置权限
该方式面向不熟悉命令行操作的用户,提供可视化交互界面,可直观设定各用户类别对文件或目录的访问级别,适合临时性或低风险环境下的权限调整。
1、在文件管理器中右键点击目标文件或文件夹,选择【属性】。
2、切换至【权限】选项卡,展开【访问权限】区域。
3、在【所有者】下拉菜单中选择新所有者,在【组】下拉菜单中选择新所属组。
4、分别勾选【读取】【写入】【执行】复选框,为所有者、组用户、其他用户独立设定权限组合。
5、勾选【将权限应用到所有文件和子文件夹】复选框后点击【确定】,触发递归应用。
五、结合Kylin Security Center启用内核级文件保护
KYSEC子系统中的fpro模块可在VFS层实施不可绕过的访问拦截,其策略优先级高于ACL与SELinux,适用于涉密文档、审计日志等强约束路径的硬性防护。
1、以root身份打开终端,执行sudo -i切换至超级用户。
2、检查fpro模块运行状态:运行getstatus,确认输出中file protect字段值为on。
3、启用指定路径保护:执行kysec-fpro --add /home/$USER/Confidential,将该目录加入受保护列表。
4、验证路径是否已注册:运行kysec-fpro --list,确认输出中包含对应绝对路径条目。
5、重启相关应用进程,使其加载新的内核级访问限制上下文。
