Linux权限管理

2019-09-02 15:41| 发布者: |

suid:会在属主权限位的执行权限上写个s
如果该属主权限位上有执行权限,则:s
如果该属主权限位上没有执行权限,则:s
授权方式:
chmod u+s filename
chmod 4755 filename
[九卅娱乐官方网站网址root@centos7 ~]# touch filename #创建文件
[root@centos7 ~]# ll filename #查看文件
-rw-r--r--. 1 root root 0 jul 2 23:02 filename
[root@centos7 ~]# chmod u+s filename #授权权限
[root@centos7 ~]# ll filename #查看文件
-rwsr--r--. 1 root root 0 jul 2 23:02 filename

1.让普通用户对可执行的二进制文件,临时拥有二进制文件的属主权限
2.如果设置的二进制文件没有执行权限,那么suid的权限显示就是s
3.特殊权限suid仅对二进制可执行程序有效,其他文件或目录则无效



注意:suid极其危险,不信可以尝试对vim或者rm命令进行设定suid

将目录设置为sgid后,如果在该目录下创建文件,都将与该目录的所属组保持一致

[root@oldboyedu ~]# ll /bin/write 
-rwxr-sr-x. 1 root tty 19624 oct 31 2018 /bin/write
如果该属组权限位上有执行权限,则:s
如果该属组权限位上没有执行权限,则:s
[root@centos7 ~]# chmod 2755 /tmp/test/
[root@db04 ~]# chmod g+s /tmp/test/
[root@centos7 ~]# mkdir /tmp/test/ #创建目录
[root@centos7 ~]# ll /tmp/ #查看目录
drwxr-xr-x. 2 root root 6 jul 2 23:11 test
[root@centos7 ~]# chmod 2755 /tmp/test/ #权限设置
[root@centos7 ~]# ll /tmp/ #查看目录
drwxr-sr-x. 2 root root 6 jul 2 23:11 test
setgid的作用
1.针对用户组权限位修改,用户创建的目录或文件所属组和该目录的所属组一致。
2.当某个目录设置了sgid后,在该目录中新建的文件不在是创建该文件的默认所属组
3.使用sgid可以使得多个用户之间共享一个目录的所有文件变得简单。

sticky粘滞,目前只对目录有效,作用如下:

普通用户对该目录拥有w和x权限,即普通用户可以在此目录中拥有写入权限,如果没有粘滞位,那么普通用户拥有w权限,就可以删除此目录下的所有文件,包括其他用户简历的文件。但是一旦被赋予了粘滞位,除了root可以删除所有文件,普通用户就算有w权限也只能删除自己建立的文件,而不能删除其他用户简历的文件。

系统中存在的/tmp目录是经典的粘滞位目录,谁都有写权限,因此安全成问题,常常是木马第一手跳板

粘滞位:
[root@oldboyedu ~]# ll -d /tmp/
drwxrwxrwt. 8 root root 105 jul 2 10:15 /tmp/
如果该其他用户权限位上有执行权限,则:t
如果该其它用户权限位上没有执行权限,则:t
授权方式:
[root@centos7 ~]# chmod 1755 /opt
[root@centos7 ~]# chmod o+t /opt

1.让多个用户都具有写权限的目录,并让每个用户只能删自己的文件。
2.特殊sticky目录表现在others的x位,用小t表示,如果没有执行权限是t
3.一个目录即使它的权限为"777"如果是设置了粘滞位,除了目录的属主和"root"用户有权限删除,除此之外其他用户都不允许删除该目录。



1.suid
主要是对命令,或者二进制文件,以该二进制文件的属主权限来执行该文件 命令:passwd
2.sgid
主要是针对目录进行授权,共享目录
3.sbit
粘滞位,即便是该目录拥有w权限,但是除了root用户,其他用户只能对自己的文件进行删除、移动操作
一个普通用户:zls 属于 oldboyedu这个组
一个文件权限:rwxrw-r-x root.oldboyedu filename1
r:读 4
w:写 2
x:执行 1
suid:4000
sgid:2000
t:1000

只有root用户可以使用,用来修改文件系统的权限属性,凌驾于r w x suid sgid t 之上的权限

chattr命令格式:[root@db04 ~]# #chattr [+-=][选项] 文件名或目录名

设置文件属性,针对所有用户,包括 root

lsattr:
查看特殊权限
chattr:
设置特殊权限
i:锁定文件,不能编辑,不能修改,不能删除,不能移动,可以执行
a:仅可以追加文件,不能编辑,不能删除,不能移动,可以执行
#+增加选项 -减少选项 =等于某个权限
#创建文件并设置属性
[root@centos7 ~]# touch file_a file_i
[root@centos7 ~]# lsattr file_a file_i
---------------- file_a
---------------- file_i
#设置属性
[root@centos7 ~]# chattr +a file_a
[root@centos7 ~]# chattr +i file_i
[root@centos7 ~]# lsattr file_a file_i
-----a---------- file_a
----i----------- file_i
#a权限,无法覆盖写入和删除文件
[root@centos7 ~]# echo 111 file_a
-bash: file_a: operation not permitted
[root@centos7 ~]# rm -f file_a
rm: cannot remove ‘file_a’: operation not permitted
#a权限,只能追加,适用于日志文件 
[root@centos7 ~]# echo 111 file_a
[root@centos7 ~]# cat file_a
# i权限,无法写入,无法删除
[root@centos7 ~]# echo 111 file_i
-bash: file_i: permission denied
[root@centos7 ~]# echo 111 file_i
-bash: file_i: permission denied
[root@centos7 ~]# rm -f file_i
rm: cannot remove ‘file_i’: operation not permitted
[root@centos7 ~]# chattr -a file100
chattr: no such file or directory while trying to stat file100
#解除限制 
[root@centos7 ~]# chattr -a file_a
[root@centos7 ~]# chattr -i file_i
#再次查看文件及属性
[root@centos7 ~]# lsattr file_a file_i
---------------- file_a
---------------- file_i

当我们登录系统之后,创建一个文件总是有一个默认权限,比如:
目录默认权限:755
文件默认权限:644



是umask设置了用户创建文件的默认权限

系统默认umask为022,那么当我们创建一个目录时,正常情况下目录的权限应该是777,但是umask表示要减去的值,所以新目录文件的权限应该是777-022=755。至于文件的权限也依次类推:666-022=644

umask涉及到的相关文件/etc/bashrc /etc/profile ~/.bashrc ~/.bash_profile

注意umask影响的范围
shell  --umask-- 新文件或目录权限
vsftpd --umask-- 新文件或目录权限
samba --umask-- 新文件或目录权限
useradd --umask-- 用户 home

示例:

1.假设umask值为:022
//文件的起始权限值
6 6 6 - 0 2 2 = 6 4 4 
2.假设umask值为:035
//计算出来的权限。
6 6 6 - 0 3 5 = 6 3 1 ,
如果结果是奇数,需加1,实为642
所以,在其他用户组位再加1。
3.默认目录权限计算方法
7 7 7 - 0 2 2 = 7 5 5

在shell进程中创建文件

#查看当前用户的umask权限
[root@centos7 ~]# umask
[root@centos7 ~]# touch file0022
[root@centos7 ~]# mkdir dir0022
[root@centos7 ~]# ll -d file0022 dir0022/
drwxr-xr-x 2 root root 6 jan 24 09:02 dir0022/
-rw-r--r-- 1 root root 0 jan 24 09:02 file0022

修改umask值,临时生效,再开机会回到默认值

[root@centos7 ~]# umask 000
[root@centos7 ~]# mkdir dir000
[root@centos7 ~]# touch file000
[root@centos7 ~]# ll -d dir000 file000
drwxrwxrwx 2 root root 6 jan 24 09:04 dir000
-rw-rw-rw- 1 root root 0 jan 24 09:04 file000
<
>
关于我们
AB模版网成立于2014年,我们是一家专注用户体验设计开发与互联网品牌建设的设计公司,创立至今为2000多位客户提供了创新与专业的设计方案。设计服务范围包括:交互原型设计、产品视觉设计、网站设计与开发建设、移动及软件产品界面设计、图标设计、品牌及平面设计等。

联系我们

13588889999服务时间:9:00-18:00)

admin@adminbuy.cn

官方微信官方微信

部门热线

前   台:13588889999
业务部:13588889999
客服部:13588889999
技术部:13566667777
人事部:13566667777

咨询电话13588889999 返回顶部
返回顶部