2. 程式人生 > >linux系統上文件的特殊權限介紹

linux系統上文件的特殊權限介紹

阿新 發佈:2017-10-30
文件的特殊權限位及facl

1、特殊文件權限示例

[root@localhost test]# ls -ld /bin/passwd /tmp/

-rwsr-xr-x. 1 root root 27832 Jun 10 2014 /bin/passwd

drwxrwxrwt. 10 root root 247 Oct 28 22:17 /tmp/


2、特殊權限介紹:SUID、SGID、STICKY

安全上下文:

進程以某用戶的身份進行運行,進程是發起此進程用戶的代理,因此以此用戶的身份和權限完成所有操作。

權限的匹配模型:

進程的屬主,是否為被訪問文件的屬主,如果是,則應用屬主權限;否則,判斷進程的屬主,是否屬於訪問文件的屬組,如果是,則應用屬組權限;否則應用其他用戶權限;


SUID:

默認情況下,用戶發起的進程,進程的屬主是其發起者;因此,其以發起者的身份運行。


SUID的功能:

用戶運行某程序時,如果此程序擁有SUID權限,那些程序運行為進程時,其進程屬主不是發起者,而是程序文件自己的屬主。

SGID的功能:

當目錄屬組有寫權限且有SGID權限時,那麽所有屬於此目錄的屬組且以屬組身份在此目錄中新建文件或目錄時,此文件的屬組不是用戶的基本組,而是此目錄的屬組。

管理SUID權限:

chmod u+s file

chmod u-s file

管理SGID權限:

chmod g+s file

chmod g-s file

SUID權限展示位置:在屬主的執行權限位

如果屬主原本有執行權限,顯示為小寫“s”;

如果屬主原本沒有執行權限,則顯示為大寫“S”

SUID權限展示位置:在屬組的執行權限位

如果屬組原本有執行權限,顯示為小寫“s”;

如果屬組原本沒有執行權限,則顯示為大寫“S”

[root@localhost test]# cp /bin/ls /tmp/test/sls

[root@localhost test]# ll sls

-rwxr-xr-x. 1 root root 117656 Oct 29 21:50 sls

[root@localhost test]# chmod u+s sls

[root@localhost test]# ll sls

-rwsr-xr-x. 1 root root 117656 Oct 29 21:50 sls

[root@localhost test]# su user

bash-4.2$ /tmp/test/sls -l sls

-rwsr-xr-x. 1 root root 117656 Oct 29 21:50 sls



[root@localhost tmp]# ls -ld test/

drwxrwxrwx. 2 user user 128 Oct 29 21:50 test/

[root@localhost tmp]# chmod g+s test/

[root@localhost tmp]# ll -d test/

drwxrwsrwx. 2 user user 128 Oct 29 21:50 test/

[root@localhost tmp]# su lily

bash-4.2$ touch file

bash-4.2$ ls -l /tmp/test/file

-rw-r--r--. 1 lily user 0 Oct 29 22:05 /tmp/test/file //有SUID權限


bash-4.2$ ls -ld /tmp/test1/lily

drwxr-xr-x. 2 lily lily 6 Oct 29 22:08 /tmp/test1/lily //沒有SUID權限

STICKY功能:

對於屬組或全局可寫的目錄,組內的所有用戶或系統上的所有用戶對在此目錄中都能創建新文件或刪除所有已有的文件;如果為此目錄設置sticky權限,則每個用戶都能創建新文件,且只能刪除自己的文件。



註意:默認系統上的/tmp和/var/tmp目錄默認均有sticky權限;

管理STICKY權限:

chmod o+t file

chmod o-t file


STICKY權限展示位置:在其他用戶的執行權限位

如果其他用戶原本有執行權限,顯示為小寫“t”

如果其他用戶原本沒有執行權限,則顯示為大寫“T”


[root@localhost tmp]# mkdir sticky

[root@localhost tmp]# chmod o+t sticky/

[root@localhost tmp]# ls sticky/ -ld

drwxrwxrwt. 2 root root 6 Oct 29 22:15 sticky/

[root@localhost tmp]#

[root@localhost tmp]# su lily

bash-4.2$ cd /tmp/sticky

bash-4.2$ touch lily

bash-4.2$ cd /tmp/sticky1

bash-4.2$ touch lily1

bash-4.2$ exit


[root@localhost tmp]# su lucy

[lucy@localhost tmp]$ cd /tmp/sticky

[lucy@localhost sticky]$ touch lucy

[lucy@localhost sticky]$ ll

total 0

-rw-r--r--. 1 lily lily 0 Oct 29 22:18 lily

-rw-rw-r--. 1 lucy lucy 0 Oct 29 22:21 lucy

[lucy@localhost sticky]$ rm lily

rm: remove write-protected regular empty file ‘lily’? y

rm: cannot remove ‘lily’: Operation not permitted

[lucy@localhost sticky]$


[lucy@localhost sticky]$ cd /tmp/sticky1

[lucy@localhost sticky1]$ ll

total 0

-rw-r--r--. 1 lily lily 0 Oct 29 22:19 lily1

[lucy@localhost sticky1]$ touch lucy1

[lucy@localhost sticky1]$ ll

total 0

-rw-r--r--. 1 lily lily 0 Oct 29 22:19 lily1

-rw-rw-r--. 1 lucy lucy 0 Oct 29 22:23 lucy1

[lucy@localhost sticky1]$ rm lily1

rm: remove write-protected regular empty file ‘lily1’? y

[lucy@localhost sticky1]$ ll

total 0

-rw-rw-r--. 1 lucy lucy 0 Oct 29 22:23 lucy1

[lucy@localhost sticky1]$












管理特殊權限的另一種方法:(八進制數字表示,0-7)

SUID SGID STICKY

2^2 2^1 2^0

特殊權限位在最高位置展示,如:chmod 1777 file1

基於八進制方式賦權時,可於默認的三位八進制數字左側在加一位八進制數字。

umask默認為四位。



3、facl:file access control lists,文件訪問控制列表

文件的額外賦權機制:

在原有的u、g、o之外,另一層讓普通用戶能控制賦權給另外的用戶或組的賦權機制。


查看文件的facl:

getfacl [-aceEsRLPtpndvh] file ...

getfacl [-aceEsRLPtpndvh] -

如:

[root@localhost tmp]# getfacl aaa

# file: aaa

# owner: root

# group: root

user::rw-

group::r--

other::r--


設置文件的facl:

setfacl [-bkndRLPvh] [{-m|-x} acl_spec] [{-M|-X} acl_file] file ...

setfacl --restore=file


setfacl -m u:USERNAME:MODE FILE

setfacl -m g:GROUPNAME:MODE FILE

如:

[root@localhost test]# setfacl -m u:user:rwx a.dan

[root@localhost test]# getfacl a.dan

# file: a.dan

# owner: root

# group: root

user::rw-

user:user:rwx

group::r--

mask::rwx

other::r--



撤銷文件的facl:

setfacl -x u:USERNAME FILE

setfacl -x g:GROUPNAME FILE

如:

[root@localhost test]# setfacl -x g:root b.dan


如果文件設置了facl,用ls -l命令則會顯現“+”

[root@localhost test]# ll

total 0

-rw-r--r--. 1 basher basher 0 Oct 28 21:28 abfstab.dan

-rw-rwxr--+ 1 root root 0 Oct 28 21:28 a.dan



有了facl的安全上下文:

先是檢查屬主,再檢查屬主facl

先是檢查屬組,再檢查屬組facl

然後在檢查其他;

linux系統上文件的特殊權限介紹

相關推薦

linux系統上文特殊介紹

文件的特殊權限位及facl1、特殊文件權限示例[root@localhost test]# ls -ld /bin/passwd /tmp/-rwsr-xr-x. 1 root root 27832 Jun 10 2014 /bin/passwddrwxrwxrwt. 10 root root 247

linux系統上的特殊及細致ACL

中間 文件特殊權限 項目 主機 user sel at命令 文件內容 一個 linux文件系統上的特殊權限及細致權限ACL Chattr命令: 常用重要參數與選項: :增加某一個特殊參數,其他原本存在的參數則不動; :移除某一個特殊參數,其他原本存在的參數則不動;= :設

Linux系統上的特殊(SUID、SGID、Sticky)

uid images 執行權 tps type 默認 映射 一個 安全 安全上下文前提:文件有屬主與屬組,進程也有屬主與屬組(1) 任何一個可執行程序能不能啟動為進程,取決於發起者對程序文件是否擁有執行權限(2)啟動為進程後,其進程的屬主為發起者,進程的屬組為發起者所屬的組

linux下文特殊設置位S和沾附位T(轉載)

linux 表示 mkdir 文件 執行 pre 體會 針對 min 今天在創建文件的時候,發現了文件權限末尾有個T,之前沒留意過,後來又用c創建(open)了兩個文件來查看,在我沒有指定權限(省略open的第三個參數)的時候,有時還會出現S,雖然還沒弄懂什麽時候會出現S

Linux特殊 SUID SGID SBIT

我們 swd 讀取 root權限 sgid 能夠 可用 配置文件 name   文件除了常規的權限r, w, x 還有一些特殊的權限,s與t權限,具體的用處如下   1 SetUID   當s 這個標誌出現在文件所有者的x權限上時, 例如/usr/bin/passw

linux[基礎]-20-用戶與文-[文特殊]-[01]

.cn 工作 授權 span operation 限制 們的 abr 管理員 用戶與文件權限 用戶:   用戶root是系統的超級管理員,而真正讓他成為管理員的不是   用戶名“root”,而是其UID編號。 UID:每個用戶都有相對應的UID號,就像我們的身份證號

Linux特殊 - SetUID

原則 執行命令 必須 擁有 uid omd 默認 二進制 密碼 01、SetUID的功能: 普通用戶在執行命令的時候,會暫時獲得所有者的身份,普通用戶對這個程序必須有執行權限 02、 SetUID =>   (01) 只有二進制程序才能設定   (02) 命令的

Linux學習之十五-Linux特殊和附加權

增加 ech IE address 二進制 prot atime 說明 orm Linux文件特殊權限和附加權限 1、特殊權限suid 範圍:只能針對二進制命令文件 作用:讓普通用戶擁有二進制命令文件所有者的權限 舉例1:普通用戶使用passwd命令修改密碼 cat /e

LINUX系統下的普通以及幾種特殊

應用 字符設備 cto 管道 內容 can 但是 less adb 1.基本權限與對用戶的權限管理 1.首先我們要想對用戶進行權限管理,就要知道如何查看一個文件的權限,我們可以用ll命令或者ls -l 命令查看某個文件的權限,如下圖:我們可以看到使用ll命令列出了/app下

linux的3種特殊

linux 運維linux的3種特殊權限特殊權限分為3種,分別是:SUID:作用於用戶;只能作用於可執行的二進制文件SGID:作用於所屬組;只能作用於可執行的二進制文件Sticky:粘滯位。作用於其他人,只有自己才能刪除自己的文件(root除外)用戶通過程序(一般程序對所有人都是可執行的,當然也有例外)去訪問

特殊

size 比較 返回 運行 控制 com 們的 locate lin                               文件特殊權限                                                           作者:尹正傑

centos 7的文/目錄介紹

centos 7文件/目錄權限chmod#查看目錄/文件的權限 [root@linux1 ~]# ls -l /tmp/a/ 總用量 0 drwxr-xr-x. 2 root root 6 10月 24 09:28 2 # drwxr-xr-x. 一共有十位數,其中:最前面第一位表示類型 #前三個代表 所有者

linux 系統 chmod 誤操作異常修復方式

oot 文件 修復 備份 使用命令 方式 誤操作 系統默認 修改 Linux 系統中如果意外誤操作將根目錄或系統默認關鍵目錄權限批量設置,比如 chmod -R 777 / ,系統中的大部分服務以及命令將無法使用,這時候可以通過系統自帶的 getfacl 和 setfacl

Linux學習總結:特殊SUID,SGID,SBIT

sgid 進行 註意 權力 添加 linux中 動作 限制 字母 目錄 一、SUID 二、SGID 三、SBIT Linux中除了rwx權限外,另外還有三種特殊權限:SUID、SGID、SBIT 假如本來在該位上有x,?則這些特別標誌 (SUID,?SGID,SBIT)顯示

linux系統中文特殊

玩轉linux之文件特殊權限在上篇博客中敘述linux系統中文件的基本屬性,見http://vinsent.blog.51cto.com/13116656/1951574,這篇給大家帶來linux系統文件的特殊權限,包括SUID、SGID、Sticky(粘滯位)。一、安全上下文安全上下文指的是一類定義某個進程

Linux系統特殊:chattr lsattr

設置特殊權限 查看特殊權限 chattr:設置特殊權限 lsattr:查看特殊權限 chattr [+-=] [ASacdistu] [文件或目錄名稱] 參數說明: +-=:分別是"+"(增加)、"-"(減少)、"="(設定)屬性 A:

(轉)linux sudo 重定向,實現只有系統管理員才有操作的文中寫入信息

shel echo 命令 文件 sudo 命令 方式 符號 iss 字串 chown 眾所周知,使用 echo 並配合命令重定向是實現向文件中寫入信息的快捷方式。 本文介紹如何將 echo 命令與 sudo 命令配合使用,實現向那些只有系統管理員才有權限操作的文件中寫入信

Linux特殊set_uid、set_gid、stick_bit命令和軟鏈接文、硬連接文

set uid 特殊權限set_uid:用ls -l查看 passwd命令文件的路徑可以看到這個文件和之前所看到的文件有些不同,有紅色的標記,而且有個s權限:這個s就是set_uid的權限,這個權限可以讓普通用戶修改自己的密碼,這個權限的原理是:當普通用戶執行passwd命令的一瞬間給它賦予root的

Linux系統體系詳解

ls -l 功能 root權限 所有 chgrp 控制 則無 增加 不能   準備工作:先簡單了解Linux文件權限     在Linux系統中,ls -l 命令可以查看文件的權限,如     [[email protected] Test]$ ls -l a  

Linux的文特殊

linux文件權限、linux特殊權限、acl一、Linux的基本文件權限1、文件的權限當用戶不擁有某位權限,則使用-占位 r-x:讀和執行的權限 r--:只讀權限 rw-:讀寫權限 使用數字來表示權限: r:4 w:2 x:1 #=============