2. 程式人生 > >linux用戶權限 -> 系統特殊權限

linux用戶權限 -> 系統特殊權限

阿新 發佈:2018-10-06
威脅 log 無法刪除 lsa 控制系統 swd 數字 sticky useradd

set_uid

運行一個命令的時候,相當於這個命令的所有者,而不是執行者的身份。

suid的授權方法

suid    4000 權限字符s(S),用戶位置上的x位上設置。
授權方法:chmod 4755 passwd
        chmod  u+s  passwd

suid的作用

1.讓普通用戶擁有二進制文件的所屬主權限,二進制文件需要有執行權限。
2.如果設置的二進制文件沒有執行權限,那麽suid的權限顯示就是大S。
3.特殊權限suid僅對二進制可執行程序有效,其他文件或目錄則無效。
4.如果普通用戶需要操作沒有權限的文件,為對應的命令賦予Suid權限。
註意: suid雙刃劍, 是一個比較危險的功能, 對系統安全有一定的威脅。

set_gid

運行一個命令的時候,相當於是這個命令所在的用戶組

sgid授權方法

suid    2000 權限字符s(S),取決於屬組位置上的x。
授權方法:chmod 2755  directory
        chmod  g+s  directory

sgid作用

1.針對用戶組權限位修改,用戶創建的目錄或文件所屬組和該目錄的所屬組一致。
2.當某個目錄設置了sgid後,在該目錄中新建的文件不在是創建該文件的默認所屬組
3.使用sgid可以使得多個用戶之間共享一個目錄的所有文件變得簡單。

sticky粘滯位

sticky對目錄有寫權限的用戶僅僅可以刪除目錄裏屬於自己的文件,不能刪除其他用戶的文件

系統中存在的/tmp目錄是經典的粘滯位目錄,誰都有寫權限,因此安全成問題,常常是木馬第一手跳板。

sticky授權方法

粘滯位     1000 權限字符t(T),其他用戶位的x位上設置。
授權方法:chmod 1755  /tmp
         chmod o+t /tmp

sticky作用

1.讓多個用戶都具有寫權限的目錄,並讓每個用戶只能刪自己的文件。
2.特殊sticky目錄表現在others的x位,用小t表示,如果沒有執行權限是T
3.一個目錄即使它的權限為"777"如果是設置了粘滯位,除了目錄的屬主和"root"用戶有權限刪除,除此之外其他用戶都不允許刪除該目錄。

查看隱藏屬性

[root@Test01 ~]# lsattr /tmp
-------------e- /tmp/100m
其中e為默認值

修改隱藏屬性chattr

技術分享圖片 
1)    使用chattr修改
+增加,-減少,=設置僅有

2)    相關參數如下
a    只允許向文件中增加內容(包含root用戶)例:chattr +a a.txt
i    不允許修改文件內容(包含root用戶)    例:chattr +i a.txt
A    文件或目錄每次被訪問不會修改atime。可避免I/O過度訪問磁盤
s    若刪除,則從磁盤空間刪除
c    對文件自動壓縮,讀取是自動解壓
u    若刪除,還在磁盤中,可以恢復文件
View Code 
a:讓文件或目錄僅可追加內容
i:不得任意更動文件或目錄

//創建文件並設置屬性
[root@xuliangwei ~]# touch file_a file_i
[root@xuliangwei ~]# lsattr file_a file_i
---------------- file_a
---------------- file_i

//設置屬性
[root@xuliangwei ~]# chattr +a file_a
[root@xuliangwei ~]# chattr +i file_i
[root@xuliangwei ~]# lsattr file_a file_i
-----a---------- file_a
----i----------- file_i

//a權限, 無法覆蓋寫入和刪除文件
[root@xuliangwei ~]# echo "aa" > file_a
bash: file_a: Operation not permitted
[root@xuliangwei ~]# rm -f file_a
rm: cannot remove ‘file_a’: Operation not permitted

//a權限, 只能追加, 適用於日誌文件
[root@xuliangwei ~]# echo "aa" >> file_a

//i權限, 無法寫入, 無法刪除
[root@xuliangwei ~]# echo "i" > file_i
bash: file_i: Permission denied
[root@xuliangwei ~]# echo "i" >> file_i
bash: file_i: Permission denied
[root@xuliangwei ~]# rm -f  file_i
rm: cannot remove ‘file_i’: Operation not permitted

//解除限制
[root@tianyun ~]# chattr -a file100 
[root@tianyun ~]# chattr -i file200

進程掩碼umask

umask用於控制系統權限, 默認系統權限較大, 需要靠Umask來變更權限
默認新建文件,系統默認最大權限為666
默認新建目錄,系統默認最大權限是777

我們在新建文件和目錄的默認權限會受到umask的影響, umask表示要減掉的權限。
創建目錄權限值為777-umask
創建普通文件權限值為644-umask

umask涉及到的相關文件/etc/bashrc /etc/profile ~/.bashrc ~/.bash_profile

註意umask影響的範圍
shell (vim,touch) --umask--> 新文件或目錄權限
vsftpd --umask--> 新文件或目錄權限
samba --umask--> 新文件或目錄權限
useradd --umask--> 用戶 HOME

1.假設umask值為:022(所有位為偶數)
//文件的起始權限值
6 6 6  -  0 2 2  = 6 4 4 

2.假設umask值為:045(其他用戶組位為奇數)
//計算出來的權限。由於umask的最後一位數字是5,所以,在其他用戶組位再加1。
6 6 6  -   0 4 5 = 6 2 1

3.默認目錄權限計算方法
7 7 7  -  0 2 2 = 7 5 5
 
umask 044    //umask所有位全為偶數時
示例:mkdir d044   //目錄733
示例:touch f044   //文件622

umask 023    //umask值的部分或全部位為奇數時
示例:mkdir d023   //目錄754
示例:touch f023   //文件644

umask 035    //umask值的所有位為奇數時
示例:mkdir d035   //目錄742
示例:touch f035   //文件642
示例1: 在shell進程中創建文件
//查看當前用戶的umask權限
[root@xuliangwei ~]# umask
0022
[root@xuliangwei ~]# touch file0022
[root@xuliangwei ~]# mkdir dir0022
[root@xuliangwei ~]# ll -d file0022  dir0022/
drwxr-xr-x 2 root root 6 Jan 24 09:02 dir0022/
-rw-r--r-- 1 root root 0 Jan 24 09:02 file0022
示例2: 修改shell umask值(臨時生效)
[root@xuliangwei ~]# umask 000
[root@xuliangwei ~]# mkdir dir000
[root@xuliangwei ~]# touch file000
[root@xuliangwei ~]# ll -d dir000 file000
drwxrwxrwx 2 root root 6 Jan 24 09:04 dir000
-rw-rw-rw- 1 root root 0 Jan 24 09:04 file000
示例3: 修改shell umask值(永久生效, 強烈不建議修改) 
[root@xuliangwei ~]# vim /etc/profile
if [ $UID -gt 199 ] && [ "`id -gn`" = "`id -un`" ]; then 
umask 002
else
umask 022
fi

//立即在當前 shell 中生效
[root@xuliangwei ~]# source /etc/profile
示例4: 通過umask決定新建用戶HOME目錄的權限 
[root@xuliangwei ~]# vim /etc/login.defs
UMASK 077
[root@xuliangwei ~]# useradd dba
[root@xuliangwei ~]# ll -d /home/dba/
drwx------. 4 dba dba 4096 311 19:50 /home/dba/

[root@tianyun ~]# vim /etc/login.defs
UMASK 000
[root@xuliangwei ~]# useradd sa
[root@xuliangwei ~]# ll -d /home/sa/
drwxrwxrwx. 4 sa sa 4096 311 19:53 /home/sa/

特殊權限練習題

創建三個用戶, 分別為curlylarrymoe這些用戶都是stooges組的成員。
這些用戶帳號密碼都為password
1.要求以上用戶和組可以在/home/stooges目錄裏訪問,創建,刪除文件
2.其他用戶一律不允許訪問該目錄
3.在該目錄下新建的文件會自動屬於stooges組擁有

技術分享圖片 
//創建用戶,組
useradd curly
useradd larry
useradd moe
groupadd stooges

//創建密碼
echo "password" |passwd --stdin moe
echo "password" |passwd --stdin larry
echo "password" |passwd --stdin curry

//將用戶加組
gpasswd -a larry stooges
gpasswd -a moe stooges
gpasswd -a curly stooges

//創建目錄並配置權限
mkdir /home/stooges
chmod 770 /home/stooges
chown .stooges /home/stooges
chmod g+s /home/stooges
View Code

linux用戶權限 -> 系統特殊權限

相關推薦

linux -> 系統特殊

威脅 log 無法刪除 lsa 控制系統 swd 數字 sticky useradd set_uid 運行一個命令的時候,相當於這個命令的所有者,而不是執行者的身份。 suid的授權方法 suid 4000 權限字符s(S),用戶位置上的x位上設置。 授權

Linux學習匯總——Linux組管理,文件管理,文本處理工具grep及egrep

linux用戶組管理 linu文件權限管理 linu文本管理 egrep grep 本章Blog相關Linux相關知識點解析:在數據庫按搜索碼查找相對應的條目,並找與之對應額外的其他數據庫的過程;名稱解析:UID ,組名解析:GID數據庫:文本文件,sql數據庫,ldap數據庫,用戶庫:/

linux[基礎]-20-與文件-[文件特殊]-[01]

.cn 工作 授權 span operation 限制 們的 abr 管理員 用戶與文件權限 用戶:   用戶root是系統的超級管理員,而真正讓他成為管理員的不是   用戶名“root”,而是其UID編號。 UID:每個用戶都有相對應的UID號,就像我們的身份證號

Linux系統中管理賬戶和組賬戶及其設置

系統 運維 用戶賬戶分為:超級用戶、系統用戶、普通用戶。 超級用戶: 用戶名:root ; UID:0; 系統用戶: 用戶名:由用戶自行設定; UID:1~499(Centos6及之前),1~999(Centos7); 普

linux /群組/

運行 不存在 roo 重定向 查看文件內容 修改權限 gshadow 存在 新建 mv 原文件名 新文件名 #相當於重命名 查看文件內容相關命令 cat #查看文件全部內容 head - n #查看文件前n行內容(默認前十行) tail -n #查看文件後n

linux 群組

使用 用戶登錄 部分 路徑 必須 chm opera wol 賬戶 用戶及passwd文件 /etc/passwd文件的功能 /etc/passwd文件每個字段的具體含義 shadow文件 /etc/shadow文件的功能 /etc/shadow文件每個字段的具體

Linux、群組及

cnblogs lang 權限 ase nbsp lin swd initial ado 由於對文件的操作需要切換到相應文件夾下進行,所以對文件內容的修改,最基本的是需要其文件夾執行的權限。 文件夾的讀權限(read)可以獨立行使,但是對文件夾內容的寫權限(對其內文件的新

Linux、組和管理(一)

linux用戶、組使用Linux是一個Multi-tasks(多任務)、 Multi-Users(多用戶)的系統每一個登陸者或使用者都有用戶標識、密碼(所謂3A) 所謂的3A: Authentication(驗證機制) Authorization(授權機制) Audition(審計)組的概

linux加入sudo

art user nopasswd ack 想要 補充 sudo 權限 clas 加入sudo權限方法: 須要在/etc/sudoers文件裏加入想要條目以實現權限。 其加入有兩種方法:(在root用戶環境下執行的) 1:直接使用visudo

Linux 添加(user),組(Group)以及(Permission)

opened 用戶 信息 groupdel upa ide 登陸 play cnblogs 1. 添加用戶 sudo adduser UserName 異常: sudo adduser --force-badname <username

Linux、組和的概念

linux用戶、組和權限安全上下文(Security Context):1.權限權限定義的例子:文件:tom和jerry同時運行/tmp/inittab.new tom(屬主) tom(屬組)TOM: ls /tmp/inittab.newJerry: ls /tmp/inittab.new只

linux管理

互聯網/var/db/sudo 授權sudo用戶的密碼時間戳地址 %sa代表授權一個組。一般用visudo操作它會自動檢查語法避免錯誤,如果用echo方式追加進/etc/sudoers裏那麽就需要用visudo -c手動檢查下語法。sudo -l查看自身權限。可以設置用戶別名,權限別名等,主機別名等讓它們在s

Linux組、

命名 lis 進入 文件屬性 -s 新建 user 創建文件 執行權 Linux 用戶組分為:所有者、所在組、其他組 所有者:誰創建,誰是所有者。命令:ls -al 所在組:當創建文件或者文件夾時,這個文件或者文件夾所分配到的用戶組,這樣就會有效地隔離文件。 其

Linux配置sudo(visudo)

led 編輯 pda visible 相關配置 smi related sha drivers sudo的工作過程如下: 1,當用戶執行sudo時,系統會主動尋找/etc/sudoers文件,判斷該用戶是否有執行sudo的權限 2,確認用戶具有可執行sudo的權限後,讓

Linux配置文件及

zl---------- 屬主 屬組 其他安全上下文(secure context) 任何時候用戶操作計算機無非就是發起進程,因此,進程是用戶操作計算機的代理,所以進程在運行的時候,一定是以發起它的用戶的身份在運行。所以,這個進程到底能夠訪問哪些文件,取決於這個進程自己的權限和它要訪問的那個資源或文件的

Linux及其管理命令

zl/etc/passwd: 用戶名:密碼:UID:GID:註釋:家目錄:默認shell/etc/group: 組名:密碼:GID:以此組為其附加組的用戶列表/etc/shadow: 用戶名:密碼:最近一次修改密碼的時間:最短使用期限:最長使用期限:警告時間:非活動時間:過期時間:用戶管理: use

linux組和管理

linux文件管理在linux中的每個用戶必須屬於一個組,不能獨立於組外。在linux中每個文件有所有者、所在組、其它組的概念 在linux系統中,所創建的用戶帳號和其相關信息(密碼除外)均是存放在/etc/passwd配置文件中。由於所有用戶對passwd文件均有讀取的權限,因此密碼信息並未保存在該文件中

第六章 linux組和管理

then login 通過 替換 ogr 特殊 conf 鎖定 全局 用戶組和權限管理 介紹安全3A ?資源分派: Authentication:認證 Authorization:授權 Accouting|Audition:審計 用戶user ?令牌token,identi

linux文件屬性、文件類型、linux、軟鏈接和硬鏈接

linux 文件 權限 鏈接 作者:Georgekai歸檔:學習筆記2017/12/22 day12georgekai~~習慣:操作前備份,操作後檢查 本章正題: linux文件屬性、文件類型、linux用戶和權限、軟鏈接和硬鏈接1.1 文件屬性1.1.1 查看文件屬性的含義[root@georgekai ~

Linux管理及

pass root 登錄 octal 接收 更多 有一個 系統 eset 一、用戶管理 1、用戶User 1)令牌token,identity 2)Linux用戶:Username/UID 3)管理員:root,0 4)普通用戶