2. 程式人生 > >linux文件系統上的特殊權限及細致權限ACL

linux文件系統上的特殊權限及細致權限ACL

阿新 發佈:2019-03-25
中間 文件特殊權限 項目 主機 user sel at命令 文件內容 一個

linux文件系統上的特殊權限及細致權限ACL

Chattr命令:

常用重要參數與選項:

  • :增加某一個特殊參數,其他原本存在的參數則不動;
  • :移除某一個特殊參數,其他原本存在的參數則不動;
    = :設定一定,且僅有後面接的參數;
    a : 當設定 a 之後,這個文件將只能增加數據,而不能刪除也不能修改數據,只有root 才能設定這屬性
    i :讓一個文件『不能被刪除、改名、設定連結也無法寫入或新增數據!對於系統安全性有相當大的幫助!只有 root 能設定此屬性

lsattr 命令:顯示特定屬性

語法格式:lsattr [-adR] 文件或目錄
選項與參數:
-a :將隱藏文件的屬性也秀出來;
-d :如果接的是目錄,僅列出目錄本身的屬性而非目錄內的文件名;

-R :連同子目錄的數據也一並列出來 !
示例:

[root@CentOS7 data]#touch testdir 
[root@CentOS7 data]#chattr +i testdir 
[root@CentOS7 data]#ls 
scripts  testdir
[root@CentOS7 data]#ll 
total 4
drwxr-xr-x. 5 root root 4096 Mar 19 19:38 scripts
-rw-r--r--. 1 root root    0 Mar 19 19:39 testdir
[root@CentOS7 data]#rm -r testdir 
rm: remove regular empty file ‘testdir’? y 
rm: cannot remove ‘testdir’: Operation not permitted
[root@CentOS7 data]#lsattr testdir 
----i----------- testdir

文件特殊權限:SUID,SGID,SBIT

我們一直使用的文件重要權限,那就是rwx這三個讀、寫、執行權限,那麽除了這個就沒有其他權限了嗎?
細心的人會註意到當我們查看/tmp和/usr/bin/passwd,在權限位上會出現我們不認識的t、s,那麽這裏的t、s就是文件隱藏的特殊權限了。

[root@CentOS7 data]#ll -d /tmp /usr/bin/passwd 
drwxrwxrwt. 32 root root  4096 Mar 19 19:57 /tmp
-rwsr-xr-x.  1 root root 27832 Jun 10  2014 /usr/bin/passwd
[root@CentOS7 data]#lsattr -a /etc/shadow
---------------- /etc/shadow

特殊權限SUID:

我們都知道/etc/shadow文件的權限為000;那麽就是除了root外的所有用戶將對這個文件沒有任何權限,然而當普通用戶使用passwd命令時,發現我們能修改用戶密碼並保存進/etc/shadow中,那豈不是就前後矛盾了?原因就是/usr/bin/passwd上的特殊權限s,當普通用戶執行passwd命令時,會臨時擁有root的權限。
特殊權限SUID的功能:
(1)SUID權限僅對二進制程序有效; //普通用戶的/usr/bin/passwd 這個程序來說擁有x權限,表示普通用戶也能執行passwd;
(2)執行者對於該程序需要具有x的可執行權限; //passwd的擁有者時root,root對文件擁有絕對控制權;
(3)本權限僅在執行該程序的過程中有效; //普通用戶執行passwd的過程中,會暫時獲得root的權限;
(4)執行者將具有該程序擁有者的權限; // 文件/etc/shadow可以被普通用戶執行的passwd命令修改;
那麽普通用戶能使用cat命令讀取/etc/shadow的內容嗎?通下面命令我們發現cat命令並不存在s特殊權限位,也不能讀取shadow的內容;

[root@CentOS7 data]#ll /bin/cat 
-rwxr-xr-x. 1 root root 54160 Oct 31 03:16 /bin/cat
[root@CentOS7 data]#su gong 
[gong@CentOS7 data]$ cat /etc/shadow 
cat: /etc/shadow: Permission denied

特殊權限SGID:

當s標誌在文件的擁有者的x項目為SUID,那s在群組的x時則稱為Set GID,簡寫為SGID;SUID可作用在文件或目錄上;
當SGID作用在文件上,其起到的功能為:
(1)SGIU對二進制程序有用;
(2)程序執行者對於該程序來說,需具備x 的權限;
(3)執行者在執行的過程中將會獲得該程序群組的支持;

[hh@CentOS7 data]$ ls -l testfile                  //查看文件的權限,在群組位置有的執行位上為s,other用戶對程序只有x執行權限;
-rw-r-s--x 1 root gong 10 Mar 20 09:31 testfile
[hh@CentOS7 data]$ id hh                           //用戶hh屬於組gong的成員
uid=1004(hh) gid=1004(hh) groups=1004(hh),1000(gong)
[hh@CentOS7 data]$ cat testfile                    //這時用戶hh在執行的過程中獲得了該程序群組的支持,從而可以讀取文件內容;
d
sd
sd

當SGID作用在文件上,其起到的功能為:
(1)用戶若對此目錄具有r與x的權限時,該用戶能夠進入此目錄;
(2)用戶在此目錄下的有效群組將會變成該目錄的群組;
(3)用途:若用戶在此目錄下具有w的權限(可以新建文件),則使用者所建立的新文件,改新文件的群組與此目錄的群組相同;
註:通常用於創建一個協作目錄; 

[root@CentOS7 data]#ll -d testdir/               //查看目錄發現群組對該目錄有s權限,其他用戶只有w權限
drwxrws-w- 2 root gong 6 Mar 20 10:01 testdir/
[root@CentOS7 data]#su hh                        //切換用戶
[hh@CentOS7 testdir]$ id                         //用戶hh時群組gong的組員
uid=1004(hh) gid=1004(hh) groups=1004(hh),1000(gong)
[hh@CentOS7 data]$ cd testdir/                   //hh用戶有進入目錄權限
[hh@CentOS7 testdir]$ touch testfile1            //hh用戶有創建新文件的權限
[hh@CentOS7 testdir]$ ll                         //發現hh用戶創建的文件的群組自動屬於gong
total 0
-rw-rw-r-- 1 hh gong 0 Mar 20 10:06 testfile1
[hh@CentOS7 testdir]$ echo 11111 > testfile1     //hh用戶可修改文件
[hh@CentOS7 testdir]$ cat testfile1              //hh用戶可讀取文件
11111
[hh@CentOS7 testdir]$ rm testfile1               //hh用戶可刪除文件

特殊權限SBIT:

SBIT只對目錄有效,功能是:
當用戶對此目錄具有w、x權限,亦即具有寫入的權限時;
當用戶在該目錄下建立文件或目錄時,僅有自己與root才有權利刪除該文件;

[root@CentOS7 data]#ls -ld testdir/                       //目錄testdir的other的權限位上為t,權限為777
drwxrwsrwt 2 root root 23 Mar 20 10:20 testdir/
[root@CentOS7 testdir]#su hh                 
[hh@CentOS7 testdir]$ ll -d testfile1 
-rwxrwxrwx 1 gong gong 0 Mar 20 10:20 testfile1           //文件的所有者和所屬組為gong, hh用戶對該文件擁有rwx權限
[hh@CentOS7 testdir]$ rm -f testfile1                     //但hh用戶不能刪除此文件,只能root和文件屬主才能刪除
rm: cannot remove ‘testfile1’: Operation not permitted

主機的細致權限規劃:ACL的使用

ACL 是 Access Control List 的縮寫,主要的目的是在提供傳統的 owner,group,others 的 read,write,execute 權限之外的細部權限設定。ACL 可以針對單一使用者,單一文件或目錄來進行 r,w,x 的權限規範,對於需要特殊權限的使用狀況非常有幫助。
查看本機的文件系統是否支持ACL:

[root@CentOS7 data]#dmesg |grep -i acl 
[    0.869680] systemd[1]: systemd 219 running in system mode. (+PAM +AUDIT +SELINUX +IMA -APPARMOR +SMACK +SYSVINIT +UTMP +LIBCRYPTSETUP +GCRYPT +GNUTLS +ACL +XZ +LZ4 -SECCOMP +BLKID +ELFUTILS +KMOD +IDN)
[    3.264996] SGI XFS with ACLs, security attributes, no debug enabled

使用ACL:
getfacl :取得某個文件/目錄的ACL設定項目
語法格式:setfacl [-bkRd] [{-m|-x} acl參數] 目標文件名
選項與參數:
-m :設定後續的 acl 參數給文件使用,不可與 -x 合用;
-x :刪除後續的 acl 參數,不可與 -m 合用;
-b :移除『所有的』 ACL 設定參數;
-k :移除『預設的』 ACL 參數,關於所謂的『預設』參數於後續範例中介紹;
-R :遞歸設定 acl ,亦即包括次目錄都會被設定起來;
-d :設定『預設 acl 參數』的意思!只對目錄有效,在該目錄新建的數據會引用此默認值
setfacl :設定某個目錄/文件的ACL規範,對用戶的細致acl權限設置:setfacl -m u:uname:rwx filename

[root@CentOS7 data]#touch acl_testfile                 //創建測試文件
[root@CentOS7 data]#ll acl_testfile                    //查看文件權限
-rw-r--r-- 1 root root 0 Mar 20 10:44 acl_testfile
[root@CentOS7 data]#setfacl -m u:gong:rw acl_testfile   //使用setfacl給用戶gong設置權限
[root@CentOS7 data]#ll acl_testfile                     //發現文件的權限後面多了一個+號
-rw-rw-r--+ 1 root root 0 Mar 20 10:44 acl_testfile
[root@CentOS7 data]#setfacl -m u::rwx acl_testfile      //當使用setfacl設置文件權限中間用戶空時,發現默認將文件所有者的修改
[root@CentOS7 data]#ll acl_testfile 
-rwxrw-r--+ 1 root root 0 Mar 20 10:44 acl_testfile

查看文件的具體acl權限:getfacl filename

[root@CentOS7 data]#getfacl acl_testfile
# file: acl_testfile
# owner: root
# group: root
user::rwx
user:gong:rw-
group::r--
mask::rw-
other::r--

setfacl :設定某個目錄/文件的ACL規範,對群組的細致acl權限設置:setfacl -m g:group:rwx filename

[root@CentOS7 data]#setfacl -m g:gong:r acl_testfile 
[root@CentOS7 data]#getfacl acl_testfile
# file: acl_testfile
# owner: root
# group: root
user::rwx
user:gong:rw-
group::r--
group:gong:r--
mask::rw-
other::r--

linux文件系統上的特殊權限及細致權限ACL

相關推薦

linux系統特殊ACL

中間 文件特殊權限 項目 主機 user sel at命令 文件內容 一個 linux文件系統上的特殊權限及細致權限ACL Chattr命令: 常用重要參數與選項: :增加某一個特殊參數,其他原本存在的參數則不動; :移除某一個特殊參數,其他原本存在的參數則不動;= :設

Linux系統特殊(SUID、SGID、Sticky)

uid images 執行權 tps type 默認 映射 一個 安全 安全上下文前提:文件有屬主與屬組,進程也有屬主與屬組(1) 任何一個可執行程序能不能啟動為進程,取決於發起者對程序文件是否擁有執行權限(2)啟動為進程後,其進程的屬主為發起者,進程的屬組為發起者所屬的組

Linux系統特殊:chattr lsattr

設置特殊權限 查看特殊權限 chattr:設置特殊權限 lsattr:查看特殊權限 chattr [+-=] [ASacdistu] [文件或目錄名稱] 參數說明: +-=:分別是"+"(增加)、"-"(減少)、"="(設定)屬性 A:

Linux 系統屬性 chattr 系統命令 sudo

但是 col nbsp 刪除權限 改名 用戶名 strong 文件系統 all 01、chattr格式 => chattr [+-=][選項]文件或者目錄名     +:增加權限     -:刪除權限     =:等於權限     lsattr:查看 cha

Linux 系統(學習記錄)

灰色 pwd 操作符 存儲 壓縮 inux odi atime 獨立分區 Linux文件與權限 ??在Linux中有著一切皆文件的說法,而文件的權限大小和用戶所擁有的權限決定了用戶對文件的控制程度,因此文件的權限和用戶的權限對Linux中文件和系統的安全有很大的影響。 一.

Linux系統

protected 刪除文件 mis chmod u+s groupadd 設置 對比 即使 ACL設置 Linux文件系統權限 一、屬主、屬組 在linux文件系統中,用戶如果要對文件進行操作,首先要對文件的權限進行檢查,先判斷用戶是否是此文件的屬主如果是則執行屬主權限,

Linux屬性

讀取數據 寫入 數值 效率 特征 centos6 問題 整除 spool 文件屬性概述(ls -lhi) linux裏一切皆文件Linux系統中的文件或目錄的屬性主要包括:索引節點(inode),文件類型,權限屬性,鏈接數,所歸屬的用戶和用戶組,最近修改時間等內容:

Linux系統

文件系統文件系統與目錄結構文件系統1.文件和目錄被組織成一個單根倒置數結構2.文件系統從根目錄下開始,用“/”表示3.根文件系統(rootfs):root filesystem4.文件名稱區分大小寫5.以.開頭的文件為隱藏文件6.路徑分隔符:/7.文件的兩類數據: 元數據(metadata)和 數據(data

linux系統1基本類型和inode

文件類型、索引節點基本文件類型 普通文件:文件中包含信息是用戶、系統或應用程序輸入生成,在文件系統中不加任何內部修飾,把它們看做純粹的字節流。 目錄:包含文件名列表和指向與之相關聯的的索引節點的指針。目錄文件時特殊寫保護權限的普通文件,只有文件系統才能進行寫操作。特殊文件:不含數據內容,提供一個映射物理設備到

linux系統軟鏈接硬鏈接

文件權限 必須 har 方便 路徑名 uid directory 文章 stat 引子 目前,UNIX的文件系統有很多種實現,例如UFS(基於BSD的UNIX文件系統)、ext3、ext4、ZFS和Reiserfs等等。 不論哪一種文件系統,總是需要存儲數據。硬盤的最小存儲

Linux系統只讀Read-only file system

linux 文件系統 只讀問題描述:1、系統無法進行磁盤的讀寫操作(touch,cp,chmod)等等2、服務器無法啟動(也是因為無法創建文件)3、只有涉及到系統磁盤的寫操作,都會報錯"Read-only file system"問題原因:1、系統沒有正常關機,導致虛擬磁盤出現文件系統錯誤;2、機器硬

理解Linux系統之inode

識別 這一 ide clas /dev/ eight 保留 修改 detail 很少轉發別人的文章,但是這篇寫的太好了。 理解inode 作者: 阮一峰 inode是一個重要概念,是理解Unix/Linux文件系統和硬盤儲存的基礎。 我覺得,理解ino

Linux系統,ntfs分區顯示只讀系統,提示超級快損壞

調用 action home run -h emp pen jbd realloc 背景:某天當我打開自己的設備,突然發現ntfs分區無法寫入任何文件,提示為只讀文件系統,具體現象如下: 修復過程:排除權限問題,使用fsck進行修復無果後,使用e2fsck進行修復 顯示

Linux系統的基本結構

內容 blog 文件的 x文件 文件瀏覽 文件瀏覽器 適用於 當前 查看 Linux文件系統結構 通過下面兩張圖片來認識一下Linux文件系統的結構。 當前工作目錄 實踐: 文件名稱 這些規則不僅適用於文件,也適用於文件

linux 系統查看

linux文件系統查看文件系統查看在文件系統創建完成後,在日常的運維工作中,往往需要查看磁盤的分區標簽,在掛載分區時往往需要通過UUID掛載,因為通過設備名穩定性較差,隨著分區的增和刪,分區會發生變化,因此通過UUID和標簽掛載。1. Findfs查看驗證標簽或UUID 對應分區命令選項findfsLABE

Linux-系統

centos7 logs ima inux .com 視頻 cache centos5 sata 文件系統選型: 1)sas/sata   a.reiserfs 大量小文件業務reiserfs(100k內)   b.xfs 有的門戶的數據庫MySQL業務會選擇xf

Linux系統與磁盤的映射

linux 文件系統 磁盤映射 一)Linux文件系統為了規範每個特定的目錄下應該要放置什麽樣子的數據,就有了所謂的Filesystem Hierachy Standard(FHS)標準。FHS一直在持續改版,可以到http://www.pathname.com/fhs 參考官方文件。試試上,FH

linux系統NFS

互聯網文件系統:reiserfs 大量小文件業務首選xfs數據庫mysql業務,門戶案例ext4視頻下載,流媒體,數據庫,小文業務也ok,可以用默認的。centos默認的文件系統都是比較優秀的。xfs,reiserfs這兩個文件都需要單獨安裝的,默認不支持的。維護可能不方便。大並發並不是過多的做磁盤的優化,而

Linux 入門記錄:八、Linux 系統

文件的 讀寫 com 發行版 信息 查看 block 系統日誌 成功 一、文件系統 操作系統通過文件系統管理文件及數據,磁盤或分區需要創建文件系統之後,才能被操作系統所用,創建文件系統的過程又稱之為格式化。沒有文件系統的設備又稱之為裸設備(raw),某些環境會需要裸設備,

理解Linux系統掛載參數noatime nodiratime

cat dentry 服務器 void program kernel 使用 status 系統 很多線上服務器為了提供文件系統IO性能,會在掛載文件系統的時候指定“noatime,nodiratime”參數,意味著當訪問一個文件和目錄的時候,access time都不會更新