特殊權(quán)限suid

Linux 系統(tǒng)文件除了9位基本權(quán)限，還有額外3位特殊權(quán)限，分別是
　　SUID(set uid)， ?-rwsr-xr-x
　　SGID(set gid)， ? -rw-r-sr-x
　　SBIT(sticky bit), ? -rw-r-xr-t
　　這3位特殊權(quán)限不建議使用(除系統(tǒng)默認(rèn)的特殊權(quán)限可以使用以外)，除非有特殊需求時使用。

suid ?特殊權(quán)限包括(set、uid)

suid是 set、uid的簡稱
當(dāng)我們?yōu)槟硞€命令設(shè)定了suid，無論誰使用該命令都會使用該命令的"屬主"運(yùn)行該命令。

[root@zjh ~]# ll /etc/passwd
-rw-r--r-- 1 root root 6209 Apr 13 03:26 /etc/passwd
[root@zjh ~]# ll /etc/shadow
---------- 1 root root 11409 Apr 13 03:26 /etc/shadow

當(dāng)普通用戶使用 passwd 命令更改自己的密碼時，實(shí)際上是在用 passwd 命令所有者 root 的身份在執(zhí)行 passwd 命令，root 當(dāng)然可以將密碼寫入 /etc/shadow 文件，所以普通用戶也可以修改 /etc/shadow 文件，命令執(zhí)行完成后，該身份也隨之消失。

suid=4000
suid授權(quán)方法4000 權(quán)限字符s(S),用戶位置上的x位上設(shè)置
chmod u+s ?/usr/bin/passwd
chmod 4755 /usr/bin/passwd

chmod u-s ?去除權(quán)限

suid優(yōu)點(diǎn)
1.讓普通用戶對可執(zhí)行的二進(jìn)制文件，臨時擁有二進(jìn)制文件的所屬主權(quán)限。
2.如果設(shè)置的二進(jìn)制文件沒有執(zhí)行權(quán)限,那么suid的權(quán)限顯示就是大S。
3.特殊權(quán)限suid僅對二進(jìn)制可執(zhí)行程序有效，其他文件或目錄則無效。

suid缺點(diǎn): 如果rm 為suid, 無論誰執(zhí)行該命令,都能刪除系統(tǒng)的任何 資源

特殊權(quán)限SGID

sgid授權(quán)方法: 2000權(quán)限字符s(S)，取決于屬組位置上的x

chmod 2755 ?directory

chmod ?g+s ?directory

sgid作用

1.針對用戶組權(quán)限位修改，用戶創(chuàng)建的目錄或文件所屬組和該目錄的所屬組一致。
2.當(dāng)某個目錄設(shè)置了sgid后，在該目錄中新建的文件不在是創(chuàng)建該文件的默認(rèn)所屬組
3.使用sgid可以使得多個用戶之間共享一個目錄的所有文件變得簡單。
例題:
sgid (set gid) 特殊權(quán)限
將目錄設(shè)置為sgid后，如果在往該目錄下創(chuàng)建文件，都將與該目錄的 所屬組保持一致，演示如下
[root@zjh ~]# groupadd devops
[root@zjh~]# useradd zhangsan -G devops
[root@zjh ~]# useradd lisi -G devops
[root@zjh ~]# mkdir /opt/share
[root@zjh ~]# chmod 2777 share/
[root@zjh ~]# chown .devops share/

測試不同的用戶在該目錄下創(chuàng)建文件,檢查屬主和屬組 #使用sgid可以使得多個用戶之間共享一個目錄的所有文件變得簡單

特殊權(quán)限SBIT

ticky(SI TI KI)粘滯位目前只對目錄有效。
如果一個目錄設(shè)定了粘滯位, 那么誰都可以在該目錄下創(chuàng)建文件,.
刪除文件只能是 誰創(chuàng)建的誰刪除. 除此以外 root 和/tmp/的所屬主都能 刪除該目錄下的額內(nèi)容

作用：

普通用戶對該目錄擁有 w 和 x 權(quán)限，即普通用戶可以在此目錄中擁有寫入權(quán)限。如果沒有粘滯位，那么普通用戶擁有 w 權(quán)限，就可以刪除此目錄下的所有文件，包括其他用戶建立的文件。但是一旦被賦予了粘滯位，除了 root 可以刪除所有文件，普通用戶就算擁有 w 權(quán)限，也只能刪除自己建立的文件，而不能刪除其他用戶建立的文件。
[root@zjh tmp]# ll -d /tmp/
drwxrwxrwt. 12 root root 4096 Apr 13 05:32 /tmp/

2. sticky授權(quán)方法，1000 權(quán)限字符t(T),其他用戶位的x位上設(shè)置。

chmod o+t /tmp

chmod 1755 ?/tmp

3.sticky的作用

1.讓多個用戶都具有寫權(quán)限的目錄，并讓每個用戶只能刪自己的文件。
2.特殊sticky目錄表現(xiàn)在others的x位，用小t表示，如果沒有執(zhí)行權(quán)限是T
3.一個目錄即使它的權(quán)限為"777"如果是設(shè)置了粘滯位，除了目錄的屬主和"root"用戶有權(quán)限刪除，除此之外其他用戶都不允許刪除該目錄。

特殊屬性 chattr lsattr

chatrr 只有 root 用戶可以使用，用來修改文件系統(tǒng)的權(quán)限屬性，建立于rwx 基礎(chǔ)權(quán)限之上的授權(quán)。
chatrr 命令格式：chattr [+-=] [選項(xiàng)] 文件或目錄名
-a 只能追加,無其他操作
-i 鎖定文件,不能刪除,不能追加,不能移動
例題:
1.任何人都不能創(chuàng)建用戶，應(yīng)該給/etc/passwd添加什么特殊屬性?
[root@zjh ?~]# chattr +i /etc/passwd
[root@zjh ?~]# lsattr /etc/passwd
----i----------- /etc/passwd # 不得任意更動文件或目錄

[root@zjh ~]# chattr -i /etc/passwd
[root@zjh ?~]# lsattr /etc/passwd
---------------- /etc/passwd
[root@zjh ?~]# useradd test12
2.日志文件，希望能往里面追加內(nèi)容，但不允許刪除，應(yīng)該添加什么特殊屬性
[root@zjh ~]# chattr +a /var/log/secure
[root@zjh ~]# lsattr /var/log/secure
-----a---------- /var/log/secure

umask 默認(rèn)權(quán)限

1.umask是什么?

當(dāng)我們登錄系統(tǒng)之后創(chuàng)建一個文件總是有一個默認(rèn)權(quán)限的，比如: 目錄755、文件644、那么這個權(quán)限是怎么來的呢？這就是umask干的事情。umask設(shè)置了用戶創(chuàng)建文件的默認(rèn)權(quán)限。

2.umask是如何改變創(chuàng)建新文件的權(quán)限

系統(tǒng)默認(rèn)umask為022，那么當(dāng)我們創(chuàng)建一個目錄時，正常情況下目錄的權(quán)限應(yīng)該是777，但umask表示要減去的值，所以新目錄文件的權(quán)限應(yīng)該是
777 - 022 =755。
文件的權(quán)限也依次類推666 - 022 =644。

umask 設(shè)定為奇數(shù) 偶數(shù) 對文件和目錄有什么影響?
文件: 如果umask出現(xiàn)了奇數(shù), 要在奇數(shù)位+1
目錄: 對目錄毫無影響

設(shè)定umask

umask number 臨時 (當(dāng)前bash窗口有效,會隨著bash的關(guān)閉一 起結(jié)束) vim /etc/profile /etc/login.defs # 如果修改則都為永久.

作者：Gq趙
鏈接：https://www.jianshu.com/p/3882b46ccec3
來源：簡書
著作權(quán)歸作者所有。商業(yè)轉(zhuǎn)載請聯(lián)系作者獲得授權(quán)，非商業(yè)轉(zhuǎn)載請注明出處。

總結(jié)

以上是生活随笔為你收集整理的centos普通用户修改文件权限_用户管理(特殊权限、特殊属性、umask 默认权限 )的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。