***Linux 系统文件除了9位基本权限,还有额外3位特殊权限,分别是SUID(setuid),SGID(setgid),SBIT(sticky bit)

一、Linux 系统文件3位特殊权限位说明

标注:这3位特殊权限不建议使用(除系统默认的特殊权限可以使用以外),除非有特殊需求

特殊权限

特殊权限位小写

特殊权限位大写

权限值

s (suid)

小写s (有suid执行权限)

大写S (无suid执行权限)

4

s (sgid)

小写s (有sgid执行权限)

大写S (无sgid执行权限)

2

t(sticky bit)

小写t (有sticky bit执行权限)

大写T (无sticky bit执行权限)

1

0恢复文件原来权限,chmod 0755 file

SUID

标注:见下面范例1

1、SUID是对二进制命令或二进制程序有效,对目录无效

2、普通用户具有该文件其它用户x执行权限并分配了s权限将具有文件所有者的权限

3、用户属主对应的前三位权限的x位上如果有s就表示suid权限,当x位上没有小写x执行权限时候,suid的权限显示就是大S

4、suid权限仅在程序命令执行过程中有效

5、suid功能是一把双刃剑,是一个比较危险的功能,对系统安全有一定威胁系统,suid的无用的功能取消suid权限(安全优化)

SGID

标注:见下面范例2

1、SGID和SUID不同之处在于,SGID可以用于目录

2、SGID的权限s是出现在文件用户组的x权限位上

SGID针对文件

1、sgid仅对二进制命令程序有效

2、普通用户具有该文件其它用户x执行权限并分配了s权限将具有文件所属用户组的权限

3、执行命令任意用户可以获取该命令程序执行期间所属用户组的权限

SGID针对目录

1、linux 默认情况所有用户创建文件,默认用户和组都是自身

2、sgid可以让用户再此目录下创建的文件和目录,具有和此目录相同的用户组设置

sgid位主要用在目录中,当为某个目录设置sgid位以后,在改目录中

新创建的文件具有改目录的所属组权限,而不是创建改文件的用户的默认

所有者,这样,使得在多个用户之间共享一个目录中的文件变得简单

SBIT  (粘滞位)

标注:见下面范例3

1、SBIT与SUID,SGID不同的是,SBIT只能用于目录

2、普通用户在该目录下,仅目录属主与root才有权力删除\移动\重命名目录

3、如果目录权限是777并添加粘滞位t,普通用户可以在此目录下创建文件和目录

二、特殊权限位设置方法

范例1:SUID设置方法

[root@oldboy ~]# mkdir /oldboy

[root@oldboy ~]# touch /oldboy/test.sh

[root@oldboy ~]# ls -ld /oldboy/

drwxr-xr-x 2 root root 4096 Dec  5 19:16 /oldboy/

[root@oldboy ~]# ls -l /oldboy/test.sh

-rw-r--r-- 1 root root 0 Dec  5 19:16 /oldboy/test.sh

[root@oldboy ~]# which rm

alias rm='rm -i'

/bin/rm

[root@oldboy ~]# ls -l /bin/rm

-rwxr-xr-x. 1 root root 57440 Oct 15  2014 /bin/rm

[root@oldboy ~]# su - oldboy

[oldboy@oldboy ~]$ rm /oldboy/test.sh

rm: remove write-protected regular empty file `/oldboy/test.sh'? y

rm: cannot remove `/oldboy/test.sh': Permission denied

[oldboy@oldboy ~]$ su - root

Password:

[root@oldboy ~]# ls -l /bin/rm

-rwxr-xr-x. 1 root root 57440 Oct 15  2014 /bin/rm

[root@oldboy ~]# chmod u+s /bin/rm              ##等同命令chmod 4755 /bin/rm,取消suid命令 chmod u-s /bin/rm或chmod 0755 /bin/rm

[root@oldboy ~]# ls -l /bin/rm

-rwsr-xr-x. 1 root root 57440 Oct 15  2014 /bin/rm

[root@oldboy ~]# su - oldboy

[oldboy@oldboy ~]$ rm /oldboy/test.sh

[oldboy@oldboy ~]$ ls -l /oldboy/

total 0

范例2:GUID设置方法

[root@oldboy ~]# mkdir /oldboy

[root@oldboy ~]# ls -ld /oldboy/

drwxr-xr-x 2 root root 4096 Dec  5 19:28 /oldboy/

[root@oldboy ~]# chown oldboy.incahome /oldboy/

[root@oldboy ~]# ls -ld /oldboy/

drwxr-xr-x 2 oldboy incahome 4096 Dec  5 19:28 /oldboy/

[root@oldboy ~]# touch /oldboy/test.sh

[root@oldboy ~]# ls -l /oldboy/test.sh

[root@oldboy ~]# ls -l /oldboy/

total 0

-rw-r--r-- 1 root root 0 Dec  5 19:29 test.sh

[root@oldboy ~]# chmod g+s /oldboy/               ##等同命令chmod 2755 /bin/rm,取消guid命令 chmod g-s /bin/rm或chmod 0755 /bin/rm

[root@oldboy ~]# touch /oldboy/file.txt

[root@oldboy ~]# ls -l /oldboy/

total 0

-rw-r--r-- 1 root incahome 0 Dec  5 19:29 file.txt

-rw-r--r-- 1 root root     0 Dec  5 19:29 test.sh

范例3:SBIT设置方法

[root@oldboy ~]# mkdir /oldboy

[root@oldboy ~]# touch /oldboy/test.sh

[root@oldboy ~]# mkdir /oldboy/share

[root@oldboy ~]# chmod 777 /oldboy/

[root@oldboy ~]# chmod 777 /oldboy/share/

[root@oldboy ~]# chmod 777 /oldboy/test.sh

[root@oldboy ~]# ls -ld /oldboy/

drwxrwxrwx 2 root root 4096 Dec  6 10:23 /oldboy/

[root@oldboy ~]# ls -l /oldboy/

total 4

drwxrwxrwx 2 root root 4096 Dec  6 10:24 share

-rwxrwxrwx 1 root root    0 Dec  6 10:23 test.sh

[root@oldboy ~]# chmod 1777 /oldboy/            ##等同命令chmod o+s /oldboy

[root@oldboy ~]# ls -ld /oldboy/

drwxrwxrwt 3 root root 4096 Dec  6 10:24 /oldboy/

[root@oldboy ~]# su - oldboy

[oldboy@oldboy ~]$ rm /oldboy/test.sh

rm: cannot remove `/oldboy/test.sh': Operation not permitted

[oldboy@oldboy ~]$ rm -rf /oldboy/share/

rm: cannot remove `/oldboy/share': Operation not permitted

[oldboy@oldboy ~]$ mv /oldboy/test.sh /tmp/

mv: try to overwrite `/tmp/test.sh', overriding mode 0755 (rwxr-xr-x)? y

mv: cannot move `/oldboy/test.sh' to `/tmp/test.sh': Operation not permitted

[oldboy@oldboy ~]$ mv /oldboy/test.sh /oldboy/file.sh

mv: cannot move `/oldboy/test.sh' to `/oldboy/file.sh': Operation not permitted

[oldboy@oldboy ~]$ cp /oldboy/test.sh /tmp/

cp: cannot create regular file `/tmp/test.sh': Permission denied

[oldboy@oldboy ~]$ touch /oldboy/file.txt

[oldboy@oldboy ~]$ mkdir /oldboy/user

[oldboy@oldboy ~]$ ls -l /oldboy/

total 8

-rw-r--r-- 1 oldboy root    0 Dec  6 10:30 file.txt

drwxrwxrwx 2 root   root 4096 Dec  6 10:28 share

-rwxrwxrwx 1 root   root    0 Dec  6 10:28 test.sh

drwxr-xr-x 2 oldboy root 4096 Dec  6 10:31 user

[oldboy@oldboy ~]$ su - root

Password:

[root@oldboy ~]# rm -rf /oldboy/test.sh

[root@oldboy ~]# rm -rf /oldboy/share/

三、chattr改变文件属性(特殊功能)

参数

参数原版描述

备注

实例

+i

A file with the “i” attribute cannot be modified: it cannot be deleted or renamed, no link can be created to this file and no data can be  written to the file.

让任何用户(包括root管理员)无法删除\重命名\移动目录,但可以复制目录。如果针对文件添加i权限是无法修改\删除\添加文件的内容并且无法删除\重命名\移动文件,但可以复制文件

范例1

-i

取消i功能

范例1

-a

A  file with the ‘a’ attribute set can only be open in append mode for writing.

功能类似“i”,只是多了一个可以追加的功能

范例2

范例1:

1、针对oldboy目录添加i权限

[root@oldboy ~]# mkdir /oldboy

[root@oldboy ~]# chmod 777 /oldboy/

[root@oldboy ~]# touch /oldboy/test.sh

[root@oldboy ~]# touch /oldboy/file.txt

[root@oldboy ~]# chmod 777 /oldboy/*

oot@oldboy ~]# ls -l /oldboy/

total 0

-rwxrwxrwx 1 root root 0 Dec  6 11:21 file.txt

-rwxrwxrwx 1 root root 0 Dec  6 11:21 test.sh

[root@oldboy ~]# chattr +i /oldboy/

[root@oldboy ~]# ls -ld /oldboy/

drwxrwxrwx 2 root root 4096 Dec  6 11:21 /oldboy/

[root@oldboy ~]# lsattr -d /oldboy/

----i--------e- /oldboy/

[root@oldboy ~]# lsattr /oldboy/

-------------e- /oldboy/file.txt

-------------e- /oldboy/test.sh

[root@oldboy ~]# rm -rf /oldboy/

rm: cannot remove `/oldboy/file.txt': Permission denied

rm: cannot remove `/oldboy/test.sh': Permission denied

[root@oldboy ~]# mv /oldboy/* /tmp/

mv: cannot move `/oldboy/file.txt' to `/tmp/file.txt': Permission denied

mv: overwrite `/tmp/test.sh'? y

mv: cannot move `/oldboy/test.sh' to `/tmp/test.sh': Permission denied

[root@oldboy ~]# mv /oldboy/test.sh /oldboy/test.sh.bak

mv: cannot move `/oldboy/test.sh' to `/oldboy/test.sh.bak': Permission denied

[root@oldboy ~]# echo "test" > /oldboy/test.sh          ##这个文件内容不属于/oldboy/ block范围内

[root@oldboy ~]# cat /oldboy/test.sh

test

[root@oldboy ~]# lsattr -d /oldboy/

----i--------e- /oldboy/

[root@oldboy ~]# chattr -i /oldboy/

[root@oldboy ~]# lsattr -d /oldboy/

-------------e- /oldboy/

2、针对test.sh文件添加i权限

[root@oldboy ~]# touch test.sh

[root@oldboy ~]# chmod 777 test.sh

[root@oldboy ~]# ls -l test.sh

-rwxrwxrwx 1 root root 30 Dec  1 09:14 test.sh

[root@oldboy ~]# chattr +i test.sh

[root@oldboy ~]# lsattr test.sh

----i--------e- test.sh

[root@oldboy ~]# rm -rf test.sh

rm: cannot remove `test.sh': Operation not permitted

[root@oldboy ~]# mv test.sh /tmp/

mv: overwrite `/tmp/test.sh'? y

mv: cannot move `test.sh' to `/tmp/test.sh': Operation not permitted

[root@oldboy ~]# echo "abc" > test.sh

-bash: test.sh: Permission denied

[root@oldboy ~]# echo "abc" >> test.sh

-bash: test.sh: Permission denied

范例2:

[root@oldboy ~]# touch test.sh

[root@oldboy ~]# lsattr test.sh

-------------e- test.sh

[root@oldboy ~]# chattr +a test.sh

[root@oldboy ~]# lsattr test.sh

-----a-------e- test.sh

[root@oldboy ~]# rm -rf test.sh

rm: cannot remove `test.sh': Operation not permitted

[root@oldboy ~]# > test.sh

-bash: test.sh: Operation not permitted

[root@oldboy ~]# echo 123 >> test.sh

[root@oldboy ~]# cat test.sh

123

Linux 文件特殊权限_013的更多相关文章

  1. Linux文件的权限与属性

    由于以前学习Linux的时候没有做比较全面的总结笔记,而且平时大部分工作都在windows上进行,所以关于Linux的一些知识点有所遗忘.近期难得空闲,翻阅书籍,学习<鸟哥的Linux私房菜&g ...

  2. Linux学习之十五-Linux文件特殊权限和附加权限

    Linux文件特殊权限和附加权限 1.特殊权限suid 范围:只能针对二进制命令文件 作用:让普通用户拥有二进制命令文件所有者的权限 举例1:普通用户使用passwd命令修改密码 cat /etc/s ...

  3. Linux文件/目录权限设置命令:chmod

    文件/目录权限设置命令:chmod 这是Linux系统管理员最常用到的命令之一,它用于改变文件或目录的访问权限.该命令有两种用法: 用包含字母和操作符表达式的文字设定法 其语法格式为:chmod [w ...

  4. Linux文件普通权限

    1.文件所有者,所属用户组,其他用户1)文件所有者:创建文件的用户2)所属用户组:文件属于哪个用户组3)其他用户:不是文件所有者,不属于文件所属用户组的用户,称为其他用户 2.Linux文件权限我们切 ...

  5. linux文件访问权限(像rw-r--rw-是什么意思)

    Linux的文件访问权限分为 读.写.执行三种 r:可读(4) w:可写(2)对目录来说则可新建文件 x:可执行(1)对目录来说则可进入该目录 可用 ls -l 查看文件 像上图的-rw-r--rw- ...

  6. Linux 文件特殊权限 SUID SGID SBIT

    文件除了常规的权限r, w, x 还有一些特殊的权限,s与t权限,具体的用处如下 1 SetUID 当s 这个标志出现在文件所有者的x权限上时, 例如/usr/bin/passwd, [root@or ...

  7. Linux 文件普通权限_011

    一.文件权限10个字符对应类型和权限 二.Linux普通文件和Linux目录读.写.执行权限说明 标注:Linux 中的文件名是存在于父目录的block里面,并指向这个文件的inode节点 1.lin ...

  8. linux文件基本权限-基本权限的修改

    基本权限的修改 当我们在linux或unix系统的terminal输入"ls -l"命令时,将输出文件的详细信息.第一列,如“drwxr-xr-x”就是文件的权限信息. yinti ...

  9. [apue] linux 文件访问权限那些事儿

    前言 说到 linux 上的文件权限,其实我们在说两个实体,一是文件,二是进程.一个进程能不能访问一个文件,其实由三部分内容决定: 文件的所有者.所在的组: 文件对所有者.组用户.其它用户设置的权限访 ...

随机推荐

  1. phtnon 文件操作

    1.文件定义 (1).什么是文件? 文件是操作系统为用户或者应用程序提供一个读写硬盘的虚拟单位 文件的核心就是读写,即我们只需要对于进行读写操作,就是对操作系统发起请求,然后由操作系统将用户或者应用程 ...

  2. 考前停课集训 Day6 垒

    Day 6 今天在家里的 家里蹲 其实是day7的时候想到要写day6了 草率补充一下 NOIP考前棕名退不掉咯 你觉得我还会打洛谷的题目吗? 依然退步 没用心 T1 分火腿 数论题 我感觉挺难的 T ...

  3. LOJ #10084. 「一本通 3.3 练习 1」最小圈(二分+SPFA判负环)

    题意描述: 见原LOJ:https://loj.ac/problem/10084 题解: 假设所求的平均最小值为X,环上各个边的权值分别为A1,A2...Ak,可以得到: X=(A1+A2+A3+.. ...

  4. Java 接口 Closeable

    该接口位于java.io包下,声明如下:public interface Closeable extends AutoCloseable.关闭流并释放与该流关联的所有系统资源.如果已经关闭该流,则调用 ...

  5. day3字典_字符串_文件操作

    一.知识回顾 1.jmeter怎样增加压力机:在主控机配置文件 jmeter.perperties 文件中添加对应压力的IP和对应端口,多台压力机IP用","隔开,保证所有负载机和 ...

  6. 使用html5 Canvas绘制线条(直线、折线等)

    使用html5 Canvas绘制直线所需的CanvasRenderingContext2D对象的主要属性和方法(有"()"者为方法)如下: 属性或方法 基本描述 strokeSty ...

  7. px2rem

    vue做移动端适配,借助px2rem 插件方便的将px单位转为了rem 1.安装 npm install px2rem-loader  lib-flexible --save 2.在项目入口文件mai ...

  8. hdu1171 Big Event in HDU(多重背包)

    http://acm.hdu.edu.cn/showproblem.php?pid=1171 多重背包题目不难,但是有些点不能漏或错. #include<iostream> #includ ...

  9. Linux下修改环境变量,不小心改错,找不到命令解决办法

    PATH改错了找不到命令 解决方法: 重新定义PATH export PATH=/bin:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/us ...

  10. nginx配置http访问自动跳转到https

    1.按照如下格式修改nginx.conf 配置文件,80端口会自动转给443端口,这样就强制使用SSL证书加密了.访问http的时候会自动跳转到https上面 server { listen ; se ...