文件与目录权限设置不止读、写、执行这些,还有所谓的特殊权限,由于特殊权限会拥有一些“特权”;

1 2 3 4
本章内容 SUID SGID SBIT 文件扩展权限ACL

1、SUID

作用:程序运行时执行者拥有程序属主(owner)的权限

限制1:SUID权限仅对二进制程序(binary program)有效,即系统中的一些命令,不能用在脚本上;

限制2:对目录设置无效

限制3:执行者对于该程序需要具有x的可执行权限;

表现形式:owner身份的x权限上显示s,如:/usr/bin/passwd这个文件的权限状态:“-rwsr-xr-x.”

[test1@localhost ~]$ ll /usr/bin/passwd

-rwsr-xr-x. 1 root root 27832 6月  10 2014 /usr/bin/passwd

2、SGID

作用:①程序运行时执行者拥有程序属组(group)的权限;

②在设置了SGID权限的目录下建立文件时,新创建的文件的所属组会,继承上级目录的所属组;

限制1:既可以给二进制可执行程序设置,也可以对目录设置,SGID主要用在目录上;

限制2:程序执行者对于该程序来说,需具备x的权限;

表现形式:属组(group)身份的x权限上显示s 如: -rwxrwsrwx 1 test1 test1 0 5月 13 10:21 dirname

[test1@localhost ~]$ chmod g+s 2

[test1@localhost ~]$ ll

总用量 0

-rwxrwsrwx 1 test1 test1 0 5月  13 10:21 2

3、SBIT

作用:当用户在该目录下建立文件或目录时,仅有owner与 root才有权力删除(针对other身份);

限制1:针对目录设置,对文件不起作用;

表现形式:其他人身份(other)的x权限上显示t 如:drwxrwxrwt. 43 root root 4096 5月 13 15:48 /tmp

[test1@localhost ~]$ ls -ld /tmp

drwxrwxrwt. 43 root root 4096 5月  13 15:48 /tmp

权限设置

SUID:chmod u+s

SGID:chmod  g+s

SBIT:chmod o+t

数字模式就是四位数字中的第一位代表特殊权限(suid=4、sgid=2、sbit=1);不建议用数字模式因为有时会不好用

SUID:chmod 4777

SGID:chmod  2777

SBIT:chmod 1777       # 其中777指代三种基本权限(r、w、x)设置,因情况设定;

演示

SUID

╭─root@localhost.localdomain ~

╰─➤  ll `which passwd`

-rwsr-xr-x. 1 root root 28K 6月  10 2014 /bin/passwd        #可以看出passwd已经设置了suid

╭─root@localhost.localdomain ~

╰─➤  chmod u-s /bin/passwd           #删除suid的设置

╭─root@localhost.localdomain ~

╰─➤  ll /bin/passwd

-rwxr-xr-x. 1 root root 28K 6月  10 2014 /bin/passwd    #可以看出已删除

╭─root@localhost.localdomain ~

╰─➤  su - du      切换到du用户

上一次登录:一 5月 13 16:26:41 CST 2019pts/0 上

[du@localhost ~]$ passwd           #使用passwd修改du用户密码

更改用户 du 的密码 。

新的 密码:

重新输入新的 密码:

passwd: 鉴定令牌操作错误        #因为du用户没有权限所以不成功

[du@localhost ~]$ su - root

密码:

上一次登录:一 5月 13 18:09:08 CST 2019pts/0 上

╭─root@localhost.localdomain ~

╰─➤  chmod u+s /bin/passwd    #给du用户设置suid

╭─root@localhost.localdomain ~

╰─➤  ll /bin/passwd

-rwsr-xr-x. 1 root root 28K 6月  10 2014 /bin/passwd     #设置成功

╭─root@localhost.localdomain ~

╰─➤  su - du

上一次登录:一 5月 13 18:09:50 CST 2019pts/0 上

[du@localhost ~]$ passwd

更改用户 du 的密码 。

新的 密码:

重新输入新的 密码:

passwd:所有的身份验证令牌已经成功更新。     #使用passwd设置成功

SGID

╭─root@localhost.localdomain /home

╰─➤  ll

总用量 4.0K

drwx------. 14 du du 4.0K 5月  13 17:59 du

╭─root@localhost.localdomain /home

╰─➤  cd du

╭─root@localhost.localdomain /home/du

╰─➤  touch testfile1

╭─root@localhost.localdomain /home/du

╰─➤  mkdir testdir1

╭─root@localhost.localdomain /home/du

╰─➤  ll

总用量 0

drwxr-xr-x. 2 root root  6 5月  13 18:49 testdir1     #属组还是创建者的属组

-rw-r--r--. 1 root root  0 5月  13 18:49 testfile1       #属组还是创建者的属组

╭─root@localhost.localdomain /home/du

╰─➤  cd ..

╭─root@localhost.localdomain /home

╰─➤  chmod 2700 du          #数字形式设置sgid

╭─root@localhost.localdomain /home

╰─➤  ll

总用量 4.0K

drwx--S---. 15 du du 4.0K 5月  13 18:49 du

╭─root@localhost.localdomain /home

╰─➤  cd du

╭─root@localhost.localdomain /home/du

╰─➤  touch testfile2

╭─root@localhost.localdomain /home/du

╰─➤  mkdir testdir2

╭─root@localhost.localdomain /home/du

╰─➤  ll

总用量 0

drwxr-xr-x. 2 root root  6 5月  13 18:49 testdir1

drwxr-sr-x. 2 root du    6 5月  13 18:51 testdir2     #属组继承了设置了sgid父目录du的属组

-rw-r--r--. 1 root root  0 5月  13 18:49 testfile1

-rw-r--r--. 1 root du    0 5月  13 18:50 testfile2      #属组继承了设置了sgid父目录du的属组

SBIT

╭─root@localhost.localdomain /home/testdir1

╰─➤  touch testfile{1..3}

╭─root@localhost.localdomain /home/testdir1

╰─➤  mkdir testdir{1..3}

╭─root@localhost.localdomain /home

╰─➤  su - user1

上一次登录:一 5月 13 19:09:09 CST 2019pts/0 上

[user1@localhost ~]$ cd /home/testdir1

[user1@localhost testdir1]$ rm test*

rm: 无法删除"testdir1": 是一个目录

rm: 无法删除"testdir2": 是一个目录

rm: 无法删除"testdir3": 是一个目录

rm:是否删除有写保护的普通空文件 "testfile1"?y

rm:是否删除有写保护的普通空文件 "testfile2"?y

rm:是否删除有写保护的普通空文件 "testfile3"?y

[user1@localhost testdir1]$ ll

总用量 0

drwxr-xr-x. 2 root root 6 5月  13 19:08 testdir1

drwxr-xr-x. 2 root root 6 5月  13 19:08 testdir2

drwxr-xr-x. 2 root root 6 5月  13 19:08 testdir3

[user1@localhost testdir1]$ rm -r test*

rm:是否删除有写保护的目录 "testdir1"?y

rm:是否删除有写保护的目录 "testdir2"?y

rm:是否删除有写保护的目录 "testdir3"?y     # testdir1目录没有设置sbit,user用户可以删除root用户创建的文件

[user1@localhost testdir1]$ ll

总用量 0

[user1@localhost testdir1]$ su - root

密码:

上一次登录:一 5月 13 19:11:10 CST 2019pts/0 上

最后一次失败的登录:一 5月 13 19:14:30 CST 2019pts/0 上

最有一次成功登录后有 2 次失败的登录尝试。

╭─root@localhost.localdomain ~

╰─➤  cd /home

╭─root@localhost.localdomain /home

╰─➤  ll

总用量 4.0K

drwx------. 16 du    du    4.0K 5月  13 18:51 du

drwxrwxrwx.  2 root  root     6 5月  13 19:13 testdir1

drwx------.  5 user1 user1  121 5月  13 19:09 user1

╭─root@localhost.localdomain /home

╰─➤  chmod o+t testdir1          #给testdir1目录设置sbit

╭─root@localhost.localdomain /home

╰─➤  ll

总用量 4.0K

drwx------. 16 du    du    4.0K 5月  13 18:51 du

drwxrwxrwt.  2 root  root     6 5月  13 19:13 testdir1

drwx------.  5 user1 user1  121 5月  13 19:09 user1

╭─root@localhost.localdomain /home

╰─➤  cd testdir1

╭─root@localhost.localdomain /home/testdir1

╰─➤  touch file{1..3}

╭─root@localhost.localdomain /home/testdir1

╰─➤  su - user1

上一次登录:一 5月 13 19:11:39 CST 2019pts/0 上

[user1@localhost ~]$ cd ..

[user1@localhost home]$ cd testdir1

[user1@localhost testdir1]$ rm file*

rm:是否删除有写保护的普通空文件 "file1"?y

rm: 无法删除"file1": 不允许的操作

rm:是否删除有写保护的普通空文件 "file2"?y

rm: 无法删除"file2": 不允许的操作

rm:是否删除有写保护的普通空文件 "file3"?y

rm: 无法删除"file3": 不允许的操作             # user1用户不能删除root用户创建的文件

[user1@localhost testdir1]$

文件扩展权限ACL

作用:对特定的用户进行权限管控,

[root@cjk ~]# setfacl -m u:testuser:rw filename或dirname #u-->user ;指定testuser用户有特殊权限rw;-m表设置

[root@cjk ~]# getfacl filename或dirname #查看acl权限

[root@cjk ~]# setfacl -b filename或dirname #删除acl权限

[root@cjk ~]# setfacl -R -m u:du:rw- testdirectory/ #-R一定要在-m前面,表示目录下所有文件

[root@cjk ~]# setfacl -x u:du /tmp/a.txt # 去掉单个权限

[root@cjk ~]# setfacl -b /tmp/a.txt # 去掉所有acl权限

演示

╭─root@localhost.localdomain /home

╰─➤  setfacl -m u:user1:x file1

╭─root@localhost.localdomain /home

╰─➤  su - user1

上一次登录:一 5月 13 19:16:18 CST 2019pts/0 上

[user1@localhost ~]$ cd /home

[user1@localhost home]$ getfacl file1

# file: file1

# owner: root

# group: root

user::rwx

user:user1:--x

group::rwx

mask::rwx

other::rwx

[user1@localhost home]$ cat file1

cat: file1: 权限不够

[user1@localhost home]$ su - du

上一次登录:一 5月 13 19:51:51 CST 2019pts/0 上

[du@localhost ~]$ cat /home/file1

hello

[du@localhost ~]$ su - root

密码:

上一次登录:一 5月 13 19:52:57 CST 2019pts/0 上

╭─root@localhost.localdomain ~

╰─➤  setfacl -b /home/file1

╭─root@localhost.localdomain ~

╰─➤  getfacl /home/file1

getfacl: Removing leading '/' from absolute path names

# file: home/file1

# owner: root

# group: root

user::rwx

group::rwx

other::rwx

linux系统权限管理拓展:特殊权限的更多相关文章

  1. Linux系列教程(十六)——Linux权限管理之ACL权限

    通过前面的两篇博客我们介绍了Linux系统的用户管理,Linux用户和用户组管理之相关配置文件 讲解了用户管理的相关配置文件,包括用户信息文件/etc/passwd,用户密码文件/etc/shadow ...

  2. 【Linux】 Linux权限管理与特殊权限

    Linux权限管理 权限管理这方面,非常清楚地记得刚开始实习那会儿是仔细研究过的,不知道为什么没有笔记留痕..除了一些基本的知识点早就忘光了,无奈只好从头开始学习一遍.. ■ 基本权限知识 这部分实在 ...

  3. Linux权限管理之ACL权限

    注:转载自:https://www.cnblogs.com/ysocean/p/7801329.html 目录 1.什么是 ACL 权限? 2.查看分区 ACL 权限是否开启:dump2fs ①.查看 ...

  4. 鸟哥的linux私房菜——第十三章学习(Linux 帐号管理与 ACLL 权限设置)

    第十三章.Linux 帐号管理与 ACLL 权限设置 1.0).使用者识别码: UID 与 GID UID :User ID GID :group ID [root@study ~]# ll -d / ...

  5. linux 系统磁盘管理体系

    目录 linux 系统磁盘管理体系 一.磁盘的基本概念 二.磁盘的内部结构 三.磁盘的外部结构 四.磁盘的接口及类型 五.fdisk磁盘分区实践 六.gdisk 分区 七.parted 高级分区工具. ...

  6. centos linux系统日常管理复习 CPU物理数逻辑核数,iftop ,iotop ,sar ,ps,netstat ,一网卡多IP,mii-tool 连接,ethtool速率,一个网卡配置多个IP,mii-tool 连接,ethtool速率 ,crontab备份, 第十八节课

    centos linux系统日常管理复习 物理CPU和每颗CPU的逻辑核数,uptime ,w,vmstat,iftop ,iotop ,sar ,ps,netstat ,一个网卡配置多个IP,mii ...

  7. centos linux 系统日常管理4 scp,rsync,md5sum,sha1sum,strace ,find Rsync 常见错误及解决方法 第十七节课

    centos linux 系统日常管理4  scp,rsync,md5sum,sha1sum,strace ,find Rsync 常见错误及解决方法  第十七节课 rsync可以增量同步,scp不行 ...

  8. centos linux系统日常管理3 服务管理ntsysv,chkconfig,系统日志rsyslog,last ,lastb ,exec,xargs,dmesg,screen,nohup,curl,ping ,telnet,traceroute ,dig ,nc,nmap,host,nethogs 第十六节课

    centos linux系统日常管理3  服务管理ntsysv,chkconfig,系统日志rsyslog,last ,lastb ,exec,xargs,dmesg,screen,nohup,cur ...

  9. linux系统用户管理(一)

    Linux系统用户管理1.用户管理*****2.Linux用户命令****3.用户创建的原理***4.密码管理***5.组命令管理**6.身份切换*****7.sudo提升权限***** 我们现在所使 ...

  10. 实验三:Linux系统用户管理及VIM配置

    项目 内容 这个作业属于哪个课程 班级课程的主页链接 这个作业的要求在哪里 作业要求链接地址 学号-姓名 17043133-木腾飞 学习目标 1.学习Linux系统用户管理2.学习vim使用及配置 实 ...

随机推荐

  1. JavaScript入门-学习笔记(一)

    JavaScript入门(一) 学习js之前,我们先来了解一下,什么是JavaScript? JavaScript是一种解释型语言.在运行的时候,一边读一边编译一边执行.简单来说就是,在执行js代码时 ...

  2. 搭建docker环境,安装常用应用(单机)

    ## 安装docker ```bash1.卸载系统之前dockersudo yum remove docker \ docker-client \ docker-client-latest \ doc ...

  3. Tomcat-8 安装和配置

    JDK 安装: # 选择版本: yum list all | grep jdk # 安装openjdk-1.8.0: yum install java-1.8.0-openjdk.x86_64 -y ...

  4. java锁的对象引用

    当访问共享的可变数据时,通常需要同步.一种避免使用同步的方式就是不共享数据. 如果数据仅在单线程内访问,就不需要同步,这种技术称为"线程封闭",它是实现线程安全性最简单方式之一. ...

  5. bash shell数组使用总结

    本文为原创博文,转发请注明原创链接:https://www.cnblogs.com/dingbj/p/10090583.html  数组的概念就不多说了,大家都懂! shell数组分为索引数组和关联数 ...

  6. 浅入深出了解XXE漏洞

    环境搭建 https://github.com/c0ny1/xxe-lab 为了更深入的理解,我准备理论和实际相结合的了解XXE! 浅谈XML 初识XML 一个好的代码基础能帮助你更好理解一类漏洞,所 ...

  7. CSS3+JS完美实现放大镜模式

    最近看到一篇讲放大镜的文章,实践后感觉效果非常好,这里分享给大家. 效果如下: 其实现核心: CSS函数,如:calc() -- 动态计算:var() -- 使用自定义变量 CSS伪元素:::befo ...

  8. 查看内核打印信息指令dmesg

    linux系统启动的时候打印的的信息非常重要,有时候需要看这些信息但是又不想重启,可以用dmesg这条指令.

  9. Python編碼格式錯誤解決方案及案例

    Python格式錯誤解決方案及案例 這幾天在玩爬蟲,在解析和提取内容時經常出現由於内容格式問題導致出錯,為防止以後出錯,整下一下,以下是這幾天的總結: 1. 特殊符號或表情符號等 背景:爬取一個烹飪教 ...

  10. 阿里云 CentOS7中搭建FTP服务器

    1配置 vsftpd-3.0.2-27.el7.x86_64 阿里云 centos 7.0 2 ftp工作模式 2.1 ftp通道 ftp工作会启动两个通道: 控制通道,数据通道 在ftp协议中,控制 ...