linux权限管理_文件特殊权限

一、SetUID功能

设定SetUID的方法

4代表SUID s代表SUID权限 S代表报错了，原因没有执行权限

# chmod 4755 文件名（最好用这种方法）

# chmod u+s 文件名

取消SetUID的方法

# chmod 755 文件名

# chmod u-s 文件名

• 只有可以执行的二进制程序才能设定SUID权限
• 命令执行者要对该程序拥有执行权限
• 命令执行者在执行该程序是获得该程序文件属主的身份（在执行程序的过程中灵魂附体为文件的属主）
• SetUID权限只在该程序执行过程中有效，也就是说身份改变只在程序执行过程中有效

查看SUID权限

# ll /usr/bin/passwd

二、SetGID功能

设定SetGID的方法

2代表SGID s代表SGID权限

# chmod 2755 文件名（最好用这种方法）

# chmod u+g 文件名

取消SetGID的方法

# chmod 755 文件名

# chmod u-g 文件名

SetGID针对文件的作用

• 只有可以执行的二进制程序才能设定SGID权限
• 命令执行者要对该程序拥有执行权限
• 命令执行者在执行该程序时，组身份升级为该程序文件的属组
• SetGID权限只在该程序执行过程中有效，也就是说身份改变只在程序执行过程中有效

locate命令属于mlocate包，使用命令前要先更新数据库updatedb，查找速度老快啦，但是locate命令需要实时跟新数据库，否则新创建的文件检索不到，而且/tmp目录下的文件也无法查询

• /usr/bin/locate是可执行的二进制程序，可以赋予SGID
• 执行用户test对/usr/bin/locate命令拥有执行权限
• 执行/usr/bin/locate命令时，组身份会升级为slocate组，而slocate组对/var/lib/mlocate/mlocate.db数据库拥有r权限，所以普通用户可以使用locate命令查询mlocate数据库
• 命令结束，test用户的组身份返回test组

SetGID针对目录的作用

• 普通用户必须对此目录拥有r和x权限，才能进入此目录
• 普通用户在此目录中的有效组会变成此目录的属组
• 若普通用户对此目录拥有w权限时，新建的文件的默认属组是这个目录的属组

举例说明：

# mkdir /tmp/test     创建test目录

# chmod 2777 /tmp/test/  给test目录赋予SGID权限

# su – acl   切换到acl用户

# cd /tmp/test/  进入test目录

# touch test.txt 创建test.txt文件

# ll  查看test文件属性所有者是test，但是所属组是root

三、Sticky BIT功能（黏着位）（如tmp目录）

• 黏着位目前只对目录有效
• 普通用户对该目录拥有w和x权限，即普通用户可以在此目录拥有写入权限
• 如果没有黏着位，因为普通用户拥有w权限，所以可以删除此目录下所有文件，包括其他用户建立的文件。一旦赋予了黏着位，除了root可以删除所以文件，普通用户就算拥有w权限，也只能删除自己建立的文件，但是不能删除其他用户建立的文件。

设定Sticky BIT的方法

1代表SBIT t代表SBIT权限

# chmod 1755 文件名

# chmod o+t 文件名

取消SBIT的方法

# chmod 755 文件名

# chmod o-t 文件名

四、文件系统属性权限chattr权限（该权限针对root用户）

语法:

# chattr [+-=][选项] 文件名 设置chattr属性

# lsattr –a 文件名 查看chattr属性

-R递归显示子目录下的文件，-d查看目录本身

选项：

i：如果对文件设置i属性，那么不允许对文件进行删除、改名，也不能添加和修改数据；如果对目录设置i属性，那么只能修改目录下文件的数据，但不允许建立和删除文件。

a：如果对文件设置了a属性，那么只能在文件中增加数据，但是不能删除也不能修改数据；如果对目录设置a属性，那么直允许在目录中建立和修改文件，但是不允许删除。

五、系统命令sudo权限

• root把本来只能超级用户执行的命令赋予普通用户来执行
• sudo的操作对象是系统命令

设置方法：

# visudo 或者 # vim /etc/sudoers

root  ALL=(ALL)  ALL

用户名 被管理主机的地址=(可使用的身份) 授权命令(绝对路径)

%test ALL=(ALL)  ALL

组名 被管理主机的地址=(可使用的身份) 授权命令(绝对路径)