特殊权限

特殊权限

文件特殊权限

一、SUID(4)

SUID:当s这个标志出现在文件所有者的x权限上时,就被称作SUID。
SUID的功能和限制:1、仅仅对二进制程序有效; 
2、执行者对程序需要X的执行权限; 
3、本权限仅仅在执行该程序的过程中有效; 
4、执行者将具有该程序所有者的权限。 
5、SUID仅仅可以用在二进制程序上,不能用在shell脚本上,不能设置在目录上面 
6、若原来的权限有X执行权限,则是s权限,没有X执行权限则是S权限。

[root@localhost ~]# ll /bin/vi
-rwxr-xr-x. 1 root root 907248 Jul 23  2015 /bin/vi
[root@localhost ~]# chmod u+s /bin/vi 
[root@localhost ~]# ll /bin/vi
-rwsr-xr-x. 1 root root 907248 Jul 23  2015 /bin/vi


[root@localhost ~]# ll  /bin/vi
----r-xr-x. 1 root root 907248 Jul 23  2015 /bin/vi
[root@localhost ~]# chmod u+s /bin/vi
[root@localhost ~]# ll /bin/vi
---Sr-xr-x. 1 root root 907248 Jul 23  2015 /bin/vi

二、SGID(2)

SGID:当s这个标志出现在文件所属组的x权限上时,就被称作SGID。 
SGID的权限和功能:SGID对目录和二进制程序都有效 ,有来所属组有x权限是则是s,没有x权限则是S。 
1)当使用在二进制程序时 
1.程序执行者来说对该程序来说,具备x权限 2.执行者在执行过程中将会收获得该程序用户组的支持,
2)当使用在目录上面的时 1.用户若对与此目录具有rx全显示能够进入 2.用户在此目录下的有效用户组将变成该目录的用户组 
3.若用户在此目录下具有w权限,则用户在此目录下创建文件的用户组与此目录一样。

root@localhost mail]# chmod 2770 /tmp/testdir/
[root@localhost mail]# ll /tmp/testdir/ -d
drwxrws---. 2 gentoo gentoo 4096 Aug  3 09:17 /tmp/testdir/
[root@localhost mail]# su - gentoo
[gentoo@localhost ~]$ cd /tmp/testdir/
[root@localhost mail]# su - redhat
[redhat@localhost ~]$ cd /tmp/testdir/
[redhat@localhost testdir]$ touch 1.txt

三、SBIT(1)

SBIT只对目录有效,对文件没有效果。若原来的其他人有x权限则为s,没有x权限则为S。 
对目录的效果有: 
1.当用户对此目录具有w、x权限,即具有写入权限时;
2.当用户在该目录下创建文件或者目录,仅有自己和root才有权利修改该文件。 
3.配合SGID一起使用时,在目录所属组的用户只能修改该文件,不能删除该文件。

SUID为4,SGID为2,SBIT为1.

四、umask

为什么我们创建文件或者目录时,权限会不同了。就是因为这个umask影响的。

[root@localhost mail]# umask
0022

在linux系统上,系统默认文件是存储数据地方,所以不需要执行权限。因此最大权限为rw-rw-rw-(666),若是目录因为x权限影响用户是否能进入该目录,所以默认为rwxrwxrwx(777)。那为什么新创建的文件和目录不是666和777呢?

这就是因为umask存在,刚刚执行umask命令可以看见当前系统的umask为0022,最前面的0指的是特殊权限,暂时不考虑。那这时候

新建文件就为:(rw-rw-rw-)-(—-w–w-)==>rw-r–r—

[root@localhost ~]#  touch 1.txtr
[root@localhost ~]# ll
total 20
-rw-r--r--. 1 root root    0 Aug  3 09:35 1.txtr

和我们上面算的一样。

新建目录:(rwxrwxrwx)-(—-w–w-)==>rwxr-xr-x

[root@localhost ~]# mkdir testdir
[root@localhost ~]# ll
drwxr-xr-x. 2 root root 4096 Aug  3 09:36 testdir

ACL(Access Control List实现灵活的权限管理)

主要目的:是提供传统的owner、group、other的r、w、x权限之外的具体权限。 
除了文件的所有者,所属组和其它人,可以对更多的用户设置权限。ACL可以针对单一用户、单一文件或目录进行r、w、x的权限设置,对需要特殊权限的使用情况非常有帮助。 
主要针对以下项目: 
用户(user):可以针对用户来设置权限; 
用户组(group):针对用户组来设置其权限; 
默认属性(mask):在该目录下新建文件/目录时设置新数据的默认权限。 
CentOS7.0默认创建的xfs和ext4文件系统有ACL功能。 CentOS7.X之前版本,默认手工创建的ext4文件系统无ACL 功能。需手动增加: 
tune2fs –o acl /dev/sdb1 
mount –o acl /dev/sdb1 /mnt

ACL设置方式:

就两个命令: 
setfacl 设置ACL权限 
getfacl 查看ACL权限

setfacl

-b,--remove-all:删除所有扩展的acl规则,基本的acl规则(所有者,群组,其他)将被保留。 
-k,--remove-default:删除缺省的acl规则。如果没有缺省规则,将不提示。 
-n,--no-mask:不要重新计算有效权限。setfacl默认会重新计算ACL mask,除非mask被明确的制定。 
--mask:重新计算有效权限,即使ACL mask被明确指定。 
-d,--default:设定默认的acl规则。 
--restore=file:从文件恢复备份的acl规则(这些文件可由getfacl -R产生)。通过这种机制可以恢复整个目录树的acl规则。此参数不能和除--test以外的任何参数一同执行。 
--test:测试模式,不会改变任何文件的acl规则,操作后的acl规格将被列出。 
-R,--recursive:递归的对所有文件及目录进行操作。

设置规则 setfacl命令可以识别以下的规则格式: [d[efault]:] [u[ser]:]uid [:perms] 指定用户的权限,文件所有者的权限(如果uid没有指定)。 [d[efault]:] g[roup]:gid [:perms] 指定群组的权限,文件所有群组的权限(如果gid未指定) [d[efault]:] m[ask][:] [:perms] 有效权限掩码 [d[efault]:] o[ther] [:perms] 其他的权限

例子:

[root@localhost ~]# getfacl ./test.txt # file: test.txt 
# owner: root
# group: admin 
user::rw- 
user:john:rw- 
group::rw- 
group:dev:r-- 
mask::rw- 
other::r--
MASK和Effective 权限

如果文件有ACL_MASK值,那么当中那个rw-代表的就是mask值而不再是group 权限了。 
让我们来看下面这个例子:

[root@localhost ~]# ls -l 
-rwxrw-r-- 1 root admin 0 Jul 3 23:10 test.sh

[root@localhost ~]# ls -l 
-rwxrwxr--+ 1 root admin 0 Jul 3 23:10 test.sh

那么如果现在admin组的用户想要执行test.sh的程序会发生什么情况呢?它会被拒绝。原因在于实际上admin组的用户只有rw权限,这里当中显示的rwx是ACMASK的值而不是group的权限。 所以从这里我们就可以知道,如果一个文件后面有+标记,我们都需要用getfacl来确认它的权限,以免发生混淆。 下面我们看一个例子,假如现在我们设置test.sh的mask为r,那么admin组的用户还会有w权限吗?

[root@localhost ~]# setfacl -m mask::r-- ./test.sh 
[root@localhost ~]# getfacl  ./test.sh 
user::rwx 
user:john:rwx  
group::rw- #effective:r-- 
mask::r-- 
other::r--

Default ACL

Default ACL是指对于一个目录进行Default ACL设置,并且在此目录下建立的文件都将继承此目录的ACL。 同样我们来做一个试验说明,比如现在root用户建立了一个dir目录:

[root@localhost ~]# mkdir dir

他希望所有在此目录下建立的文件都可以被john用户所访问,那么我们就应该对dir目录设置Default ACL。

 [root@localhost ~]# setfacl -d -m user:john:rw ./dir [root@localhost ~]# getfacl  ./dir 
    user::rwx 
    group::rwx 
    other::r-x 
    default:user::rwx 
    default:user:john:rwx 
    default:group::rwx 
    default:mask::rwx

default: other::r-x 这里我们可以看到ACL定义了default选项,john用户拥有了default的rwx。所有没有定义的default都将从这里copy过来,现在root用户在dir下建立一个test.txt文件。

[root@localhost ~]# touch ./dir/test.txt
[root@localhost ~]# ls -l ./dir/test.txt 
-rw-rw-r--+ 1 root root 0 Jul 3 23:46 ./dir/test.txt
[root@localhost ~]# getfacl - ./dir/test.txt 
user::rw- user:john:rw- 
group::rwx #effective:rw- 
mask::rw- 
other::r--

这里我们看到在dir下建立的文件john用户自动就有了rwx权限

关于umask和mask 的区别

umask 是目前用户在新建文件或者目录时候的权限的默认值,他影响的owner、group、other三者的普通权限。而且是用最大权限去减去umask得到文件或者目录的权限。 
mask 是ACL权限中group的最大控制权限,任何group 成员的权限不能超过 mask权限,超过的权限没有效应。 
两者都是设置后默认生效,不影响创建的文件。都是我们进行权限管理过程中的有效方式。

原创文章,作者:fighter,如若转载,请注明出处:http://www.178linux.com/29202

(0)
上一篇 2016-08-05 16:13
下一篇 2016-08-05 16:13

相关推荐

  • 马哥教育网络班21期-第九周课程练习

    第九周作业 1、写一个脚本,判断当前系统上所有用户的shell是否为可登录shell(即用户的shell不是/sbin/nologin);分别这两类用户的个数;通过字符串比较来实现; #!/bin/bash # declare -i nologin=0 declare -i other=0   &n…

    Linux干货 2016-09-19
  • 马哥教育网络班21期+第6周课程练习

    请详细总结vim编辑器的使用并完成以下练习题1、复制/etc/rc.d/rc.sysinit文件至/tmp目录,将/tmp/rc.sysinit文件中的以至少一个空白字符开头的行的行首加#; %s/^([[:space:]]{1,}.*)/#\1/s 2、复制/boot/grub/grub.conf至/tmp目录中,删除/tmp/grub.conf文件中的行…

    Linux干货 2016-08-15
  • 高级文件系统之逻辑卷和btrfs文件系统

    逻辑卷管理器快照 逻辑卷可以实现对分区的动态的扩展,快照可以看成是特殊的逻辑卷,它是在生成快照是存在的逻辑卷的准确拷贝。 快照只有在它们和原来的逻辑卷不同时才会消耗空间:     在生成快照时会分配给他一定的空间,但只有在原来的逻辑卷或者快照有所改变时才会使用这些空间     当…

    Linux干货 2016-09-02
  • Mozart的剑(文本处理工具)——贰剑(head、tail、cut、sort、uniq、wc、diff、paste、patch)

    有点拖了,没有好好整理之前的内容,拖延症害死人….. 这次介绍一些有趣的小文本处理工具,可以方便截取文本内容、排序、备份之类的。 head 用法:head [选项]… [文件]… head[OPTION]…[FILE]… 默认将每个指定文件的头10行显示到标准输出。如果指定了多于一个文件,在每一段输…

    Linux干货 2017-08-02
  • wordpress和discuz的负载均衡(lvs-nat)

    实验目的:利用lvs-nat模型实现wordpress和discuz的负载均衡 实验要求:客户端访问wordpress或Discuz服务时,无论被调度至哪台RS上,其会话和访问的页面都应保持一致; 实验环境:一台server用作VS(需要两块网卡,eth1连接内部网络,eth0连接外部网络),两台server用作RS,一台server用于部署mysql、NF…

    2017-05-13
  • find命令详解

    find命令详解 实时查找工具,通过遍历指定起始路径下文件系统层级结构完成文件查找; 一、工作特性: 查找速度略慢; 精确查找,只查找文件路径的基名而非整个路径; 实时查找; 可能只搜索用户具备读取和执行权限的目录 二、 用法: find [查找起始路径] [OPTIONS] [查找条件] [处理动作] 查找起始路径:指定具体搜索目标起始路径;默认为当前目录…

    Linux干货 2017-03-19

评论列表(1条)

  • 马哥教育
    马哥教育 2016-08-07 22:31

    写的很好,思路清晰,通过都特殊权限的应用场景模拟,有了自己的总结。