SUID&SGID&Sticky&setfacl
2017-06-28 22:25
85 查看
一、特殊权限文件:
ls -l /bin/passwd
特殊权限:SUID,SGID,STICKY
进程的权限取决于发起者:用户
属主--->属组--->其他人 //根据文件的权限位置进行匹配
//这就叫做安全上下文
安全上下文:
1.进程以某用户的身份运行;进程是发起此进程用户的代理,因此以此用户的身份和权限完成所有操作
2.权限匹配模型:
(1)判断进程的属主,是否为被访问的文件属主的权限,否则进入第2步
(2)判断进程的属主,是否属于被访问的文件属组,如果是,则应用属组的权限,否则进入第3步
(3)应用other权限
二、SUID:
/bin/ls ls文件的属主为root,wolf使用的时候,只能使用其他人的权限发起,但是进程的属主确是wolf的
默认情况下:用户发起的进程,进程的属主是其发起者;因此,其以发起者的身份在运行
但是有了SUID之后:
发起进程的时候,进程运行的身份将成为文件的属主,而不是进程的发起者
//相当于,没有的时候,我自己干,有了之后有人帮我干,重要文件
SUID:用户运行某程序时,如果此程序拥有SUID权限,那些程序运行为进程时,其属主不是发起者,而是程序文件的属主
实验1:SUID
[[root@MT test]# ls /bin/cat -l
-rwxr-xr-x. 1 root root 54048 11月 20 2015 /bin/cat
[root@MT test]# ls /etc/shadow -l
----------. 1 root root 1663 2月 8 20:05 /etc/shadow
cp /bin/cat /tmp
chmod u+s /tmp/cat
/tmp/cat /etc/shadow //使用wolf的身份是可以查看密码的
passwd命令具有SUID,但是只有root用户能够passwd USSERNAME
管理文件的SUID权限
chmod u+|-s FILE ...
展示位置:属主的执行权限位
如果属主原本有执行权限,显示小写s;
否则,显示为大写S
三、SGID
SGID:多用于修改目录的属主权限
展示位置:属主的执行权限位
如果属主原本有执行权限,显示小写s;
否则,显示为大写S
作用:
当目录属组有写权限时,且有SGID权限时,那么所有属于此目录的属组,且以属组身份在此目录中新建文件或目录时,新文件的属组不是用户的基本组,而是此目录的属组
实验2:
ls /tmp/test -dl
drwxrwxr-x. 2 root mygrp 6 2月 9 11:48 test
[root@MT tmp]# usermod -a -G mygrp wolf
[root@MT tmp]# usermod -a -G mygrp tmd
//分别切换wolf和tmd创建文件
-rw-rw-r--. 1 tmd tmd 0 2月 9 11:51 b.tmd
drwxrwxr-x. 2 root mygrp 19 2月 9 11:51 test
chmod g+s /tmp/test
//分别切换再次创建文件
-rw-rw-r--. 1 tmd mygrp 0 2月 9 11:54 c.tmd
-rw-rw-r--. 1 wolf mygrp 0 2月 9 11:53 c.wolf
-rw-rw-r--. 1 wolf wolf 0 2月 9 11:53 a.wolf
-rw-rw-r--. 1 tmd tmd 0 2月 9 11:53 a.tmd
//每个用户在目录内创建的文件的属组都是父目录的属组
四、Sticky:
wolf: rm -rf /tmp/test/a.tmd
wolf:rm -rf /tmp/test/c.tmd
//都可以删除,因为wolf也属于mygrp组,而/tmp/test的属组为mygrp
//只要属组对目录有w权限,组内的其他用户就可以删除和修改目录下所有的文件
展示位置:属主的执行权限位
如果属主原本有执行权限,显示小写s;
否则,显示为大写S
功用:
对于属组可写,或全局可写的目录,组内的所有用户或系统上的所有用户在次目录中都能创建新文件或者删除删除已有文件,
如果为此类目录设置sticky权限,则每个用户能创建新文件,且只能删除自己为属主的文件
//GUID主要用于文件,或者命令,用于改变进程发起的身份
SGID:主要用于目录,改变目录内创建文件的属组 //组内用户以及其他用户创建的文件,都是目录的属组
sticky:主要用于目录,限制用户只能删除属主为自己的用户
chmod [u|g] [+|-] s file ...
chmod o+t file //设置sticky权限
-rwsrwSr-T. 1 hadoop mygrp 27 2月 9 12:35 bb
//s没有x权限,S具有x权限,T具有x
特殊权限的另一方式:八进制权限位
suid sgid sticky
0 0 0 0
0 0 1 1
0 1 0 2
0 1 1 3
1 0 0 4
1 0 1 5
1 1 0 6
1 1 1 7
基于八进制方式赋权时,可于默认的三位八进制数字左侧再加一位八进制数字
例如chomd 1777
五、facl
facl:file access control lists
文件额外的赋权机制:
在原有的u,g,o之外,另一层让普通用户能控制赋权给另外的用户或组的赋权机制;
setfacl -m u:wolf:rwx a.txt
getfacl /PATH/TO/SOMEFILE
-rw-rwxr--+ 1 root root 0 2月 9 12:55 cc
//后面多一个+
赋权:
setfacl -m u:USERNAME:MODE file...
setfacl -m g:GROUPNAME:MODE file...
撤销操作:
setfacl -x u:USERNAME FILE...
setfacl -x g;GROUPANME file...
权限匹配:
属主--------->属组--------->其他人
facl的user facl的group
setfacl -m u:wolf:--- aa //限制wolf没有任何权限
ls -l /bin/passwd
特殊权限:SUID,SGID,STICKY
进程的权限取决于发起者:用户
属主--->属组--->其他人 //根据文件的权限位置进行匹配
//这就叫做安全上下文
安全上下文:
1.进程以某用户的身份运行;进程是发起此进程用户的代理,因此以此用户的身份和权限完成所有操作
2.权限匹配模型:
(1)判断进程的属主,是否为被访问的文件属主的权限,否则进入第2步
(2)判断进程的属主,是否属于被访问的文件属组,如果是,则应用属组的权限,否则进入第3步
(3)应用other权限
二、SUID:
/bin/ls ls文件的属主为root,wolf使用的时候,只能使用其他人的权限发起,但是进程的属主确是wolf的
默认情况下:用户发起的进程,进程的属主是其发起者;因此,其以发起者的身份在运行
但是有了SUID之后:
发起进程的时候,进程运行的身份将成为文件的属主,而不是进程的发起者
//相当于,没有的时候,我自己干,有了之后有人帮我干,重要文件
SUID:用户运行某程序时,如果此程序拥有SUID权限,那些程序运行为进程时,其属主不是发起者,而是程序文件的属主
实验1:SUID
[[root@MT test]# ls /bin/cat -l
-rwxr-xr-x. 1 root root 54048 11月 20 2015 /bin/cat
[root@MT test]# ls /etc/shadow -l
----------. 1 root root 1663 2月 8 20:05 /etc/shadow
cp /bin/cat /tmp
chmod u+s /tmp/cat
/tmp/cat /etc/shadow //使用wolf的身份是可以查看密码的
passwd命令具有SUID,但是只有root用户能够passwd USSERNAME
管理文件的SUID权限
chmod u+|-s FILE ...
展示位置:属主的执行权限位
如果属主原本有执行权限,显示小写s;
否则,显示为大写S
三、SGID
SGID:多用于修改目录的属主权限
展示位置:属主的执行权限位
如果属主原本有执行权限,显示小写s;
否则,显示为大写S
作用:
当目录属组有写权限时,且有SGID权限时,那么所有属于此目录的属组,且以属组身份在此目录中新建文件或目录时,新文件的属组不是用户的基本组,而是此目录的属组
实验2:
ls /tmp/test -dl
drwxrwxr-x. 2 root mygrp 6 2月 9 11:48 test
[root@MT tmp]# usermod -a -G mygrp wolf
[root@MT tmp]# usermod -a -G mygrp tmd
//分别切换wolf和tmd创建文件
-rw-rw-r--. 1 tmd tmd 0 2月 9 11:51 b.tmd
drwxrwxr-x. 2 root mygrp 19 2月 9 11:51 test
chmod g+s /tmp/test
//分别切换再次创建文件
-rw-rw-r--. 1 tmd mygrp 0 2月 9 11:54 c.tmd
-rw-rw-r--. 1 wolf mygrp 0 2月 9 11:53 c.wolf
-rw-rw-r--. 1 wolf wolf 0 2月 9 11:53 a.wolf
-rw-rw-r--. 1 tmd tmd 0 2月 9 11:53 a.tmd
//每个用户在目录内创建的文件的属组都是父目录的属组
四、Sticky:
wolf: rm -rf /tmp/test/a.tmd
wolf:rm -rf /tmp/test/c.tmd
//都可以删除,因为wolf也属于mygrp组,而/tmp/test的属组为mygrp
//只要属组对目录有w权限,组内的其他用户就可以删除和修改目录下所有的文件
展示位置:属主的执行权限位
如果属主原本有执行权限,显示小写s;
否则,显示为大写S
功用:
对于属组可写,或全局可写的目录,组内的所有用户或系统上的所有用户在次目录中都能创建新文件或者删除删除已有文件,
如果为此类目录设置sticky权限,则每个用户能创建新文件,且只能删除自己为属主的文件
//GUID主要用于文件,或者命令,用于改变进程发起的身份
SGID:主要用于目录,改变目录内创建文件的属组 //组内用户以及其他用户创建的文件,都是目录的属组
sticky:主要用于目录,限制用户只能删除属主为自己的用户
chmod [u|g] [+|-] s file ...
chmod o+t file //设置sticky权限
-rwsrwSr-T. 1 hadoop mygrp 27 2月 9 12:35 bb
//s没有x权限,S具有x权限,T具有x
特殊权限的另一方式:八进制权限位
suid sgid sticky
0 0 0 0
0 0 1 1
0 1 0 2
0 1 1 3
1 0 0 4
1 0 1 5
1 1 0 6
1 1 1 7
基于八进制方式赋权时,可于默认的三位八进制数字左侧再加一位八进制数字
例如chomd 1777
五、facl
facl:file access control lists
文件额外的赋权机制:
在原有的u,g,o之外,另一层让普通用户能控制赋权给另外的用户或组的赋权机制;
setfacl -m u:wolf:rwx a.txt
getfacl /PATH/TO/SOMEFILE
-rw-rwxr--+ 1 root root 0 2月 9 12:55 cc
//后面多一个+
赋权:
setfacl -m u:USERNAME:MODE file...
setfacl -m g:GROUPNAME:MODE file...
撤销操作:
setfacl -x u:USERNAME FILE...
setfacl -x g;GROUPANME file...
权限匹配:
属主--------->属组--------->其他人
facl的user facl的group
setfacl -m u:wolf:--- aa //限制wolf没有任何权限
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 特殊权限控制之SUID、SGID、Sticky及facl
- Linux系统上的特殊权限SUID,SGID,STICKY以及额外权限管理工具facl命令
- 特殊权限 suid sgid sticky facl
- linux命令:特殊权限位 SUID SGID Sticky
- [Linux]:Linux文件特殊权限 SUID/SGID/Sticky Bit
- sgid&suid&sticky bit
- 特殊权限suid sgid sticky
- suid sgid sticky
- linux 三种特殊权限简介 s suid sgid sticky-bit
- linux特殊文件权限 suid、sgid和sticky-bit的作用
- linux文件目录的特殊权限SUID、SGID、STICKY
- 权限分析之SUID、SGID、sticky
- Suid & Sgid & Sticky bit & Effective ID & Real ID
- SUID ,SGID ,Sticky
- Linux SUID SGID setdate
- chmod 4777? 文件特殊权限 SUID SGID StickyBit
- 文件特殊属性:SUID/SGID/Sticky
- Linux文件系统上的特殊权限(SUID、SGID、Sticky)的知识点
- Linux文件系统上的特殊权限(SUID、SGID、Sticky)的知识点
- suid sgid sticky