特殊权限和facl
目
录
FACL访问控制
FACL简介
FACL(Filesystem Access Conreol List)是指文件访问控制列表,该属性可以利用文件扩展保存额外的访问控制权限,比如有一次额情况:storm用需要创建一个test文件,他需要cathy用户同样具有rw权限,通常的权限控制做法是需要修改test文件的other权限为rw,但这样做以后所有的用户都具有rw权限,带来极大的安全隐患,此时就该facl发挥作用的时候了。
FACL常用的命令有2个:setfacl和getfacl,这两个命令普通用户都具有执行权限、
getfacl命令查看acl权限
[root@oldboy ~]# getfacl test
# file: test
# owner: root
# group: root
user::rw-
group::r--
other::r--
可以看到,test文件只有基本的user、group、other、该文件对于other用户是只读文件
setfacl设置文件的cal权限
[root@oldboy ~]# setfacl -m u:oldboy:rw /root/test
[root@oldboy ~]# getfacl test
# file: test
# owner: root
# group: root
user::rw-
user:oldboy:rw-
group::r--
mask::rw-
other::r--
- 当设置了facl权限以后利用getfacl查看发现多了一行:user:oldboy:rw-,表示该文件针对oldboy用户拥有额外的权限rw,此时用户oldboy就具有对文件test的读写权限,但对于其他用户文件是只读的
- 使用ls -al查看该文件,在权限一列显示为如下,多了+号,表示该文件具有额外的权限,使用getfacl命令可以查看
[root@oldboy ~]# ll test
-rw-rw-r--+ 1 root root 0 8月 17 14:52 test
3、添加额外组权限只需要将setfacl -m u:oldboy:rw test 命令中的u改为g即可
批量添加acl权限
用逗号隔开
[root@oldboy ~]# setfacl -m u:oldboy:rw,u:oldgirl:rw,u:oldboy1:rw test
取消权限
-x:为取消acl权限
[root@oldboy ~]# setfacl -x u:oldboy test
[root@oldboy ~]# getfacl test
# file: test
# owner: root
# group: root
user::rw-
group::r--
mask::r--
other::r—
-b:取消某个文件的全部cal权限
[root@oldboy ~]# setfacl -b test
acl高级特性Default()
1、-R:修改现有的文件和目录下面所用文件以及目录的acl权限
[root@oldboy ~]# setfacl -R -m u:oldboy:rwx /root/local
[root@oldboy ~]# ll local/test
-rw-rwxr--+ 1 root root 0 8月 17 16:06 local/test
2、d:设置目录的cal权限,之后在此目录下创建的文件和目录都继承该目录的所用权限(继承)
[root@oldboy ~]# ll -d local/
drwxr-xr-x 2 root root 6 8月 17 16:12 local/
[root@oldboy ~]# setfacl -m d:u:oldboy:rw local/
[root@oldboy ~]# ll -d local/
drwxr-xr-x+ 2 root root 6 8月 17 16:12 local/
[root@oldboy ~]# touch local/test
[root@oldboy ~]# ll local/test
-rw-rw-r--+ 1 root root 0 8月 17 16:14 local/test
Linux系统特殊权限
Linux特殊权限
对可执行文件的setuid或setgid权限表示将以文件的用户(或组)身份运行,而不是以运行命令的用户身份
目录粘滞位可以为文件删除设置特殊限制,仅文件所有者(和root用户)可以删除目录中的文件。
用符号表示: setuid=u+s; setgid=g+s; sticky=o+t
用数值表示: setuid=4; setgid=2; sticky=1
set_uid
对可以执行的文件有意义,文件的执行有效身份为文件的拥有者,而不是执行者的身份
oldboy对于文件test为其他用户,没有任何权限
suid授权方法
suid 4000 权限字符s(S),用户位置上的x位上设置。
授权方法:chmod 4755 passwd
chmod u+s passwd
suid作用
让普通用户临时拥有可执行的二进制文件的所属主权限,二进制文件需要有执行权限。
当二进制文件没有执行权限,suid的权限显示就是大S。suid仅对二进制可执行程序有效。
如果普通需要操作没有权限的文件,为对应的命令赋予Suid权限,可以实现操作。
注意:suid双刃剑,是一个比较危险的功能,对系统安全有一定的威胁。
[root@oldboy ~]# ll /public/test
-rw-r----- 1 root root 7 8月 17 17:07 /public/test
[oldboy@oldboy public]$ cat /public/test
cat: /public/test: 权限不够
用chmod设置bin/cat可执行文件特殊权限
[root@oldboy ~]# chmod u+s /bin/cat
[root@oldboy ~]# ll /bin/cat
-rwsr-xr-x. 1 root root 54080 4月 11 12:35 /usr/bin/cat
oldboy用户用cat查看/public/test
[oldboy@oldboy ~]$ cat /public/test
135464
set_gid
- 文件的有效执行组身份为文件的拥有组,而不是执行者的组身份
- 目录里新建的文件的拥有组会自动继承目 录的拥有组身份。
3、sgid作用
针对用户组权限位修改,用户创建的目录或文件所属组和该目录的所属组一致。
默认所有用户创建文件,用户和组都是自身,Sgid可以让其他用户再此目录下创建的文件和目录,具有和 此目录相同的用户组设置。
当为某个目录设置了sgid位以后,在该目录中新创建的文件具有该目录的所有组权限,而不是创建该文件 的用户的默认所有者。这样,使得在多个用户之间共享一个目录中的文件变得简单。
用oldboy用户创建一个目录oldboy,root给目录sgid权限
[oldboy@oldboy public]$ mkdir oldboy
[root@oldboy ~]# chmod g+s /public/oldboy/
root用户在oldboy下创建一个目录,查看目录信息,发现拥有者是root,但组是oldboy组,继承了oldboy目录的属性
[root@oldboy ~]# mkdir /public/oldboy/test
[root@oldboy ~]# ll -d /public/oldboy/test/
drwxr-sr-x 2 root oldboy 6 8月 17 18:08 /public/oldboy/test/
sticky
1、sticky授权方法
粘滞位 1000 权限字符t(T),其他用户位的x位上设置。
授权方法:chmod 1755 /tmp
chmod o+t /tmp
2、sticky作用
让多个用户都具有写权限的目录,每个用户只能删自己的文件,表现在others的x位,用小t表示,如果没 有执行权限是T,那么一个目录即使它的权限为 "777" 如果是设置了粘滞位,除了目录的属主和 "root " 用户有权限删除,除此之外其他用户不能删除这个目录。
权限属性chattr
-i:不得任意更改文件或目录
-a:让文件和目录仅可追加内容
进程掩码umake
反向掩码:修改默认创建目录或文件的权限
目录默认最大为777
文件默认最大为666
特殊权限练习题
特殊权限和facl的更多相关文章
- 文件权限之facl丶文件属性丶特殊权限
(1)facl:文件的访问控制列表 作用:对象目录或文件可以对不同的用户设定不同的权限 1)getfacl:查看文件或目录的访问控制列表权限 查看 getfacl file/dir acl权限特征:如 ...
- Linux特殊的文件控制权限FACL
对文件设置特殊的权限,FACL(File Access Control List) ACL简介 基本ACL操作 getfacl 查看文件权限 setfacl 设定acl权限 设置file ...
- Linux FACL(文件访问控制列表)
文件有三种权限 属主权限 属组权限 其他权限 现在有这样一个场景,用户 A 想把文件共享给不是同组内用户 B ,而又不想修改其他权限,这时候 FACL 就起作用了 FACL可以给文件添加一个拓展 ...
- linux用户权限 -> ACL访问控制
UGO设置基本权限: 只能一个用户,一个组和其他人 ACL设置基本权限: r.w.x 设定acl只能是root管理员用户. 相关命令: getfacl , setfacl facl权限 简介 facl ...
- facl权限(getfacl/setfacl)
file access control list:文件访问控制列表 查看facl: [root@localhost test]# getfacl hei # file: hei # owner: ro ...
- linux系统下的权限知识梳理
下面对linux系统下的有关权限操作命令进行了梳理总结,并配合简单实例进行说明.linux中除了常见的读(r).写(w).执行(x)权限以外,还有其他的一些特殊或隐藏权限,熟练掌握这些权限知识的使用, ...
- Linux基础3(文件权限)
文件权限 1.普通权限 (登陆用户对文件或目录的读写执行的权限) 普通权限对管理员用户无效 文件和目录 都有4中类型的用户u 所有者 : 文件.目录的创建者g 所属组 : 文件.目录属于的用户组o 其 ...
- facl笔记
文件系统访问列表:tom: tom, tom基本组jerry: other:r-- chown FACL:Filesystem Access Control List利用文件扩展保存额外的访问控 ...
- 用户管理_组管理_设置主机名_UGO_文件高级权限_ACL权限
用户管理: 添加用户:useradd tom 设置密码:passwd tom 切换账户: su - tom (不加-也能切换,但是 -会有两点不同 1.有-会切换到该用户的主目录 2.会切换到该用户 ...
随机推荐
- bzoj 5499: [2019省队联测]春节十二响【堆】
首先看两条链怎么合并,贪心可得是从大到小取max,多条链同理 所以dfs合并子树的大根堆即可,注意为了保证复杂度,合并的时候要合并到最长链上,证明见长链剖分 #include<iostream& ...
- mac 配置nginx 虚拟域名(转载)
我是通过homebrew 安装nginx 的,所以安装目录是默认的,之前多个server都是放在默认安装目录下的nginx.conf里的,但是这样不太好,就是会导致nginx.conf 越来越长,而且 ...
- nginx用户统计
1 概念 PV:页面访问量,即PageView,用户每次对网站的访问均被记录,用户对同一页面的多次访问,访问量累计. UV:独立访问用户数:即UniqueVisitor,访问网站的一台电脑客户端为一个 ...
- windows密码长度最小值改不了
控制台输入gpedit.msc或者在“开始→控制面板→管理工具→本地安全策略→账户策略→密码策略→密码长度最小值”中修改不了,是灰色的,不让修改 用命令行可以修改开始-->运行-->输入& ...
- COPY, RETAIN, ASSIGN , READONLY , READWRITE,STRONG,WEAK,NONATOMIC整理--转
copy:建立一个索引计数为1的对象,然后释放旧对象 对NSString 对NSString 它指出,在赋值时使用传入值的一份拷贝.拷贝工作由copy方法执行,此属性只对那些实行了NSCopying协 ...
- Retrofit Upload multiple files and parameters
Retrofit 的介绍以及基本使用 这里不再说明. 关于多文件上传 以及上传文件的同时携带多个参数说明 网上涉及到的不是太多. 上一张帅图: 代码: apiService: /** params 参 ...
- linux小白成长之路12————Docker部署Nginx
[内容指引] Docker安装Nginx: 简单启动: 准备配置文件: 一.Docker安装Nginx 指令:docker pull nginx 二.简单启动 指令:docker run --name ...
- BZOJ1132: [POI2008]Tro(叉积 排序)
题意 世上最良心题目描述qwq 平面上有N个点. 求出所有以这N个点为顶点的三角形的面积和 N<=3000 Sol 直接模拟是$n^3$的. 考虑先枚举一个$i$,那么我们要算的就是$\sum_ ...
- 为Qt添加SSL支持
目标:为Qt添加SSL支持,使得应用可以发送HTTPS请求 环境:win7,Qt4.8.6 步骤: 1.到http://slproweb.com/products/Win32OpenSSL.html下 ...
- 里特定律 - Little's Law
里特定律(Little's Law)源自排队理论,是IT系统性能建模中最广为人知的定律. 里特定律揭示了前置时间(Lead Time).在制品数量(Work In Progress, WIP)和吞吐率 ...