Linux特殊权限及ACL权限

一、SetUID与SGID

只能用于二进制程序，脚本不能设置

• 执行者需要有该二进制程序的x权限
• 执行具有SUID权限的二进制程序，那么执行者将具有该二进制程序所有者的权限。

举例来说，/etc/passwd文件的权限是 -rw-r--r--,用户更改密码时需要对passwd文件进行写操作，root可以读写不用说，那普通用户为什么也能进行修改呢？这里就需要SUID来解决。
修改密码时是用/usr/bin/passwd工具进行修改的。setuid的作用是让执行该命令的用户以该命令拥有者的权限去执行，就是普通用户执行passwd时会拥有root的权限，这样就可以修改/etc/passwd这个文件了。

下面权限中的x就标志着SUID

[root@centos7 aubin]# ls -al /usr/bin/passwd
-rwsr-xr-x. 1 root root 27832 Jun 10  2014 /usr/bin/passwd

sgid的意思和它是一样的，即让执行文件的用户以该文件所属组的权限去执行。

二、sticky(粘滞位)

以/tmp为例，tmp为存放临时文件的文件夹。所有用户都可以对他进行读写执行。那如果A用户创建了一个文件再tmp中，B用户把给删除了。这种情况是不允许出现的。
如果设置了sticky(粘滞位)，那目录下的文件就只有root和创建者有权限区读写执行，其他人是无法更改的。这就是粘滞位的作用

• Sticky(粘滞位)只能针对目录设置
• SGID与SUID可以设置目录跟二进制程序

三、特殊权限得具体设置

• SUID
  sud一般情况下都设置在二进制文件上，设置在目录上没有意义
  启动为进程之后，其进程的属主为原程序文件的属主
• 用法：chmod  u+|-s FILE

• SUID: user,占据属主的执行权限位
  s：属主拥有x权限
  S：属主没有x权限

[root@centos7data]#echo {1..5} >> f2    当前的文件权限是642
[root@centos7data]#ll /bin/cat
-rwxr-xr-. 1 root root 54160 Oct 31  2018 /bin/cat
[root@centos7data]#chmod u+s /bin/cat    将二进制程序的所有者加上s权限
[liu@centos7data]#ll    对于普通用户来看，属于other，只有写权限，没有查看权限。
total 4
-rw-r---w- 1 root root 3 Nov  3 12:17 f2
[root@centos7data]#su liu
[root@centos7data]#ll /bin/cat     会继承此时/bin/cat属组的权限，f1就会有读权限。
-rwsr-xr-. 1 root root 54160 Oct 31 2018 /bin/cat
[liu@centos7data]$cat f2  此时普通用户继承root身份，就可以访问当前文件内容，
1 2 3 4 5

• 文件设置SGID
  启动为进程之后，其进程的属组为原程序文件的属组
• 用法：chmod g+|-s FILE

[root@centos7data]#ll
total 4
-rw-r----- 1 root root 10 Nov  3 13:15 f2  可以看到当前用户的other没有读权限
[root@centos7data]#chmod g+s /bin/cat   我们将其加上属组权限
[root@centos7data]#ll /bin/cat
-rwxr-sr-x. 1 root root 54160 Oct 31  2018 /bin/cat
[root@centos7data]#su liu  此时切换到liu用户，应该属于other组，但是给cat加了sgid权限，此时会继承/bin/cat属组的权限。
[liu@centos7data]$cat f2
1 2 3 4 5
[liu@centos7data]$echo 1>> f1   此时f1只有读权限，写入内容就没权限
bash: f1: Permission denied

• 目录设置SGID
  目录被设定了SGID，则对此目录有写权限的用户在此目录中创建的文件所属的组为此目录的属组

• SGID: group,占据属组的执行权限位
  s： group拥有x权限
  S：group没有x权限

[root@centos7data]#chgrp bin bak  将bak目录的所属组改为bin
[root@centos7bak]#chmod g+s bak
[root@centos7data]#ll
total 4
drwxrws-w- 2 root bin  43 Nov  3 14:03 bak  给bak所属组加上sgid权限
[root@centos7bak]#touch f1 f2 f3  此时在bak目录下新建的文件所属组就是bin
[root@centos7bak]#ll
total 0
-rw-r---w- 1 root bin 0 Nov  3 14:04 f1
-rw-r---w- 1 root bin 0 Nov  3 14:04 f2
-rw-r---w- 1 root bin 0 Nov  3 14:04 f3

• STICKY
  在目录上设置Sticky，则在目录下创建的文件只有root与创建者有修改和删除权限
  Sticky设置在文件上也毫无意义
• 用法：chmod   o+|-t FILE

• Sticky: other,占据other的执行权限位
  t：other拥有x权限
  T：other没有x权限

[root@centos7 app]# chmod o+t dir/
[root@centos7 app]# chmod o-t dir/ 

特殊权限数字法

SUID SGID STICKY
000 0
001 1
010 2
011 3
100 4
101 5
110 6
111 7

例如：

[root@centos7data]#chmod 7770 f2 将suid  sgid sticky三者权限都加入到f2里
[root@centos7data]#ll
total 4
-rwsrws--T 1 root root 10 Nov  3 13:15 f2   显示结果

总结：

suid: 4  作用于二进制可执行的文件上。功能：当用户执行此文件，会继承此文件所有者的权限
sgid：2
          1）作用于二进制可执行文件上。 功能：当用户执行此文件，会继承此文件所属组的权限
          2）作用于目录上；功能：当用户在此目录中建新文件时，此新文件的所属组继承目录的所属组权限。
sticky：1 作用于目录上；功能：对目录的文件，只能删除自己的文件

设定文件特定属性：避免root账户误操作。

• chattr +|-i 不能删除，改名，更改
• chattr +|-a 只能追加内容
• lsattr 显示特定属性

例如：

加入chattr +i权限的文件效果：

[root@centos7data]#chattr +i f2  将f2加上权限
[root@centos7data]#ll
total 4
drwxrws-w- 2 root bin  36 Nov  3 14:04 bak
-rwsrws--T 1 root root 10 Nov  3 13:15 f2
[root@centos7data]#rm -rf f2    删除此f2就没有权限
rm: cannot remove ‘f2’: Operation not permitted
[root@centos7data]#lsattr
----i----------- ./f2
[root@centos7data]#chattr -i f2  去除此文件的权限，去除后就可以删除了
[root@centos7data]#lsattr

　加入chattr  +a 权限的文件效果：

[root@centos7data]#chattr +a f2  加上权限
[root@centos7data]#rm -rf f2  不能删除
rm: cannot remove ‘f2’: Operation not permitted
[root@centos7data]#echo aa >>f2 可以追加
[root@centos7data]#cat f2
1 2 3 4 5
aa
[root@centos7data]#mv f2 f3 不能移动改名
mv: cannot move ‘f2’ to ‘f3’: Operation not permitted

四、ACL权限（访问控制列表）

• ACL：Access Control List，实现灵活的权限管理
• 除了文件的所有者，所属组和其它人，可以对更多的用户设置权限
• CentOS7 默认创建的xfs和ext4文件系统具有ACL功能，CentOS7 之前版本，默认手工创建的ext4文件系统无ACL功能,需手动增加

tune2fs –o acl /dev/sdb1  可以查询当前的文件系统是否支持ACL权限
mount –o acl /dev/sdb1 /mnt/test

• ACL生效顺序：所有者，自定义用户，自定义组，其他人

setfacl   -m u:liu:rw  f1  赋予liurw权限对文件进行修改和查看

getfacl  f1   查看赋予f1的acl权限

setfacl  -x  u:liu f1  撤销此f1的权限

setfacl  -R -m u:liu:rw dir/  自定义dir目录及目录下的所有文件的acl权限

setfacl  -R -b u:liu dir/  清空包括dir目录内的所有文件的acl权限　

例如：给单独用户赋予rw权限

[root@centos7data]#echo {1..5} > f1  新建一个f1
[root@centos7data]#ll
total 4
-rw------- 1 root root 10 Nov 3 17:12 f1   我们可以看到当前f1的权限是600
[root@centos7data]#setfacl -m u:liu:rw f1  我们给liu用户加入acl权限，让其可以读写f1权限
[root@centos7data]#getfacl f1
# file: f1
# owner: root   所有者
# group: root
user::rw-
user:liu:rw-    此时liu用户已经有读写权限（自定义用户）
group::---
mask::rw-
other::---   其他人
[root@centos7data]#su liu
[liu@centos7data]$cat f1  由于liu属于other，但是有acl权限就可以读里边的内容
1 2 3 4 5
1
[liu@centos7data]$echo 1 >>f1  也可以追加修改里边的内容

当我们将chmod的执行权限取消了，怎么恢复呢？

下面我们来实行解决办法。

[root@centos7data]#chmod -x /usr/bin/chmod  我们将chmod程序的执行权限去掉
[root@centos7data]#chmod +x f1   此时再给文件加入执行权限，就没有权限加入
-bash: /usr/bin/chmod: Permission denied
[root@centos7data]#setfacl -m u:root:rwx /usr/bin/chmod  我们可以赋予root一个acl的rwx权限
[root@centos7data]#chmod +x /usr/bin/chmod  然后再将chmod的执行权限加上
[root@centos7data]#chmod 755 /usr/bin/chmod  调整原有的chmod的权限，此时就恢复了chmod的权限。
[root@centos7data]#ll /usr/bin/chmod
-rwxr-xr-x+ 1 root root 58656 Oct 31 2018 /usr/bin/chmod

添加用户组ACL权限：

[root@centos7data]#usermod -G liu wang  将wang加入liu附加组内
[root@centos7data]#id wang
uid=1001(wang) gid=1001(wang) groups=1001(wang),1000(liu)
[root@centos7data]#setfacl -m g:liu:rw f1  给liu用户组一个读写权限
[root@centos7data]#ll
total 4
-rw-rw----+ 1 root root 12 Nov  3 17:13 f1
[root@centos7data]#su wang   切换至wang用户，此时wang用户属于liu组内，继承liu组的acl权限
[wang@centos7data]$cat f1  就可以读里边的内容
1 2 3 4 5
1
[wang@centos7data]$echo 22 >> f1  也可以追加内容

我们还可以根据目录设置权限，下面的子文件权限和目录的ACL权限一致：

[root@centos7data]#setfacl -R -m u:liu:rw  bak/ 自定义目录及目录下所有文件的acl权限
[root@centos7data]#getfacl bak/
# file: bak/
# owner: root
# group: root
user::rwx
user:liu:rw-  自定义的用户权限
group::---
mask::rw-
other::---

[root@centos7data]#getfacl bak/f1
# file: bak/f1
# owner: root
# group: root
user::rw-
user:liu:rw-  自定义的用户权限
group::r--
mask::rw-
other::-w-

[root@centos7data]#setfacl -R -b bak/   清空包括bak目录本身的所有acl权限