除了基本的r,w,x之外,在linux传统的ext2、ext3、ext4文件系统下,还可以设置其他 的文件属性。如chattr,lsattr,而在CentOS7中默认利用xfs作为默认的文件系统,就不支持chattr的参数。

文件的特殊权限

SUID

  如果用户在运行某程序时,拥有该权限的话,就会以该程序的拥有者的身份运行该程序。

  •  chmod u+|-s FILE...

  • 位置:文件属主的执行位,有执行权限显示为s,否则S

以二进制程序passwd为例:

[root@Der_Tencent ~]# info passwd  #passwd用来修改用户的密码

File: *manpages*,  Node: passwd,  Up: (dir)

PASSWD()                       User utilities                       PASSWD()

NAME

       passwd - update user's authentication tokens

SYNOPSIS

       passwd  [-k]  [-l]  [-u  [-f]]  [-d] [-e] [-n mindays] [-x maxdays] [-w

       warndays] [-i inactivedays] [-S] [--stdin] [username]
[root@Der_Tencent ~]# whereis passwd   #查看passwd程序的位置

passwd: /usr/bin/passwd /etc/passwd /usr/share/man/man5/passwd..gz /usr/share/man/man1/passwd..gz

[root@Der_Tencent ~]# ls /usr/bin/passwd -al   #查看passwd的详细信息
  -rwsr-xr-x. 1 root root 27832 Jun 10 2014 /usr/bin/passwd  #o,g,o都有文件的执行权

  [root@Der_Tencent ~]# ls -al /etc/shadow    #查看用户存放密码的文件
  ---------- 1 root root 1757 Sep 22 21:51 /etc/shadow    #只有root可强制修改文件

用户可以修改自己密码,但是修改的密码以密文存放在/ec/shadow中;如果用户没有/etc/shadow的写权限,又怎么能将修改的密码写入文件中呢?

仔细观察passwd程序的属性发现属主中的执行权限变成了‘ s ’,这个便是SUID权限。

当其他用户执行passwd时,便以root用户的身份执行该程序。用户便能正常修改自己密码了。可以其他程序文件验证,如cat,less等。

    • 权限在程序结束后归还;

SGID

  • chmod g+|-s FILE...
  • 位置:文件属组的执行位,有执行权限显示为s,否则S

对二进制程序文件:程序文件拥有SGID权限后,执行该程序的用户拥有程序属组的权限。  

[root@Der_Tencent project]# cp /usr/bin/cat /tmp/project1    #将cat程序复制到工作目录,工作目录对用户需要有r,x,w视需要而给;

[root@Der_Tencent project]# chown der:der /tmp/project1     #更改文件的属主和属组
[root@Der_Tencent project]# su - der                #切换为der用户(提前创建der和bob用户,且他们不同组)

[der@Der_Tencent project1]$ ls -al

total

drwxrwsr-x  der der  Sep  : .

drwxrwxrwt.  root root  Sep  : ..

-rwxr-xr-x  der der  Sep  : cat            #程序的属主和属主均为der,且其他用户有执行权
[der@Der_Tencent project1]$ touch test               #新建测试文件  
[der@Der_Tencent project1]$ echo "This a test" > test      #写入测试数据
[der@Der_Tencent project1]$ ls -al test
-rw-rw-r-- 1 der der 12 Sep 23 15:19 test
[der@Der_Tencent project1]$ chmod o-r test            #去除其他人对测试文件的r权限
[root@Der_Tencent ~]# su - bob                   #切换用户,当前用户为root,否则需要密码

[bob@Der_Tencent project1]$ ./cat test              #执行文件为当前目录下的,而不是默认的/usr/bin/cat

./cat: test: Permission denied
[root@Der_Tencent project]# su - der               

[der@Der_Tencent project1]$ chmod g+s cat            #在组的执行位上加上SGID权限

[der@Der_Tencent project1]$ ls -l cat

-rwxr-sr-x  der der  Sep  : cat
[root@Der_Tencent project]# su - bob

[bob@Der_Tencent project1]$ ./cat test             #bob用户这时拥有der组的权利,可进行r操作

This a test

对目录:目录拥有该权限,用户在该目录下创建的文件(目录)的属组均为该目录的属组。

[root@Der_Tencent project]# chown :project /tmp/project1    #创一个工作组project****修改文件的权限只有root用户才有权利******

[root@Der_Tencent project1]# su - bob

[bob@Der_Tencent ~]$ touch /tmp/project1/test1          #此时在工作目录内创建的文件属组为文件的创建者

[bob@Der_Tencent project1]$ ls -l test1

-rw-rw-r--    bob  bob          Sep  : test1
[bob@Der_Tencent project1]$ exit

[root@Der_Tencent ~]# chmod g+s /tmp/project1/        #给属组加上SGID权限

[root@Der_Tencent ~]# ls -al /tmp/project1

total

drwxrwsrwx    boob  project   Sep  : .       #属组x权限位变为s   

drwxrwxrwt.  root root      Sep  : ..
[root@Der_Tencent ~]# su - bob

[bob@Der_Tencent ~]$ touch /tmp/project1/test2

[bob@Der_Tencent ~]$ ls -al /tmp/project1/test2

-rw-rw-r--  bob project  Sep  : /tmp/project1/test2  #新建的文件属组变成了project工作组

SBIT

 对拥有工作目录有wx执行权限的用户来说,拥有SBIT权限,则该用户只能在目录下创建新文件,或删除自己的文件只能删除自己的文件

  • chmod o+|-t FILE...
  • 位置:其他用户的执行位,有执行权限显示为t,否则T
[der@Der_Tencent project1]$ ls -al /tmp

total

drwxrwxrwt.  root root     Sep  : .
[alice@Der_Tencent ~]$ rm -r /tmp/test

rm: remove write-protected regular empty file ‘/tmp/test/file1.txt’? y

rm: cannot remove ‘/tmp/test’: Operation not permitted
[der@Der_Tencent project1]$ rm -r /tmp/test

[der@Der_Tencent project1]$

chmod的数字表示法修改上述三种属性

  • SUID为4,SGID为2,SBIT为1
[root@Der_Tencent project1]# ls -al test2

-rw-r-xr-x  bob project  Sep  : test2

[root@Der_Tencent project1]# chmod  test2

[root@Der_Tencent project1]# ls -al test2

-rwSr-sr-t  bob project  Sep  : test2

文件隐藏属性:chattr

  为了增加系统的安全性,在原来九个基本属性上还增加了隐藏属性。chattr指令只能在ext2、ext3、ext4的Linux传统文件系统上完整生效,其他的文件系统可能就无法完整的支持这个指令。(摘自《鸟哥的Linux私房菜:基础学习篇》)

  chattr chattr [+-=][ai] 文件或目录名称

选项与参数:
+ :增加某一个特殊参数,其他原本存在参数则不动。
- :移除某一个特殊参数,其他原本存在参数则不动。
= :设置一定,且仅有后面接的参数

a:只能增加数据,不能删除和修改数据,只有root才能设置

i:不能增加数据,不能删除改名,设置连接,只有root才能设置

[root@Der_Tencent ~]# mkdir test             #创建工作目录

[root@Der_Tencent ~]# cd test

[root@Der_Tencent test]# touch file1         #创建工作文件

[root@Der_Tencent test]# chattr +a file1       #添加a属性

[root@Der_Tencent test]# echo "Input data" > file1  #该符号会覆盖文件中的内容,而a属性中没有写权限

-bash: file1: Operation not permitted

[root@Der_Tencent test]# echo "Input data" >> file1 #在file1中添加数据

[root@Der_Tencent test]# cat file1

Input data
[root@Der_Tencent test]# chattr -a file1    #去除a权限

[root@Der_Tencent test]# chattr +i file1    #增加i权限

[root@Der_Tencent test]# echo "Input data" >> file1 #不能添加

-bash: file1: Permission denied

[root@Der_Tencent test]# rm file1     #不能删除

rm: remove regular file ‘file1’? y

rm: cannot remove ‘file1’: Operation not permitted

[root@Der_Tencent test]# chattr -i file1  

[root@Der_Tencent test]# echo "Input data again" >> file1   #去除权限之后便能添加

[root@Der_Tencent test]# cat file1

Input data

Input data again

文件默认权限:umask

文件权限的反向掩码,用于指定创建目录或文件时的默认值;即创建文件时减去的权限

  • umask:查看当前umask;

  • umask MASK:设置umask

文件默认权限:-rw-rw-rw-,即666;

目录默认权限:drwxrwxrwx,即777;

[root@Der_Tencent test]# umask  #查看当前掩码,为减去写权限,每一位对应的属性:特殊权限+属主+属组+其他用户,0表示不修改

[root@Der_Tencent test]# touch test1

[root@Der_Tencent test]# ls -al test1

-rw-r--r--  root root  Sep  : test1 #文件的默认权限减去w权限

[root@Der_Tencent test]# mkdir mydir

[root@Der_Tencent test]# ls -al mydir/

total

drwxr-xr-x  root root  Sep  : .  #目录的默认权限减去写权限

[root@Der_Tencent test]# umask 055      #修改掩码,减去r和x权限

[root@Der_Tencent test]# touch test2

[root@Der_Tencent test]# ls -al test2

-rw--w--w-  root root  Sep  : test2 #文件默认属性减去r,x(默认没有则不改变),此处勿用数字相减,否则容易出错。
  • 勿用数字相减,转换为对应的权限来计算;如上示例,文件的属性为:(-rw-rw-rw-)-(---r-xr-x)=-rw--w--w-  (注意第一个‘ - ’代表文件的类型)

文件访问控制列表(Access Control List,ACL)

提供rwx权限之外的权限,可针对单一使用者,单一文件或目录进行rwx的权限规范。——《鸟哥Linux私房菜:基础学习篇》

setfacl

设置某个文件/目录的ACL设置项目

setfacl [-bkdR] [{-m|-x} acl参数] file

-m:对文件设置acl参数

-x:取消文件的acl参数

-b:移除所有的acl

-k:移除默认的acl

-R:递归设置acl

-d:设置默认的acl,对目录进行acl权限设置,目录内的文件会继承权限

[root@Der test]# ls -al file

-rw-r--r--  root root  Sep  : file

[root@Der test]# setfacl -m u:der:w file  #der用户添加w权限

[root@Der test]# ls -al file

-rw-rw-r--+  root root  Sep  : file #显示+号

[root@Der test]# setfacl -m u::x file  #省略用户名,默认对root用户操作******会把原来的属性覆盖*******

[root@Der test]# ll file

---xrw-r--+  root root  Sep  : file

getfacl

获得某个目录/文件的ACL

[root@Der test]# getfacl file

# file: file

# owner: root

# group: root

user::rw-       #root用户的权限

user:der:-w-      #der用户的权限

group::r--        #默认root组的权限  
[root@Der test]# setfacl -m u:der:rwx file

[root@Der test]# setfacl -m m:rw file #设置掩码

[root@Der test]# getfacl file

# file: file

# owner: root

# group: root

user::rw-

user:der:rwx            #effective:rw-  #仅与掩码相同的权限才拥有
..
mask::rw-

Linux基础知识之文件的权限(二)的更多相关文章

  1. Linux基础知识之文件的权限(一)

    Linux基础知识之文件权限(一) Linux优点之一就是它拥有多用户多任务的环境,在提供文件共享的同时也能保证用户文件的安全性.所以,设置文件的权限管理变得尤为重要. 权限讲解 [der@Der ~ ...

  2. Linux基础知识之文件和目录的权限机制

    Linux中的用户 Linux中的用户有三类,分别是: 所有者(u) 同组用户(g) 其他人(o) 如下图所示,假设存在两个组:groupA和groupB,rachel和ross属于组groupA,m ...

  3. Linux基础知识第七讲,用户权限以及用户操作命令

    目录 Linux基础知识第七讲,用户权限以及用户操作命令 一丶简介linux用户,用户权限,组的概念. 1.1 基本概念 1.2 组 1.3 ls命令查看权限. 二丶用户权限修改命令 1.chmod ...

  4. Linux基础知识第三讲,拷贝文件跟移动文件命令

    目录 Linux基础知识第三讲,拷贝文件跟移动文件命令 一丶常用命令 1.tree命令常用选项 2.cp复制文件命令 3.mv 命令的使用 Linux基础知识第三讲,拷贝文件跟移动文件命令 一丶常用命 ...

  5. Linux基础知识入门

    [Linux基础]Linux基础知识入门及常见命令.   前言:最近刚安装了Linux系统, 所以学了一些最基本的操作, 在这里把自己总结的笔记记录在这里. 1,V8:192.168.40.10V1: ...

  6. linux基础知识的总结

    例如以下内容是我对linux基础知识的总结,由于本人在初期学习linux的时候走了不少的弯路,对于基础的掌握耗费了不少的时间,所以为了后来者对linux的基础部分有个清晰的了解,特对基础知识进行了总结 ...

  7. Linux基础知识与命令1(su passwd)

    一.Linux的基本原则 1.linux由一个个目的单一的小程序组成,我们一般需要组合小程序来完成复杂的任务 2.Linux的一切都是文件(文件类似于一棵树,包括外设,接口) 3.Linux尽量避免捕 ...

  8. (转)Linux基础知识学习

    Linux基础知识学习 原文:http://blog.csdn.net/ye_wei_yang/article/details/52777499 一.Linux的磁盘分区及目录 Linux的配置是通过 ...

  9. linux 基础知识及命令总结

    1.mkdir   创建目录 -p 创建多级目录  mkdir -p /data/test -m, --mode=模式 设置权限模式(类似chmod),而不是rwxrwxrwx 减umask -p, ...

随机推荐

  1. java.lang.UnsupportedClassVersionError: com/mysql/jdbc/Driver : Unsupported major.minor version 52.0

    版本为: jdk1.7.0_80 mysql-connector-java-5.1.46-bin.jar 解决办法: 升级JDK或者降级MySQL Connector/J为mysql-connecto ...

  2. Spark GraphX初探

    1. Graphx概念 针对某些领域,如社交网络.语言建模等,graph-parallel系统可以高效地执行复杂的图形算法,比一般的data-parallel系统更快. Graphx是将graph-p ...

  3. 一些常见的MySQL配置

    目录 配置 参考 配置 [mysqld] port = 3306 socket = /mysql/log/mysql_3306.sock # mysql的目录(即mysql的文件所在目录) # bas ...

  4. 架构模式: 客户端 UI 构建

    架构模式: 客户端 UI 构建 上下文 您已应用微服务架构模式.服务由业务能力/面向子域的团队开发,这些团队也负责用户体验.一些UI屏幕/页面显示来自多个服务的数据.例如,考虑亚马逊风格的产品详细信息 ...

  5. Leetcode之动态规划(DP)专题-264. 丑数 II(Ugly Number II)

    Leetcode之动态规划(DP)专题-264. 丑数 II(Ugly Number II) 编写一个程序,找出第 n 个丑数. 丑数就是只包含质因数 2, 3, 5 的正整数. 示例: 输入: n ...

  6. 【机器学习】ICA 原理以及相关概率论,信息论知识简介

    看完了sparse coding,开始看ICA模型,本来ng的教程上面就只有一个简短的介绍,怎奈自己有强迫症,爱钻牛角尖,于是乎就搜索了一些ICA的介绍文章(都是从百度文库中搜来的),看完之后感觉这个 ...

  7. 浅谈 OpenResty,基于opebresty+redis进行实时线上限流

    一.前言 我们都知道Nginx有很多的特性和好处,但是在Nginx上开发成了一个难题,Nginx模块需要用C开发,而且必须符合一系列复杂的规则,最重要的用C开发模块必须要熟悉Nginx的源代码,使得开 ...

  8. sd卡挂载方法:

    cd mnt//Sdcard创建目录mkdir -m 777 Sdcard//节点挂载mount /dev/msa1  /mnt/Sdcard//抓包./tcpdump -i eth0 tcp por ...

  9. kettle转换设置变量,校验输出新变量

    背景:有很多小的转换需要串联起来,如果前一个执行成功,后面继续接着执行,如果执行等待中,就让程序等一会再次获取数据分析,如果失败就中止,成功就进行下一个转换,以此类推.... 需求:通过job把参数传 ...

  10. X86逆向8:向程序中插入新区段

    本节课我们不去破解程序,本节课学习给应用程序插入一些代码片段,这里我就插入一个弹窗喽,当然你也可以插入一段恶意代码,让使用的人中招, 这里有很多原理性的东西我就不多罗嗦了毕竟是新手入门教程,如果想去了 ...