文件特殊权限及facl
特殊權(quán)限
SUID,SGID,STICKY
權(quán)限匹配模型:
判斷進(jìn)程的 發(fā)起者 是否為被訪問文件的 屬主,如果是 則應(yīng)用屬主的權(quán)限;
判斷進(jìn)程的 發(fā)起者 是否為陪訪問文件的 屬組,如果是 則應(yīng)用屬組的權(quán)限
否則應(yīng)用other
1.SUID: 可能會(huì)使普通用戶獲得root權(quán)限 危險(xiǎn);文件其他權(quán)限位應(yīng)當(dāng)有執(zhí)行權(quán)限
管理文件SUID:
????chmod u+|-s FILE
如果文件屬主權(quán)限為 有執(zhí)行權(quán)限顯示為小寫s ? -rwsr-xr-x. FILE
沒有則為大寫S ? ?-rwSr-xr-x. FILE
默認(rèn)情況:用戶發(fā)起的進(jìn)程 屬主為當(dāng)前用戶
具有SUID屬性則:用戶運(yùn)行某程序時(shí),會(huì)以該文件 屬主身份運(yùn)行
普通用戶不可讀或修改/etc/shadow,但是可以運(yùn)行passwd更改密碼,
相當(dāng)于修改了/etc/shadow;因?yàn)?bin/passwd屬主為root 且具有S權(quán)限
2.SGID: 通常應(yīng)用在 目錄; ?目錄屬組應(yīng)當(dāng)有寫權(quán)限
管理目錄SGID:
chmod g+|-s /DIR/
功用:使創(chuàng)建在該目錄下的目錄或文件的屬組 都變?yōu)樵?具有SGID權(quán)限)目錄的屬組
使得屬于同一開發(fā)組的成員用戶在該目錄下工作 可以互相更改彼此的文件;
因?yàn)樵撃夸浵挛募俳M會(huì)變?yōu)橥唤M,而同組具有相同的權(quán)限;
?達(dá)到共享的目的!
3.STICYK:粘滯位 ?通常應(yīng)用在 目錄 目錄屬組應(yīng)當(dāng)有寫權(quán)限
管理目錄STICKY:
chmod o+|-t /DIR/
功用:使得該目錄下某用戶創(chuàng)建的文件 只有 自己可以刪除
?系統(tǒng)上的/tmp ?/var/tmp 默認(rèn)具有t權(quán)限
? ? 管理特殊權(quán)限另一種方式:
suid sgid sticky ?八進(jìn)制
0 0 00
0 0 11
0 1 02
0 1 13
1 0 04
1 0 15
1 1 06
1 1 17
? ? ? chmod ?4777 FILE ?文件具有SUID及滿權(quán)限
*FACL:file access control list 文件訪問控制列表 ?設(shè)置特權(quán) 允許 或禁止
文件額外的賦權(quán)機(jī)制
#setfacl?
-m d:u:zhou:rx directory ? ?該目錄下新建的文件默認(rèn)的訪問控制
-d:設(shè)置默認(rèn)acl
-x:刪除后續(xù)acl參數(shù) ?
-b:刪除全部的acl參數(shù) ? ? 文件屬性后不會(huì)遺留"+"
-k:刪除默認(rèn)的acl參數(shù)
-R:遞歸設(shè)置acl,包括子目錄
-M:從文件讀取acl設(shè)置
-X:從文件讀取刪除acl設(shè)置
setfacl -m m:### FILE ?設(shè)置acl權(quán)限最大值;有效權(quán)限
用戶或組所設(shè)置的權(quán)限必須要存在于mask的權(quán)限設(shè)置范圍內(nèi)才會(huì)生效
備份和恢復(fù)ACL:
?cp和mv支持ACL,cp命令需要加上-p 參數(shù)。
tar等常見的備份工具不會(huì)保留目錄和文件ACL信息
#getfacl -R /tmp/dir1 > acl.txt
#setfacl -R -b /tmp/dir1
#setfacl -R --set-file=acl.txt /tmp/dir1
#getfacl -R /tmp/dir1
tune2fs -o acl /dev/sdb1
mount ? -o acl /dev/sdb1 /mnt ? ?有些分區(qū)可能沒有acl功能 可手動(dòng)掛載
在u,g,o之外 使用戶可以將屬主是自己的文件 賦權(quán)給另外的用戶或組。
通常在u,g,o下普通用戶無法更改自己文件的屬組,無法讓特定的用戶獲得rwx權(quán)限
設(shè)置文件facl:
setfacl -m u:USER:MODE FILE ? 賦權(quán)給用戶
-m g:GROUP:MODE FILE ?賦權(quán)給組
查看文件facl:
getfacl FILE
撤銷賦權(quán):
setfacl -x u:USER:MODE FILE
-x g:GROUP:MODE FILE
?setfacl -m u:zhou:w testfile ? ?給zhou用戶寫權(quán)限
?setfacl -m u:he:--- tsetfile ? ?禁止he用戶讀寫執(zhí)行
?
文件權(quán)限查找路徑:
屬主->facl屬主權(quán)限->屬組->facl屬組權(quán)限->other
設(shè)置了某文件的facl 則權(quán)限后有"+"號(hào)
-rw-rw-r--+ 1 he ? zhou ?14 7月 ?30 15:10 he.txt
普通文件:
-rw-rw-r--. 1 chen zhou ?14 7月 ?30 17:19 chen.txt
"."表示SElinux
轉(zhuǎn)載于:https://blog.51cto.com/zzjasper/1832171
總結(jié)
以上是生活随笔為你收集整理的文件特殊权限及facl的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 关于爱情好听的签名句子简短185个
- 下一篇: Win7 下打开wifi共享的方法