一、umask扩展
前面文章有记录过umask的值是4位,后面三位代表读写执行权限,而umask前面的第一位下面详细记录一下。
1、SUID(SetUID,可以使用数值4代表)
SUID只针对于可执行的文件,权限的目标也只针对于所有者。
前面我们记录过/etc/shadow这个文件中存放的是用户的密码,它的文件权限是000,也就是除了root权限可以进行查看、编辑等操作,其他用户权限是无权的。但是普通用户却可以修改自己的密码,这样也就相当于修改了/etc/shadow这个文件。这里使用的就是SUID这个权限。
修改密码命令所执行的脚本文件是/usr/bin/passwd,使用ls -l 命令查看此文件时,文件在所有者的可执行权限位置不是“x”,而是“s”,这样的文件就是具有SUID权限的文件。
当文件的所有者没有可执行权限的时候,显示为“S”。
当普通用户执行passwd命令时,会暂时获得所有者的权限(命令执行的脚本所有者是root,也就是暂时会获得root权限),而这样就可以暂时以root权限来修改/etc/shadow文件。当命令执行完成后,就会失去暂时获得的root权限。这也就是为什么普通用户在执行passwd命令时,后面不可以加用户名的原因。
2、SGID(SetGID,可以使用数值2代表)
SGID可以针对可执行文件,也可以针对目录。权限的目标是所属组。
(1)、可执行文件
当执行locate命令时,会查询数据库的内容。(若没有locate命令,安装mlocate软件包,然后使用updatedb生成数据库。)
上面图可以看到数据库文件对于其他组用户是没有读的权限,但是普通用户却仍然可以使用locate命令查找文件。
上面图可以看到locate命令执行的脚本在所属组的可执行位置是“s”,这样当其他普通用户执行locate命令时,普通用户的所属组会由原来的其他组改为slocate这个组,这样普通用户就具有了查看数据库的权限。与SUID一样,赋予的权限是暂时的,当命令执行完成后,普通用户回到自己原本的用户组中。
(2)、目录
当目录具有SGID时,且普通用户对此目录至少具有-wx(3)权限时,在此目录中新建的文件或者目录的所属组是此目录的所属组,而不是普通用户的所属组。
3、SBIT(Sticky BIT 也称之为粘着位,可以使用数值1代表)
SBIT只可针对目录。权限的目标是其他组。
拥有SBIT的目录中,除了root用户可以删除目录内的所有文件,其他用户只能删除所有者是自己的文件与目录。
当一个文件的所有者改变时,如所有者A改为B,那么这个文件A没有权限删除,B可以删除。
补充:除了上面图片中的“u+s”、“g+s”、o+t格式之外,也可以使用数值来进行修改。
二、chattr权限
这个权限可以限制root用户的权限(root用户可以修改,但是文件或目录存在这样的权限,root用户也无法操作,只有删除此权限,才可以正常操作。)
命令格式:chattr +、-、= 选项 文件或目录名
其中“+”代表增加;“-”代表删除;“=”代表等于某项权限
常用选项:
“i”属性。若对文件设置这一属性,则不允许对此文件进行删除、改名、修改数据等操作;若对目录设置这一属性,则只能修改目录下文件的数据,但是不能新建和删除文件。
“a”属性。若对文件设置这一属性,则只能在文件中添加数据(使用vi编辑器也不行),但是不能删除修改其中的数据;若对目录设置这一属性,则只能在目录中建立和修改文件,但是不能删除文件。
查看文件属性:lsattr 选项 文件名
常用选项:-a 显示所有文件和目录;-d 针对目录,可以显示目录本身的属性,不加-d 是查看目录中的文件。