Linux基础篇之权限管理(二)

一、umask扩展

  前面文章有记录过umask的值是4位,后面三位代表读写执行权限,而umask前面的第一位下面详细记录一下。

  1、SUID(SetUID,可以使用数值4代表)

  SUID只针对于可执行的文件,权限的目标也只针对于所有者。

  前面我们记录过/etc/shadow这个文件中存放的是用户的密码,它的文件权限是000,也就是除了root权限可以进行查看、编辑等操作,其他用户权限是无权的。但是普通用户却可以修改自己的密码,这样也就相当于修改了/etc/shadow这个文件。这里使用的就是SUID这个权限。

  修改密码命令所执行的脚本文件是/usr/bin/passwd,使用ls -l 命令查看此文件时,文件在所有者的可执行权限位置不是“x”,而是“s”,这样的文件就是具有SUID权限的文件。

  Linux基础篇之权限管理(二)

  当文件的所有者没有可执行权限的时候,显示为“S”。

  Linux基础篇之权限管理(二)

  当普通用户执行passwd命令时,会暂时获得所有者的权限(命令执行的脚本所有者是root,也就是暂时会获得root权限),而这样就可以暂时以root权限来修改/etc/shadow文件。当命令执行完成后,就会失去暂时获得的root权限。这也就是为什么普通用户在执行passwd命令时,后面不可以加用户名的原因。

  2、SGID(SetGID,可以使用数值2代表)

  SGID可以针对可执行文件,也可以针对目录。权限的目标是所属组

  (1)、可执行文件

    当执行locate命令时,会查询数据库的内容。(若没有locate命令,安装mlocate软件包,然后使用updatedb生成数据库。)

    Linux基础篇之权限管理(二)

     上面图可以看到数据库文件对于其他组用户是没有读的权限,但是普通用户却仍然可以使用locate命令查找文件。

    Linux基础篇之权限管理(二)

     上面图可以看到locate命令执行的脚本在所属组的可执行位置是“s”,这样当其他普通用户执行locate命令时,普通用户的所属组会由原来的其他组改为slocate这个组,这样普通用户就具有了查看数据库的权限。与SUID一样,赋予的权限是暂时的,当命令执行完成后,普通用户回到自己原本的用户组中。

  (2)、目录

    当目录具有SGID时,且普通用户对此目录至少具有-wx(3)权限时,在此目录中新建的文件或者目录的所属组是此目录的所属组,而不是普通用户的所属组。

    Linux基础篇之权限管理(二)

    Linux基础篇之权限管理(二)    

  3、SBIT(Sticky BIT   也称之为粘着位,可以使用数值1代表)

  SBIT只可针对目录。权限的目标是其他组

  拥有SBIT的目录中,除了root用户可以删除目录内的所有文件,其他用户只能删除所有者是自己的文件与目录。

  Linux基础篇之权限管理(二)

  Linux基础篇之权限管理(二)

   当一个文件的所有者改变时,如所有者A改为B,那么这个文件A没有权限删除,B可以删除。

  补充:除了上面图片中的“u+s”、“g+s”、o+t格式之外,也可以使用数值来进行修改。

二、chattr权限

  这个权限可以限制root用户的权限(root用户可以修改,但是文件或目录存在这样的权限,root用户也无法操作,只有删除此权限,才可以正常操作。)

  命令格式:chattr    +、-、=     选项     文件或目录名

  其中“+”代表增加;“-”代表删除;“=”代表等于某项权限

  常用选项:

    “i”属性。若对文件设置这一属性,则不允许对此文件进行删除、改名、修改数据等操作;若对目录设置这一属性,则只能修改目录下文件的数据,但是不能新建和删除文件。

    “a”属性。若对文件设置这一属性,则只能在文件中添加数据(使用vi编辑器也不行),但是不能删除修改其中的数据;若对目录设置这一属性,则只能在目录中建立和修改文件,但是不能删除文件。

  查看文件属性:lsattr 选项  文件名

  常用选项:-a 显示所有文件和目录;-d 针对目录,可以显示目录本身的属性,不加-d 是查看目录中的文件。

Linux基础篇之权限管理(二)

上一篇:Linux --用户和用户组


下一篇:MacOS下ElasticSearch学习(第二天)