首页    技术博客    PHP教程    数据库技术    前端开发   HTML5    Nginx    php论坛
新用户注册 | 会员登录
加入会员,解锁专属内容
取消
热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

linux系统上文件的特殊权限介绍

作者:搭配课彡堂- | 来源:互联网 | 2023-05-17 12:05
1、特殊文件权限示例[root@localhosttest]#ls-ldbinpasswdtmp-rwsr-xr-x.1rootroot27832Jun102014binpassw

1、特殊文件权限示例

[root@localhost test]# ls -ld /bin/passwd /tmp/

-rwsr-xr-x.  1 root root 27832 Jun 10  2014 /bin/passwd

drwxrwxrwt. 10 root root   247 Oct 28 22:17 /tmp/


2、特殊权限介绍:SUID、SGID、STICKY

安全上下文:

    进程以某用户的身份进行运行,进程是发起此进程用户的代理,因此以此用户的身份和权限完成所有操作。

权限的匹配模型:

    进程的属主,是否为被访问文件的属主,如果是,则应用属主权限;否则,判断进程的属主,是否属于访问文件的属组,如果是,则应用属组权限;否则应用其他用户权限;


SUID:

    默认情况下,用户发起的进程,进程的属主是其发起者;因此,其以发起者的身份运行。


SUID的功能:

    用户运行某程序时,如果此程序拥有SUID权限,那些程序运行为进程时,其进程属主不是发起者,而是程序文件自己的属主。

SGID的功能:

    当目录属组有写权限且有SGID权限时,那么所有属于此目录的属组且以属组身份在此目录中新建文件或目录时,此文件的属组不是用户的基本组,而是此目录的属组。

管理SUID权限:

    chmod u+s file    

    chmod u-s file

管理SGID权限:

    chmod g+s file

    chmod g-s file

SUID权限展示位置:在属主的执行权限位

    如果属主原本有执行权限,显示为小写“s”;

    如果属主原本没有执行权限,则显示为大写“S”

SUID权限展示位置:在属组的执行权限位

    如果属组原本有执行权限,显示为小写“s”;

    如果属组原本没有执行权限,则显示为大写“S”

[root@localhost test]# cp /bin/ls /tmp/test/sls

[root@localhost test]# ll sls 

-rwxr-xr-x. 1 root root 117656 Oct 29 21:50 sls

[root@localhost test]# chmod u+s sls

[root@localhost test]# ll sls 

-rwsr-xr-x. 1 root root 117656 Oct 29 21:50 sls

[root@localhost test]# su user

bash-4.2$ /tmp/test/sls -l sls

-rwsr-xr-x. 1 root root 117656 Oct 29 21:50 sls



[root@localhost tmp]# ls -ld test/

drwxrwxrwx. 2 user user 128 Oct 29 21:50 test/

[root@localhost tmp]# chmod g+s test/

[root@localhost tmp]# ll -d test/

drwxrwsrwx. 2 user user 128 Oct 29 21:50 test/

[root@localhost tmp]# su lily

bash-4.2$ touch file

bash-4.2$ ls -l  /tmp/test/file 

-rw-r--r--. 1 lily user 0 Oct 29 22:05 /tmp/test/file //有SUID权限


bash-4.2$ ls -ld  /tmp/test1/lily 

drwxr-xr-x. 2 lily lily 6 Oct 29 22:08 /tmp/test1/lily  //没有SUID权限

STICKY功能:

    对于属组或全局可写的目录,组内的所有用户或系统上的所有用户对在此目录中都能创建新文件或删除所有已有的文件;如果为此目录设置sticky权限,则每个用户都能创建新文件,且只能删除自己的文件。



注意:默认系统上的/tmp和/var/tmp目录默认均有sticky权限;

管理STICKY权限:

    chmod o+t file

    chmod o-t file


STICKY权限展示位置:在其他用户的执行权限位

    如果其他用户原本有执行权限,显示为小写“t”

    如果其他用户原本没有执行权限,则显示为大写“T”


[root@localhost tmp]# mkdir sticky

[root@localhost tmp]# chmod o+t sticky/

[root@localhost tmp]# ls sticky/ -ld

drwxrwxrwt. 2 root root 6 Oct 29 22:15 sticky/

[root@localhost tmp]# 

[root@localhost tmp]# su lily

bash-4.2$ cd /tmp/sticky

bash-4.2$ touch lily

bash-4.2$ cd /tmp/sticky1

bash-4.2$ touch  lily1

bash-4.2$ exit


[root@localhost tmp]# su lucy

[lucy@localhost tmp]$ cd /tmp/sticky

[lucy@localhost sticky]$ touch lucy

[lucy@localhost sticky]$ ll

total 0

-rw-r--r--. 1 lily lily 0 Oct 29 22:18 lily

-rw-rw-r--. 1 lucy lucy 0 Oct 29 22:21 lucy

[lucy@localhost sticky]$ rm lily 

rm: remove write-protected regular empty file ‘lily’? y

rm: cannot remove ‘lily’: Operation not permitted

[lucy@localhost sticky]$ 


[lucy@localhost sticky]$ cd /tmp/sticky1

[lucy@localhost sticky1]$ ll

total 0

-rw-r--r--. 1 lily lily 0 Oct 29 22:19 lily1

[lucy@localhost sticky1]$ touch lucy1

[lucy@localhost sticky1]$ ll

total 0

-rw-r--r--. 1 lily lily 0 Oct 29 22:19 lily1

-rw-rw-r--. 1 lucy lucy 0 Oct 29 22:23 lucy1

[lucy@localhost sticky1]$ rm lily1 

rm: remove write-protected regular empty file ‘lily1’? y

[lucy@localhost sticky1]$ ll

total 0

-rw-rw-r--. 1 lucy lucy 0 Oct 29 22:23 lucy1

[lucy@localhost sticky1]$ 












管理特殊权限的另一种方法:(八进制数字表示,0-7)

    SUID    SGID    STICKY

    2^2    2^1      2^0

    特殊权限位在最高位置展示,如:chmod 1777 file1

基于八进制方式赋权时,可于默认的三位八进制数字左侧在加一位八进制数字。

umask默认为四位。



3、facl:file access control lists,文件访问控制列表

文件的额外赋权机制:

    在原有的u、g、o之外,另一层让普通用户能控制赋权给另外的用户或组的赋权机制。


查看文件的facl:

    getfacl [-aceEsRLPtpndvh] file ...

    getfacl [-aceEsRLPtpndvh] -

如: 

[root@localhost tmp]# getfacl aaa

# file: aaa

# owner: root

# group: root

user::rw-

group::r--

other::r--


设置文件的facl:

    setfacl [-bkndRLPvh] [{-m|-x} acl_spec] [{-M|-X} acl_file] file ...

    setfacl --restore=file


    setfacl -m u:USERNAME:MODE FILE

    setfacl -m g:GROUPNAME:MODE FILE 

如:

[root@localhost test]# setfacl -m u:user:rwx a.dan 

[root@localhost test]# getfacl a.dan 

# file: a.dan

# owner: root

# group: root

user::rw-

user:user:rwx

group::r--

mask::rwx

other::r--

 


撤销文件的facl:

    setfacl -x u:USERNAME FILE  

    setfacl -x g:GROUPNAME FILE 

如:

[root@localhost test]# setfacl -x g:root b.dan 


如果文件设置了facl,用ls -l命令则会显现“+”

[root@localhost test]# ll

total 0

-rw-r--r--. 1 basher basher 0 Oct 28 21:28 abfstab.dan

-rw-rwxr--+ 1 root   root   0 Oct 28 21:28 a.dan



有了facl的安全上下文:

    先是检查属主,再检查属主facl

    先是检查属组,再检查属组facl

    然后在检查其他;

linux系统上文件的特殊权限介绍
推荐阅读
  • php

    asp.net微信公众平台开发目录汇总陆续更新的相关内容

    本文内容为asp.net微信公众平台开发的目录汇总,包括数据库设计、多层架构框架搭建和入口实现、微信消息封装及反射赋值、关注事件、用户记录、回复文本消息、图文消息、服务搭建(接入)、自定义菜单等。同时提供了示例代码和相关的后台管理功能。内容涵盖了多个方面,适合综合运用。 ... [详细]
  • php

    基于layUI的图片上传前预览功能的2种实现方式

    基于layUI的图片上传前预览功能的2种实现方式
    本文介绍了基于layUI的图片上传前预览功能的两种实现方式:一种是使用blob+FileReader,另一种是使用layUI自带的参数。通过选择文件后点击文件名,在页面中间弹窗内预览图片。其中,layUI自带的参数实现了图片预览功能。该功能依赖于layUI的上传模块,并使用了blob和FileReader来读取本地文件并获取图像的base64编码。点击文件名时会执行See()函数。摘要长度为169字。 ... [详细]
  • string

    Mac OS 升级到11.2.2 Eclipse打不开了,报错Failed to create the Java Virtual Machine

    Mac OS 升级到11.2.2 Eclipse打不开了,报错Failed to create the Java Virtual Machine
    本文介绍了在Mac OS升级到11.2.2版本后,使用Eclipse打开时出现报错Failed to create the Java Virtual Machine的问题,并提供了解决方法。 ... [详细]
  • get

    Hibernate基础映射

    在说Hibernate映射前,我们先来了解下对象关系映射ORM。ORM的实现思想就是将关系数据库中表的数据映射成对象,以对象的形式展现。这样开发人员就可以把对数据库的操作转化为对 ... [详细]
  • jar

    SpringBoot集成前端模版(thymeleaf)的配置步骤

    本文介绍了在SpringBoot中集成thymeleaf前端模版的配置步骤,包括在application.properties配置文件中添加thymeleaf的配置信息,引入thymeleaf的jar包,以及创建PageController并添加index方法。 ... [详细]
  • php

    Linux进程控制块PCBtask_struct结构体结构及作用详解

    本文详细介绍了Linux中进程控制块PCBtask_struct结构体的结构和作用,包括进程状态、进程号、待处理信号、进程地址空间、调度标志、锁深度、基本时间片、调度策略以及内存管理信息等方面的内容。阅读本文可以更加深入地了解Linux进程管理的原理和机制。 ... [详细]
  • get

    java 线程死锁模拟

    1,关于死锁的理解死锁,我们可以简单的理解为是两个线程同时使用同一资源,两个线程又得不到相应的资源而造成永无相互等待的情况。 2,模拟死锁背景介绍:我们创建一个朋友 ... [详细]
  • string

    后台获取视图对应的字符串

    后台获取视图对应的字符串
    1.帮助类后台获取视图对应的字符串publicclassViewHelper{将View输出为字符串(注:不会执行对应的ac ... [详细]
  • string

    《数据结构》学习笔记3——串匹配算法性能评估

    《数据结构》学习笔记3——串匹配算法性能评估
    本文主要讨论串匹配算法的性能评估,包括模式匹配、字符种类数量、算法复杂度等内容。通过借助C++中的头文件和库,可以实现对串的匹配操作。其中蛮力算法的复杂度为O(m*n),通过随机取出长度为m的子串作为模式P,在文本T中进行匹配,统计平均复杂度。对于成功和失败的匹配分别进行测试,分析其平均复杂度。详情请参考相关学习资源。 ... [详细]
  • php

    ABAP开发发送邮件程序的配置和代码整理

    本文介绍了通过ABAP开发往外网发邮件的需求,并提供了配置和代码整理的资料。其中包括了配置SAP邮件服务器的步骤和ABAP写发送邮件代码的过程。通过RZ10配置参数和icm/server_port_1的设定,可以实现向Sap User和外部邮件发送邮件的功能。希望对需要的开发人员有帮助。摘要长度:184字。 ... [详细]
  • string

    lua语言闭包、模式匹配、日期、编译、模块的特性及应用

    本文介绍了lua语言中闭包的特性及其在模式匹配、日期处理、编译和模块化等方面的应用。lua中的闭包是严格遵循词法定界的第一类值,函数可以作为变量自由传递,也可以作为参数传递给其他函数。这些特性使得lua语言具有极大的灵活性,为程序开发带来了便利。 ... [详细]
  • string

    知识图谱——机器大脑中的知识库

    知识图谱——机器大脑中的知识库
    本文介绍了知识图谱在机器大脑中的应用,以及搜索引擎在知识图谱方面的发展。以谷歌知识图谱为例,说明了知识图谱的智能化特点。通过搜索引擎用户可以获取更加智能化的答案,如搜索关键词"Marie Curie",会得到居里夫人的详细信息以及与之相关的历史人物。知识图谱的出现引起了搜索引擎行业的变革,不仅美国的微软必应,中国的百度、搜狗等搜索引擎公司也纷纷推出了自己的知识图谱。 ... [详细]
  • php

    测试人的性格,点火让他着急,考验婚姻问题的善意玩人

    本文讲述了作者通过点火测试男友的性格和承受能力,以考验婚姻问题。作者故意不安慰男友并再次点火,观察他的反应。这个行为是善意的玩人,旨在了解男友的性格和避免婚姻问题。 ... [详细]
  • string

    动态规划算法的基本步骤及最长递增子序列问题详解

    动态规划算法的基本步骤及最长递增子序列问题详解
    本文详细介绍了动态规划算法的基本步骤,包括划分阶段、选择状态、决策和状态转移方程,并以最长递增子序列问题为例进行了详细解析。动态规划算法的有效性依赖于问题本身所具有的最优子结构性质和子问题重叠性质。通过将子问题的解保存在一个表中,在以后尽可能多地利用这些子问题的解,从而提高算法的效率。 ... [详细]
  • jar

    Java验证码——kaptcha的使用配置及样式

    Java验证码——kaptcha的使用配置及样式
    本文介绍了如何使用kaptcha库来实现Java验证码的配置和样式设置,包括pom.xml的依赖配置和web.xml中servlet的配置。 ... [详细]
author-avatar
搭配课彡堂-
这个家伙很懒,什么也没留下!
Tags | 热门标签
RankList | 热门文章
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有