特殊許可權 檔案系統訪問控制列表

2021-09-13 12:38:03 字數 3831 閱讀 4344

1、程序以某使用者的身份執行,程序是發起此程序使用者的**,因此以此使用者的身份和許可權完成操作;

2、許可權匹配模型:

(1) 判斷程序的屬主,是否為被訪問的檔案屬主;如果是,則應用屬主的許可權;否則進入第2步;

(2) 判斷程序的屬組,是否屬於被訪問的檔案屬組;如果是,則應用屬組的許可權;否則進入第3步;

(3) 應用other的許可權;

預設情況下,當乙個使用者發起乙個程序去訪問乙個檔案,那麼該程序就是以發起這個程序的使用者的身份執行的,同樣也是以該使用者的許可權完成操作的。

suid的作用:使用者執行某程式時,如果此程式檔案擁有suid,那麼該程序將以此檔案屬主的身份執行程式;

管理檔案的suid:

chmod u+|-s file...


展示位置:屬主的執行許可權位


如果屬主原有執行許可權,則顯示為小寫s;


否則,為大寫s;
預設情況下,使用者在乙個目錄下建立檔案的屬組為使用者的私有組或者基本組;

sgid的功能:使用者在具有sgid目錄下建立的檔案或目錄的屬組為該目錄的屬組;

管理檔案的sgid許可權:

chmod g+|-s file...


展示位置:屬組的執行許可權位


如果屬組原有執行許可權,則顯示為小寫s;


否則,為大寫s;
預設情況下,當乙個目錄屬組具有寫許可權時,如果使用者的屬組為該目錄屬組,那麼該使用者就可以刪除在該目錄下的所有檔案;

sticky的功用:同組使用者或系統上的所有使用者在具有sticky許可權的目錄下只能刪除屬主為自身的檔案,不能刪除同屬組的其他檔案;

管理檔案的suid許可權:

chmod o+|-t file…


展示位置:其他使用者的執行許可權位


如果其他使用者原本有執行許可權,顯示為小寫t;


否則,為大寫t;
系統上的/tmp和/var/tmp目錄預設均有sticky許可權;

管理特殊許可權的另一種方式

suid   sgid      sticky    八進位制許可權


0        0        0


0        0        1


0        1        0


0        1        1


1        0        0


1        0        1


1        1        0


1        1        1


基於八進位制方式賦權時,可用於預設的三位八進位制數字左側再加一位八進位制數字;


例如: chmod 1777
facl: file access control lists檔案的額外賦權機制:在原來的u,g,o之外,另一層讓普通使用者能控制賦權給另外的使用者或組的賦權機制;相當於檔案的乙個隱藏屬性。

檢視某檔案的隱藏屬性

getfacl file…


user:username:mode


group:groupname:mode
1、賦權給使用者:

setfacl -m u:username:mode file…
2、賦權給組:

setfacl -m g:groupname:mode file…
3、撤銷賦權:

setfacl -x u:username file…


setfacl -x g:groupname file…
1、讓普通使用者能使用/tmp/cat去檢視/etc/shadow檔案;

(1) 將/usr/bin/cat複製到/tmp目錄下


# cp /usr/bin/cat /tmp


(2) 給/tmp/cat檔案賦予suid許可權


(3) 利用centos使用者登入系統,執行/tmp/cat程式來檢視/etc/shadow檔案


2、建立目錄/test/data,讓某組內普通使用者對其有寫許可權,且建立的所有檔案的屬組為目錄所屬的組;此外,每個使用者僅能刪除自己的檔案;


(1) 建立目錄/test/data,然後將目錄的屬組改為centos,並且給該目錄的屬組新增寫許可權 注:沒有centos組,首先先建立centos組


(2) 分別建立user1, user2, user3三個使用者,將centos作為三個使用者的附加組


(3) 分別切換三個使用者,在/test/data/目錄下建立乙個檔案
此時每個使用者建立的檔案的屬主和屬組都是自身的使用者名稱;


(4) 給/test/data目錄新增sgid屬性,然後再執行第(4)步驟


# chmod g+s /test/data


在給該目錄新增了sgid許可權位後,使用者在該目錄下建立的檔案的屬組都為該目錄的屬組;此時因為該目錄具有寫許可權許可權,而且三個使用者的附加組都為該目錄的屬組。所以,此時,對於這三個使用者中的任意使用者,甚至是說,附加組或基本組為該目錄的屬組的使用者,對於該目錄下的所有檔案都可以進行刪除。


(5) 給/test/data目錄新增sticky屬性,驗證普通使用者是否可以刪除屬主為其他使用者的檔案


# chmod o+t /test/data


當目錄新增了sticky許可權後,使用者只能刪除在該檔案下屬主為自身的檔案。

				
檔案系統訪問控制列表
案例引入 系統中有兩個使用者tom,jerry,tom在公共目錄中希望讓jerry訪問 讀寫 作為管理員應該如何實現 講解引入 tom使用者建立的檔案的屬主和屬組 基本組 都是tom,這就意味著jerry不屬於tom的基本組,就不能應用於組許可權 此時jerry訪問時會應用其他other許可權,如果...

				
檔案系統訪問控制列表
案例引入 系統中有兩個使用者tom,jerry,tom在公共目錄中希望讓jerry訪問 讀寫 你作為管理員應該如何實現?講解引入 tom使用者建立的檔案的屬主和屬組 基本組 都是tom,這就意味著jerry不屬於tom的基本組,就不能應用於組許可權,此時jerry訪問時會應用其他other許可權,如...

				
linux基礎  特殊許可權及檔案系統訪問控制列表
特殊許可權 suid 執行某程式時,相應程序的屬主是程式檔案自身的屬主,而不是啟動使用者。sgid 執行某程式時,相應程序的屬組是程式檔案自身的屬組,而不是啟動使用者所屬的基本組。sticky 在乙個公共目錄,每個使用者都可以建立檔案,能刪除自己的檔案,但不能刪除別人的檔案 修改檔案的特殊許可權 c...