linux基础--特殊权限及文件系统访问控制列表

本文涉及的产品
访问控制,不限时长
简介:

特殊权限

SUID:运行某程序时,相应进程的属主是程序文件自身的属主,而不是启动用户。

SGID:运行某程序时,相应进程的属组是程序文件自身的属组,而不是启动用户所属的基本组。

Sticky:在一个公共目录,每个用户都可以创建文件,能删除自己的文件,但不能删除别人的文件


修改文件的特殊权限

  chmod u+s FILE:给文件添加SUID权限

  chmod u-s FILE:给文件删除SUID权限

  chmod g+s FILE:给文件添加SGID权限

  chmod g-s FILE:给文件删除SGID权限

  chmod o+t DIR:给目录增加Sticky权限

  chmod o-t DIR:给目录删除Sticky权限


例子:

 chmod 1755 /back/test:带Sticky权限的755文件

 chmod 2755 /back/test:带SGID权限的755文件

 chmod 3755 /back/test:带Sticky和SGID权限的755文件

 chmod 4755 /back/test:带SGID和SUID权限的755文件

 chmod 5755 /back/test:带Sticky和SUID权限的755文件

 chmod 6755 /back/test:带Sticky和SUID以及SGID权限的755文件

因此umask的0022中第一位0就代表的是特殊权限。


练习:创建一个目录,让user01,user02,user03都有写的权限,并且都可以编辑另外的用户创建的文件,但是不可删除别人创建的文件。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
[root@liang-study ~] # mkdir /home/project   #创建公用目录
[root@liang-study ~] # useradd user01    #创建用户
[root@liang-study ~] # useradd user02
[root@liang-study ~] # useradd user03
[root@liang-study ~] # groupadd mygroup   #创建附加组
[root@liang-study ~] # usermod -a -G mygroup user01   #将用户添加至附加组
[root@liang-study ~] # usermod -a -G mygroup user02
[root@liang-study ~] # usermod -a -G mygroup user03
[root@liang-study ~] # id user01    #验证添加是否成功
uid=5001(user01) gid=5001(user01)  groups =5001(user01),5004(mygroup)
[root@liang-study ~] # chown :mygroup /home/project/   #修改目录所属组为附加组
[root@liang-study home] # chmod g+s /home/project/    #给公用目录添加SGID权限
[user02@liang-study project]$ ll      #使用user01-03创建的文件的属组就是目录的所属组mygroup
total 4
-rw-rw-r-- 1 user01 mygroup 22 Dec 22 11:26 user01.txt
-rw-rw-r-- 1 user02 mygroup  0 Dec 22 11:26 user02.txt
#此时,user01登录此目录就可以修改其他文件,也可以删除。
[root@liang-study project] # chmod o+t /home/project/ -R    #添加sticky权限
[root@liang-study home] # ls -ld /home/project/  
drwxrwsr-t 2 root mygroup 4096 Dec 22 11:26  /home/project/
#至此,完成实验



FACL:File System Access Control List

  利用文件扩展属性保存额外的访问控制权限,ACL为现有权限机制的延伸,在现有机制的三个基本设定(owner、group、other)的基础上加入了对某指定使用者或群组的存取权限设定。

  FACL可以对某个文件设置该文件具体的某些用户的权限,意思就是通过FACL可以对一个文件权限做扩展,可以不同的用户对某个文件有不同的权限。如让tom用户对jerry创建的文件有读写权限。


setfacl

 -m:设置额外访问控制列表

   u:uid:perm FILE  设定指定用户对FILE有指定权限

   d:uid:perm DIR  设定指定用户对目录的指定权限,默认在此目录创建的文件都会继承FACL

   g:gid:perm FILE  设定指定组对FILE有指定权限

    例:setfacl -m u:hoodop:rw /tmp/test.txt  添加hoodop用户对test.txt拥有读写权限。

 -x:取消额外访问控制列表

 --mask:设置默认mask权限

getfacl FILE:获取facl权限


 

添加facl权限后的权限应用顺序

owner-->facl中的user-->Group-->facl中的group-->Other

本文转自  亮公子  51CTO博客,原文链接:http://blog.51cto.com/iyull/1884923

相关实践学习
消息队列+Serverless+Tablestore:实现高弹性的电商订单系统
基于消息队列以及函数计算,快速部署一个高弹性的商品订单系统,能够应对抢购场景下的高并发情况。
云安全基础课 - 访问控制概述
课程大纲 课程目标和内容介绍视频时长 访问控制概述视频时长 身份标识和认证技术视频时长 授权机制视频时长 访问控制的常见攻击视频时长
相关文章
|
7天前
|
安全 网络安全 数据安全/隐私保护
访问控制列表(ACL)是网络安全中的一种重要机制,用于定义和管理对网络资源的访问权限
访问控制列表(ACL)是网络安全中的一种重要机制,用于定义和管理对网络资源的访问权限。它通过设置一系列规则,控制谁可以访问特定资源、在什么条件下访问以及可以执行哪些操作。ACL 可以应用于路由器、防火墙等设备,分为标准、扩展、基于时间和基于用户等多种类型,广泛用于企业网络和互联网中,以增强安全性和精细管理。
42 7
|
17天前
|
Linux 数据安全/隐私保护
linux特殊权限!!
本文介绍了Linux系统中的特殊权限,包括suid、sgid和sbit。suid使普通用户在执行特定命令时获得root权限;sgid使用户在创建文件时继承目录的用户组权限;sbit确保用户只能删除自己在共享目录中创建的文件。此外,文章还讲解了chattr和lsattr命令,用于更改和查看文件的扩展属性,以及umask的概念和计算方法,帮助理解文件和目录的默认权限。
34 1
linux特殊权限!!
|
8天前
|
存储 运维 监控
深入Linux基础:文件系统与进程管理详解
深入Linux基础:文件系统与进程管理详解
47 8
|
13天前
|
存储 Linux 文件存储
Linux文件系统
Linux文件系统 一切皆文件 在Linux中,“一切皆文件”的概念意味着系统中的所有资源,包括硬件设备、目录及进程等,均被视为文件。这种设计简化了操作和管理,具体包括: 普通文件:存储数据的常规文件。 目录文件:包含其他文件和子目录的文件。 进程文件:在/proc目录下代表系统中运行的进程。 设备文件:位于/dev目录,代表硬件设备。 网络字节流套接字文件:用于网络通信的数据流。 链接文件:指向另一个文件的符号链接或硬链接。 管道文件:用于进程间通信的文件。
45 7
|
9天前
|
网络协议 安全 网络性能优化
了解访问控制列表 (ACL):概念、类型与应用
了解访问控制列表 (ACL):概念、类型与应用
19 2
|
10天前
|
网络虚拟化 数据安全/隐私保护 数据中心
对比了思科和华为网络设备的基本配置、接口配置、VLAN配置、路由配置、访问控制列表配置及其他重要命令
本文对比了思科和华为网络设备的基本配置、接口配置、VLAN配置、路由配置、访问控制列表配置及其他重要命令,帮助网络工程师更好地理解和使用这两个品牌的产品。通过详细对比,展示了两者的相似之处和差异,强调了持续学习的重要性。
24 2
|
1月前
|
网络协议 网络虚拟化 数据安全/隐私保护
访问控制列表(ACL)配置
访问控制列表(ACL)配置
访问控制列表(ACL)配置
|
1月前
|
网络协议 安全 网络安全
Cisco-命名ACL访问控制列表
Cisco-命名ACL访问控制列表
|
1月前
|
安全 网络协议 网络安全
Cisco-扩展ACL访问控制列表
Cisco-扩展ACL访问控制列表
|
1月前
|
安全 网络安全 数据安全/隐私保护
Cisco-标准ACL访问控制列表
Cisco-标准ACL访问控制列表