运维最新【好记性不如烂笔头】linux权限管理之特殊权限(1)，2024年您应该知道的技术之一-CSDN博客

本文链接：https://blog.csdn.net/2401_83945851/article/details/138797311

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

递归ACL权限，递归是父目录在设定ACL权限时，所有的子文件和子目录也会拥有相同的ACL权限，这时设定的是针对已经存在的文件。

u：用户名：权限文件名，为用户分配ACL权限
例如：setfacl -m u：sky：rx -R /home/av，赋予sky这个用户读和执行的权限，av目录下所有文件都赋予了读和执行的权限。尽量少用递归ACL权限，会造成权限溢出。

二、文件不可改变位权限

chattr命令 [+ - =]【选项】文件或目录名

最常用的是-i和-a

-i：文件不可删，不可修改。如果对文件设置i属性，那么不允许对文件进行删除、改名，也不能添加和修改数据；如果对目录设置i属性，那么只能修改目录下文件的数据，但不允许建立或删除文件。

例如：此时对bols文件进行了赋予chattr +i bols属性命令。使用lsattr命令查看你会发现多了i属性，而且不能对其进行删除如下图：

在这里插入图片描述

设置了+i属性，不让删除

在这里插入图片描述

-a：文件不可删，可修改。如果对文件设置a属性，那么只能在文件中增加数据，但不能删除和修改数据；如果对目录设置a属性，那么只允许在目录中建立和修改文件，但不允许删除文件。

例如：此时对bols文件进行了赋予chattr +a bols属性命令，也可以用lsattr命令查看发现多了a属性如下图：

在这里插入图片描述

设置+a属性了，也是不让删除的

在这里插入图片描述

注意：使用vi进行修改是行不通的，系统不好判断是修改还是新增。但使用echo >> av /home/user1/bols重定向输出是可行的。

三、文件特殊权限

通过观看学习视频，总结了下，大致的把文件特殊权限分为这三个：suid(SetUID)，sgid(SetGID)，sbit(Sticky BIT)。

首选来了解下suid，下面我就采用简写了。

passwd命令拥有suid权限，所以普通用户可以修改自己的密码

cat命令没有suid权限，普通用户不能查看/etc/shadow文件中的类容

设定suid的方法，4代表suid

有设定当然也有对应的取消suid的方法

使用suid权限时得慎重，这家伙也是很危险的。

了解了suid权限后，再来了解下sgid（SetUID）权限，针对文件的作用。

sgid针对目录的作用

例如：

/usr/bin/locate是可执行二进制程序，可以赋予sgid特使权限
执行用户lamp对/usr/bin/locate命令拥有执行权限
执行/usr/bin/locate命令时，组身份会升级为slocate组，而slocate组对/var/lib/mlocate/mlocate.db数据库拥有r（读）权限，普通用户可以使用locate命令查询mlocate.db数据库
命令结束时，用户lamp的组身份返回lamp组

设定sgid，2代表sgid

取消sgid

了解完sgid，就剩下最后的sbit特殊权限了，粘着位作用。

粘着位目前只对目录有效
普通用户对该目录拥有w（写）和x（执行）权限，普通用户在此目录拥有写入权限
如果没有粘着位，普通用户拥有w（写）权限，所以可以删除此目录下所有文件，包括其他用户建立的文件。一旦赋予了粘着位，只有root可以删除所有文件，普通用户就算拥有w（写）权限，也只能删除自己建立的文件，但不能删除其他用户建立的文件。

四、sudo权限

sudo权限，把原本只能超级用使用的命令对普通用户赋予权限，操作对象是系统命令。

sudo使用