基本权限和特殊权限

最新推荐文章于 2023-06-05 13:56:53 发布
最新推荐文章于 2023-06-05 13:56:53 发布
阅读量978 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuxingyu_ling/article/details/88851123
版权
本文介绍如何使用ACL设置文件和目录的访问控制权限,包括针对用户的权限设置、子目录继承父目录权限的方式,以及如何备份和恢复ACL权限。此外,还详细讲解了SUID、SGID和SBIT三种特殊权限的作用及应用场景。
摘要由CSDN通过智能技术生成

基本权限

基本权限ACL

ACL权限是针对文件和目录的访问控制权限,ACL允许一个用户给任何用户和用户组设置任何文件和目录的访问权限。ACL可以看作UGO的扩展,但其却又有UGO做不到的。

  • ACL可以针对用户设置权限;
  • ACL可以对用户组设置权限;
  • ACL可以使子目录或者文件继承父目录的权限。

基本权限ACL的设置

setfacl设置ACL权限;

setfacl -m配置ACL参数给文件或者目录;

setfacl -x删除ACL 权限;

setfacl -b移除所有ACL配置参数;

setfacl -k移除默认的ACL权限;

setfacl -R递归配置ACL 权限;

setfacl -d配置默认的ACL 参数,只对目录有效,在该目录下新建的数据会引用次默认值。

getfacl -d查看文件的ACL权限。

`给普通用户user1设置ACL权限,使得user1对文件有写权限`
[root@localhost tmp]# ls -l
total 0
-rw-r--r--. 1 root root 0 Mar 27 17:46 aclfile
[root@localhost tmp]# su user1
[user1@localhost tmp]$ echo "hello" >/tmp/aclfile
bash: /tmp/aclfile: Permission denied
[user1@localhost tmp]$ ll 
total 0
-rw-r--r--. 1 root root 0 Mar 27 17:46 aclfile
[user1@localhost tmp]$ exit
[root@localhost tmp]# ll
total 0
-rw-r--r--. 1 root root 0 Mar 27 17:46 aclfile
[root@localhost tmp]# getfacl aclfile
# file: aclfile
# owner: root
# group: root
user::rw-
group::r--
other::r--

[root@localhost tmp]# setfacl -m u:user1:rw aclfile
[root@localhost tmp]# getfacl aclfile
# file: aclfile
# owner: root
# group: root
user::rw-
user:user1:rw-
group::r--
mask::rw-
other::r--

[root@localhost tmp]# su user1
[user1@localhost tmp]$ ls -l    `#查看权限 后缀有+`
total 0
-rw-rw-r--+ 1 root root 0 Mar 27 17:46 aclfile
[user1@localhost tmp]$ echo "hello" >/tmp/aclfile
[user1@localhost tmp]$ cat aclfile
hello

`设置ACL查看对目录的影响`
[root@localhost tmp]# su user1
[user1@localhost tmp]$ ls -l
total 0
drwxrwxrwx. 2 root root 6 Mar 27 18:14 acldir
[user1@localhost tmp]$ cd acldir
[user1@localhost acldir]$ touch file1
[user1@localhost acldir]$ mkdir dir1
[user1@localhost acldir]$ ls -l
total 0
drwxrwxr-x. 2 user1 user1 6 Mar 27 18:15 dir1
-rw-rw-r--. 1 user1 user1 0 Mar 27 18:15 file1
[user1@localhost acldir]$ getfacl dir1
# file: dir1
# owner: user1
# group: user1
user::rwx
group::rwx
other::r-x

[user1@localhost acldir]$ getfacl file1
# file: file1
# owner: user1
# group: user1
user::rw-
group::rw-
other::r--

[root@localhost tmp]# setfacl -m d:u:user2:rwx acldir
[root@localhost tmp]# su user1 
[user1@localhost tmp]$ ls -l
total 0
drwxrwxrwx+ 4 root root 56 Mar 27 18:19 acldir
[user1@localhost tmp]$ cd acldir
[user1@localhost acldir]$ ls -l
total 4
drwxrwxr-x. 2 user1 user1 6 Mar 27 18:15 dir1
-rw-rw-r--. 1 user1 user1 0 Mar 27 18:15 file1
[user1@localhost acldir]$ mkdir dir3
[user1@localhost acldir]$ touch file3
[user1@localhost acldir]$ ls -l
total 4
drwxrwxr-x. 2 user1 user1 6 Mar 27 18:15 dir1
drwxrwxrwx+ 2 user1 user1 6 Mar 27 18:25 dir3
-rw-rw-r--. 1 user1 user1 0 Mar 27 18:15 file1
-rw-rw-rw-+ 1 user1 user1 0 Mar 27 18:25 file3
`文件继承了目录acldir的权限使得user2对在acldir下新建的文件都有读写执行权限`
[user1@localhost acldir]$ getfacl file3
# file: file3
# owner: user1
# group: user1
user::rw-
user:user2:rwx			#effective:rw-
group::rwx			#effective:rw-
mask::rw-
other::rw-

`目录继承了目录acldir的权限使得user2对在acldir下新建的目录都有读写执行权限`
[user1@localhost acldir]$ getfacl dir3
# file: dir3
# owner: user1
# group: user1
user::rwx
user:user2:rwx
group::rwx
mask::rwx
other::rwx
default:user::rwx   `#这次多出了一些以 default 开头的行,这些 default 权限信息只能在目录上设置,然后会被目录中创建的文件和目录`
default:user:user2:rwx
default:group::rwx
default:mask::rwx
default:other::rwx

基本权限ACL的修改

setfacl -m 如果用户没有ACL权限的时候,此操作为其设置ACL权限;

如果用户已存在ACL权限,此操作修改ACL权限。

setfacl -x仅删除指定的ACL权限;

[root@localhost tmp]# getfacl aclfile
# file: aclfile
# owner: root
# group: root
user::rw-
group::r--
mask::r--
other::r--

[root@localhost tmp]# getfacl aclfile
# file: aclfile
# owner: root
# group: root
user::rw-
group::r--
mask::r--
other::r--

[root@localhost tmp]# setfacl -m u:user1:rwx aclfile
[root@localhost tmp]# setfacl -m g:user2:rwx aclfile
[root@localhost tmp]# getfacl aclfile
# file: aclfile
# owner: root
# group: root
user::rw-
user:user1:rwx
group::r--
group:user2:rwx
mask::rwx
other::r--

[root@localhost tmp]# setfacl -x u:user1 aclfile
[root@localhost tmp]# getfacl aclfile
# file: aclfile
# owner: root
# group: root
user::rw-
group::r--
group:user2:rwx
mask::rwx
other::r-

setfacl -b删除所有的ACL权限。

[root@localhost tmp]# getfacl aclfile
# file: aclfile
# owner: root
# group: root
user::rw-
group::r--
mask::r--
other::r--

[root@localhost tmp]# setfacl -m u:user1:rwx aclfile
[root@localhost tmp]# setfacl -m g:user2:rwx aclfile
[root@localhost tmp]# getfacl aclfile
# file: aclfile
# owner: root
# group: root
user::rw-
user:user1:rwx
group::r--
group:user2:rwx
mask::rwx
other::r--

[root@localhost tmp]# 
[root@localhost tmp]# setfacl -b aclfile
[root@localhost tmp]# getfacl aclfile
# file: aclfile
# owner: root
# group: root
user::rw-
group::r--
other::r--

备份和恢复ACL权限

  • 将设置的ACL权限写入文件中,之后删除ACL权限,当需要ACL权限的时候,可以使用setfacl -restore 写入权限的文件名恢复ACL权限。
[root@localhost tmp]# getfacl acldir
# file: acldir
# owner: root
# group: root
user::rwx
group::r-x
other::r-x

`设置ACL权限`
[root@localhost tmp]# setfacl -m u:user1:rwx acldir
[root@localhost tmp]# setfacl -m g:user2:rwx acldir
[root@localhost tmp]# getfacl acldir
# file: acldir
# owner: root
# group: root
user::rwx
user:user1:rwx
group::r-x
group:user2:rwx
mask::rwx
other::r-x

`将ACL权限写入文件中保存`
[root@localhost tmp]# getfacl -R  acldir/ >mydir.acl 
[root@localhost tmp]# cat mydir.acl 
# file: acldir/
# owner: root
# group: root
user::rwx
user:user1:rwx
group::r-x
group:user2:rwx
mask::rwx
other::r-x

`将ACL权限全部移除`
[root@localhost tmp]# setfacl -R -b acldir
[root@localhost tmp]# getfacl -R acldir
# file: acldir
# owner: root
# group: root
user::rwx
group::r-x
other::r-x

`恢复ACL权限`
[root@localhost tmp]# setfacl --restore mydir.acl
[root@localhost tmp]# getfacl -R acldir
# file: acldir
# owner: root
# group: root
user::rwx
user:user1:rwx
group::r-x
group:user2:rwx
mask::rwx
other::r-x

特殊权限

特殊权限SUID

  • 对二进制程序有效;
  • 执行者对该程序需要有执行权限才可以使用;
  • suid仅在执行该程序的过程有效;
  • suid主要使用在目录上;
  • 执行者具有该程序属主的权限。
[root@localhost tmp]# ls -l /etc/shadow
----------. 1 root root 762 Mar 28 18:31 /etc/shadow
[root@localhost tmp]# ls -l /usr/bin/passwd
-rwsr-xr-x. 1 root root 27832 Jun 10  2014 /usr/bin/passwd
  • 密码文件存在/etc/shadow中,可以看出所有的用户对该文件均无任何权限,但所有的用均可修改密码,将密码写入该文件中。这是由于在/usr/bin/passwd具有特殊权限suid,可以使得执行用户具有root的权限,因此可以对修改自己密码,将密码写入/etc/shadow中。
`复制/usr/bin/passwd的文件到当前目录,该文件只有root用户具有读、写、执行,可以将密码写入/etc/shadow,其他用户无此权限。`
[root@localhost tmp]# cp -r /usr/bin/passwd ./
[root@localhost tmp]# ls -l
total 28
-rwxr-xr-x. 1 root root 27832 Mar 28 18:27 passwd
[root@localhost tmp]# su user
su: user user does not exist
[root@localhost tmp]# su user1
[user1@localhost tmp]$ ./passwd 
Changing password for user user1.
Changing password for user1.
(current) UNIX password: 
New password: 
Retype new password: 
passwd: Authentication token manipulation error
[user1@localhost tmp]$ exit
[root@localhost tmp]# ls -l
total 28
-rwxr-xr-x. 1 root root 27832 Mar 28 18:27 passwd
`赋予特殊权限给用户,使得执行者拥有root权限`
[root@localhost tmp]# chmod u+s ./passwd
[root@localhost tmp]# ls -l
total 28
-rwsr-xr-x. 1 root root 27832 Mar 28 18:27 passwd
[root@localhost tmp]# su user1
[user1@localhost tmp]$ ls -l
total 28
-rwsr-xr-x. 1 root root 27832 Mar 28 18:27 passwd
[user1@localhost tmp]$ ./passwd
Changing password for user user1.
Changing password for user1.
(current) UNIX password: 
New password: 
Retype new password: 
passwd: all authentication tokens updated successfully.

特殊权限SGID

  • SGID对二进制文件有效;
  • 程序的执行者对于该程序来说,需要具备执行权限;
  • 主要对于目录来说。
`新建文件和目录`
[root@localhost tmp]# touch file
[root@localhost tmp]# mkdir dir
[root@localhost tmp]# ls -l
total 0
drwxr-xr-x. 2 root root 6 Mar 28 18:43 dir
-rw-r--r--. 1 root root 0 Mar 28 18:43 file
[root@localhost tmp]# chmod 777 dir
[root@localhost tmp]# su user1
[user1@localhost tmp]$ cd dir
[user1@localhost dir]$ touch file1
[user1@localhost dir]$ mkdir dir1
`谁建立,属主和属主时谁`
[user1@localhost dir]$ ls -l
total 0
drwxrwxr-x. 2 user1 user1 6 Mar 28 18:45 dir1
-rw-rw-r--. 1 user1 user1 0 Mar 28 18:45 file1
[user1@localhost dir]$ exit
`修改dir目录的属组,并添加sgid权限`
[root@localhost tmp]# chown :user2 dir
[root@localhost tmp]# chmod g+s dir
[root@localhost tmp]# ls -l
total 0
drwxrwsrwx. 3 root user2 31 Mar 28 18:45 dir
-rw-r--r--. 1 root root   0 Mar 28 18:43 file
[root@localhost tmp]# su user1
[user1@localhost tmp]$ cd dir
[user1@localhost dir]$ touch file2
[user1@localhost dir]$ mkdir dir2
`在dir目录下新建的文件和目录继承了父目录的属组user2`
[user1@localhost dir]$ ls -l
total 0
drwxrwxr-x. 2 user1 user1 6 Mar 28 18:45 dir1
drwxrwsr-x. 2 user1 user2 6 Mar 28 18:46 dir2
-rw-rw-r--. 1 user1 user1 0 Mar 28 18:45 file1
-rw-rw-r--. 1 user1 user2 0 Mar 28 18:46 file2

特殊权限SBIT

  • 针对other设置,使得每个用户仅能删除自己所建的文件。
`新建目录,初始无SBIT权限`
[root@localhost tmp]# mkdir dir
[root@localhost tmp]# ls -l
total 0
drwxr-xr-x. 2 root root 6 Mar 28 18:59 dir
[root@localhost tmp]# chmod 77 dir
[root@localhost tmp]# su user1
[user1@localhost tmp]$ cd dir
[user1@localhost dir]$ touch file
[user1@localhost dir]$ mkdir dir
[user1@localhost dir]$ ls -l
total 0
drwxrwxr-x. 2 user1 user1 6 Mar 28 19:00 dir
-rw-rw-r--. 1 user1 user1 0 Mar 28 19:00 file
[user1@localhost dir]$ su user2
Password: 
[user2@localhost dir]$ ls -l
total 0
drwxrwxr-x. 2 user1 user1 6 Mar 28 19:00 dir
-rw-rw-r--. 1 user1 user1 0 Mar 28 19:00 file
[user2@localhost dir]$ rm -f file
[user2@localhost dir]$ rm -rf dir
[user2@localhost dir]$ ls -l
total 0
[user2@localhost dir]$ exit
[user1@localhost dir]$ exit
`添加SBIT权限`
[root@localhost tmp]# chmod o+t dir
[root@localhost tmp]# su user1
[user1@localhost tmp]$ ls -l
total 0
d---rwxrwt. 2 root root 6 Mar 28 19:00 dir
[user1@localhost tmp]$ cd dir
[user1@localhost dir]$ ls -l
total 0
[user1@localhost dir]$ touch file
[user1@localhost dir]$ mkdir dir
[user1@localhost dir]$ su user2
Password: 
[user2@localhost dir]$ ls -l
total 0
drwxrwxr-x. 2 user1 user1 6 Mar 28 19:01 dir
-rw-rw-r--. 1 user1 user1 0 Mar 28 19:01 file
`无权限删除user1所建立的问价和目录`
[user2@localhost dir]$ rm -rf dir
rm: cannot remove ‘dir’: Operation not permitted
[user2@localhost dir]$ rm -rf file
rm: cannot remove ‘file’: Operation not permitted
  • 具有SBIT后,每个用户仅能删除自己的文件,其他用户对该文件无删除操作,保证文件的安全性。

总结

  • 基本权限ACL可以指定用户和用户组对某文件或者某目录的权限操作;
  • 子目录或者子文件可以继承父目录的权限;
  • 基本权限可以备份恢复;
  • 特殊权限SUID可以使得运行程序的进程具有属组的权限,执行自己所不具有的权限;
  • 特殊权限SUID使得在该目录下新建的文件和目录继承该目录的属组;
  • 特殊权限SBIT使得每个用户仅能删除自己的文件,提高文件安全性。
liuxingyu_ling
关注
特殊权限
gang926的博客
04-13 624
1.      特殊权限及文件系统访问控制列表引入:备注:红色表示临时调用特殊权限有三个SUID:运行某程序时,相应进程的属主是程序文件自身的属主,而不是启动者,启动者可以临时拥有root权限 格式:     chmod u+s FILE                    chmodu-s FILE 注意:如果FILE本身原有执行权限,则SUID显示为s,负责显示S举例:注意:发现一个文件的属...
文件权限和属性: drwxr-xr-x 具体含义
热门推荐
soindy
06-26 1万+
查看文件属性:r - read w - write x - execute权限:7 = all rights 6 = read and write 5 = read and execute 4 = read only 3 = execute and write 2 = write only 1 = execute only 0 = no rights比如: drwxrwxrwx+其中第一位表示文件类
特殊权限:SUID,SGID,Sticky
weixin_33860147的博客
08-15 116
特殊权限passwd:sSUID: 运行某程序时,相应进程的属主是程序文件自身的属主,而不是启动者;    chmod u+s FILE    chmod u-s FILE        如果FILE本身原来就有执行权限,则SUID显示为s;否则显示S;SGID: 运行某程序时,相应进程的属组是程序文件自身的属组,而不是启动者所属的基本组;    chmod g+s FILE    chmod g...
Linux系统上的特殊权限
weixin_33691817的博客
09-17 152
Linux系统上的特殊权限 特殊权限:SUID, SGID, STICKY 安全上下文: 1、进程以某用户的身份运行; 进程是发起此进程用户的代理,因此以此用户的身份和权限完成所有操作; 2、权限匹配模型: (1) 判断进程的属主,是否为被访问的文件属主;如果是,则应用属主的权限;否则进入第2步; (2) 判断进程的属主,是否属于被访问的文件属组;如果是,则应用...
Linux系统基本权限ACL及特殊权限命令操作修改
01-09
Linux系统基本权限ACL及特殊权限命令操作修改 一、基本权限 ACL 1、区分 请思考:使用chmod能针对独立用户设置文件不同的权限吗? user01 rwx file1 user02 rw file1 user03 r file1 user04 rwx file1 user05 rw ...
第7章-文件系统基本权限和高级权限管理1
08-08
本节主要讲解了CentOS7中关于文件权限的管理和控制,包括基本权限特殊权限。 7.1 文件的基本权限:r w x (UGO) 文件权限由三个主要部分组成:读(r)、写(w)和执行(x)。这些权限可以分配给三个不同的类别:所有者...
Linux基础课件特殊权限设置SUID权限共10页.pdf
11-21
课件首先会介绍Linux的文件权限模型,该模型由读(r)、写(w)和执行(x)三个基本权限构成,分别对应于文件的所有者、同组用户和其他用户的权限位。对于可执行文件,SUID权限会显示为一个额外的s字符,位于所有者...
权限管理-文件特殊权限SetGID
10-17
SetGID是第二个权限位的特殊形式,它位于所有者权限和所属组权限之间。当文件的SetGID标志被设置时,会有以下两个主要行为: 1. **目录上的SetGID**:如果SetGID应用于目录,那么在该目录下创建的新文件或子目录将...
基本权限
andrewllll的博客
11-02 138
哈希算法 高效解决问题的算法 一种算法就是用来解决一种特定的问题的 哈希:可以把文本内容/一串字符计算成一串hash值 常见的hash算法 md5 aha512 sha256 我们无需研究hash算法的原理,只需要掌握hash值的特点即可, hash值有三大特点: 1、传入的内容一样,并且采用hash算法一样,得到hash值一定一样 2、hash值不可逆推 3、hash值的长度取决采用的算法,与传入的内容无关 用途: 1+2==》密码加密 1+3==》校验文件的完整性 .
特殊权限管理
bug_maker
09-18 483
用户在执行进程命令时,需要调用一个属主和属组是用户本身的 bash 进程,同时对应 一个属主和属组是 root 的文件,在执行时一其他用户的身份执行命令;当然这种权限对于属主和属组时 root 的文件; 对于这个命令/bin/ls,属主和属组都是root,westos进程在调用这个命令时,应用的就是other的x权限,当这个进程执行时ls进程的属主和属组就是westos,通过这种机制可以防...
特殊权限(SUID、SGID、SBIT)
weixin_49000538的博客
08-01 593
Set UID 当s这个标志出现在文件所有者的x权限上时,此时就被称为Set UID,简称为SUID。 作用: 1、SUID仅对二进制程序有效 2、执行者对于该程序需要具有x的可执行权限 3、本权限仅在执行该程序的过程中有效 4、执行者将具有该程序拥有者的权限 SUID的目的是:让本来没有相应权限的用户运行这个程序是可以访问他没有权限访问的资源。 具体实例演示:以/bin/passwd为例 1、首先创建测试用户chenyi1 2、在/tmp目录下创建passwd测试文件 3、切换到测试用户chenyi1
特殊权限(suid、guid)
qyy970525的博客
04-22 452
首先说一下问什么在没有给普通用户sudo权限,普通用户会用修改自己的密码的权限呢? 下面解释一下 suid权限 [root@lianxi ~]# ll /usr/bin/passwd -rwsr-xr-x. 1 root root 27832 Jun 10 2014 /usr/bin/passwd 这里我们能看到属主权限这里有一个s权限 所以这时候能对自己修改密码 [laow@lianxi ~]...
用户权限特殊权限
weixin_34258078的博客
08-03 290
只有管理员才可以改变文件属主: chown username file... 把文件的属主改为username -R 修改目录及其内部文件的属主 --reference=/path/to/somefile file1 引用参考,将file1文件的属主改为somefile的属主 ...
linux特殊权限(suid、sgid、sbit)
最新发布
m0_71163619的博客
06-05 2782
特殊权限suid、sgid、sbit
Linux特殊权限之SUID设置方法详解
资源摘要信息:"Linux特殊权限设置SUID权限教程" Linux系统是一个多用户操作系统,为了保证系统安全和用户数据安全,Linux采用了一系列的权限控制机制。其中,特殊权限是一种重要的权限设置,它能够赋予用户或用户组...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值