在Linux系统中,每个文件都有一个属主和属组。另外有一类用户(第三类用户,非属主也不在属组内的)。每个文件,我们都可以为属主,属组和第三类用户设置读取,写入,执行权限。
| 命令 | 说明 | 值 |
|---|---|---|
| R | 读 | 4 |
| W | 写 | 2 |
| X | 执行 | 1 |
在Linux中使用ll命令可以查看文件权限。
每个文件前面的drwxr-xr-x或-rw-rw-r-就是当前文件的权限。
1.第一位表示文件类型,dr是目录文件,l是连接文件,-是普通文件,p是管道。
2.第2-4位表示这个文件的属主拥有的权限。r是读,w是写,x是执行。
3.第5-7位表示和这个文件属性所在同一个组的用户所具有的权限。
4.第8-10位表示其他用户所具有的权限。
例如:
drwxr-xr-x 4 oracle dba 4096 May 20 11:47 oralog1
表示oralog1是个目录,oracle拥有读写执行的权限,和oracle所在同一个dba组里用户拥有只读和执行的权限,剩下的其他用户拥有只读和执行权限。
文件特权SUID和SGID
有时,普通用户需要能够完成一些具备特权的用户才能完成的任务。普通用户在运行SUID可执行文件时,此时该进程的权限鄙视运行这个可执行文件的普通用户对应的权限,而是这个可执行文件属主的权限;普通用户在运行SGID可执行文件时,此时该进程就拥有了这个可执行文件属组的权限。例如:-rwsr-xr-x. l root root 28k 8月 9 2019 /bin/passwd
文件权限中的这个s就表示SUID可执行文件,passwd的所有者的权限,即root权限,仅passwd命令执行过程。
1.SUID
是一种对二进制程序进行设置的特殊权限,可以让二进制程序的执行者临时拥有所有者的权限。
2.SGID
用户组特殊权限,当s标志出现文件所有者的x权限时称为SUID,那么s出现在用户组的x权限时称为SGID。
3.SBIT
特殊权限位可以确保用户只能删除自己的文件,而不能删除其他用户的文件,只对目录有效。
4.关于SBIT,SUID,SGID权限设置
关于SBIT,SUID,SGID权限设置和rwx的421类似,suid,sgid,sbit也是421.
文件加锁
为了系统安全,我们经常需要把系统中的一些关键文件设置为不可修改,或者把一些日志文件设置成只能追加。
例如:
chattr +i /etc/resolv.conf
设置完成后,可以使用lsattr检查一下
lsattr /etc/resolv.conf
这时能看到输出
------i--------/etc/resolv.conf
,输出的i表示该文件已经是无法编辑的状态,有一些文件希望用户只能进行追加而不能进行其他操作。
chattr +a /etc/tesolv.conf
a则表示仅拥有追加写入的状态,没有覆盖权限。
通过对关键文件加锁,我们可以有效地避免其被无意或恶意修改与删除;通过对日志文件设置只能追加写入,可以提高用户操作的审计能力。
977
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
