特殊权限:
mode:
ls -l
安全上下文
1、进程以某用户身份运行;进程是发起此进程的用户的代理,其用户身份进程发起者;
2、权限匹配模型:
(1) 进程的属主,是否与被访问的文件属主相同;
(2) 进程的属主所属于的组当中,是否有一个与被访问的文件的属组相同;
(3) 以other的权限进行访问;
suid: Set UID
前提:此类文件为有可执行权限的命令
任何用户运行此命令为一个进程时,此进程的有效身份不是发起者,而是命令文件自身的属主;
chmod u+s FILE...
使用ls -l查看时,此s可能显示为大写或小写两种形式之一;
属主原有执行权限时,显示为小写;
sgid: Set GID
前提:
常用方法:如果将目录的属组设置SGID权限之后,所有用户在此目录创建文件的属组不再是用户的基本组,而是目录的属组
chmod g+s FILE...
有那么一个目录:
指定的用户都能够在其中创建文件,也能删除自己的文件;但不能删除别人的文件;
sticky: 沾滞位
chmod o+t FILE...
suidsgidsticky
000:
001:
010
011
100
101
110
111
chmod 7755
练习:
1、让普通用户使用/tmp/cat能查看管理员才有权限访问的文件;
2、新建目录/project/test,让普通用户hadoop和openstack对此目录都能创建文件,且创建的文件的属组为此目录的属组,而非用户自身的属组,此外还要求,每个用户不能删除其它人的文件;