特殊权限&&文件系统访问控制列表

最新推荐文章于 2022-07-13 00:13:28 发布
最新推荐文章于 2022-07-13 00:13:28 发布
阅读量154 收藏
点赞数
原文链接:https://segmentfault.com/a/1190000015799295
版权

安全上下文

1、进程以某用户的身份运行,进程是发起此进程用户的代理,因此以此用户的身份和权限完成操作;

2、权限匹配模型:
(1) 判断进程的属主,是否为被访问的文件属主;如果是,则应用属主的权限;否则进入第2步;
(2) 判断进程的属组,是否属于被访问的文件属组;如果是,则应用属组的权限;否则进入第3步;
(3) 应用other的权限;

SUID

默认情况下,当一个用户发起一个进程去访问一个文件,那么该进程就是以发起这个进程的用户的身份运行的,同样也是以该用户的权限完成操作的。

SUID的作用:用户运行某程序时,如果此程序文件拥有SUID,那么该进程将以此文件属主的身份运行程序;

管理文件的SUID:

chmod u+|-s FILE...
展示位置:属主的执行权限位
如果属主原有执行权限,则显示为小写s;
否则,为大写S;

SGID

默认情况下,用户在一个目录下创建文件的属组为用户的私有组或者基本组;
SGID的功能:用户在具有SGID目录下创建的文件或目录的属组为该目录的属组;

管理文件的SGID权限:

chmod g+|-s FILE...
展示位置:属组的执行权限位
如果属组原有执行权限,则显示为小写s;
否则,为大写S;

Sticky

默认情况下,当一个目录属组具有写权限时,如果用户的属组为该目录属组,那么该用户就可以删除在该目录下的所有文件;

Sticky的功用:同组用户或系统上的所有用户在具有Sticky权限的目录下只能删除属主为自身的文件,不能删除同属组的其他文件;

管理文件的SUID权限:

chmod o+|-t FILE…
展示位置:其他用户的执行权限位
如果其他用户原本有执行权限,显示为小写t;
否则,为大写T;

系统上的/tmp和/var/tmp目录默认均有sticky权限;

管理特殊权限的另一种方式

suid   sgid      sticky    八进制权限
0        0        0
0        0        1
0        1        0
0        1        1
1        0        0
1        0        1
1        1        0
1        1        1
基于八进制方式赋权时,可用于默认的三位八进制数字左侧再加一位八进制数字;
例如: chmod 1777

文件访问控制列表

facl: file access control lists文件的额外赋权机制:在原来的u,g,o之外,另一层让普通用户能控制赋权给另外的用户或组的赋权机制;相当于文件的一个隐藏属性。

getfacl命令

查看某文件的隐藏属性

getfacl FILE…
    user:USERNAME:MODE
    group:GROUPNAME:MODE

setfacl命令

1、赋权给用户:

setfacl -m u:USERNAME:MODE FILE…

2、赋权给组:

setfacl -m g:GROUPNAME:MODE FILE…

3、撤销赋权:

setfacl -x u:USERNAME FILE…
setfacl -x g:GROUPNAME FILE…

练习

1、让普通用户能使用/tmp/cat去查看/etc/shadow文件;

(1) 将/usr/bin/cat复制到/tmp目录下
# cp /usr/bin/cat /tmp
(2) 给/tmp/cat文件赋予SUID权限
# chmod u+s /tmp/cat

clipboard.png

(3) 利用centos用户登录系统,执行/tmp/cat程序来查看/etc/shadow文件
# /tmp/cat /etc/shadown

clipboard.png

2、创建目录/test/data,让某组内普通用户对其有写权限,且创建的所有文件的属组为目录所属的组;此外,每个用户仅能删除自己的文件;

(1) 创建目录/test/data,然后将目录的属组改为centos,并且给该目录的属组添加写权限 注:没有centos组,首先先创建centos组
# mkdir -pv /test/data
# chown :centos /test/data
# chmod g+w /test/data

clipboard.png

(2) 分别创建user1, user2, user3三个用户,将centos作为三个用户的附加组
# useradd user1
# useradd user2
# useradd user3
# usermod -aG centos user1
# usermod -aG centos user2
# usermod -aG centos user3

clipboard.png

(3) 分别切换三个用户,在/test/data/目录下创建一个文件

此时每个用户创建的文件的属主和属组都是自身的用户名;

clipboard.png

(4) 给/test/data目录添加SGID属性,然后再执行第(4)步骤
# chmod g+s /test/data

在给该目录添加了SGID权限位后,用户在该目录下创建的文件的属组都为该目录的属组;此时因为该目录具有写权限权限,而且三个用户的附加组都为该目录的属组。所以,此时,对于这三个用户中的任意用户,甚至是说,附加组或基本组为该目录的属组的用户,对于该目录下的所有文件都可以进行删除。

clipboard.png

(5) 给/test/data目录添加Sticky属性,验证普通用户是否可以删除属主为其他用户的文件
# chmod o+t /test/data

当目录添加了Sticky权限后,用户只能删除在该文件下属主为自身的文件。

clipboard.png

clipboard.png

weixin_33805557
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
第六章作业---1.7
LengYan26的博客
01-08 459
1、新建目录要求如下: 1)/pub目录为公共存储目录对所有用户可以读,写,执行,但用户只能删除属于自己的文件(t权限) mkdir /pub---创建目录 chmod 777 /pub---所有用户都有读,写,执行权限 chmod o+t /pub---其他用户只能删除自创文件 2)/sc目录为生产部存储目录只能对生产部人员可以写入,并且生产部人员所建立的文件都自动归属到shengchan中 mkdir /sc---创建目录 chown :sheng...
Linux5.6和6.7作业
weiaibudu的博客
05-12 223
5.6作业 1、创建mygroup组群,再创建myuser用户,并且此用户属于mygroup组群,接着以myuser身份登 录,创建ex和hv两个文件于/home/myuser目录,并使hv文件的同组用户是root。请依次写出相应执行的命令。 [root@bogon ~]# groupadd mygroup [root@bogon ~]# useradd myuser [root@bogon ~]# gpasswd -a myuser mygroup [root@bogon ~]# su - myuser
linux文件的权限机制,linux 文件特殊权限
weixin_39658966的博客
04-30 144
Linux文件系统上的特殊权限进程的安全上下文:前提:进程有属主(进程以哪个用户的身份运行);文件有属主和属组;(1) 用户是否能够把某个可执行程序文件启动为进程,取决于用户对程序文件是否拥有执行权限;(2) 程序启动为进程后,此进程的属主为当前用户,也即进程的发起者;进程所属的组,为发起者的基本组;(3) 进程拥的访问权限,取决其属主的访问权限:(a) 进程的属主,同文件属主,则应用文件属主权限...
9. Linux权限管理(2)
qq_27009517的博客
08-01 374
9.11 Linux SetUID(SUID)特殊权限 在讲解《权限位》一节时提到过,其实除了 rwx 权限,还会用到 s 权限,例如: [root@localhost ~]# ls -l /usr/bin/passwd -rwsr-xr-x. 1 root root 22984 Jan 7 2007 /usr/bin/passwd 可以看到,原本表示文件所有者权限中的 x 权限位,却出现了 s 权限,此种权限通常称为SetUID,简称SUID 特殊权限。 SUID 特殊权限仅...
windows文件夹的访问控制列表
weixin_51042028的博客
07-13 577
访问控制列表(组或用户名)中添加用户本身(我的是king),后在用户权限中即访问控制项修改权限即可。
Linux网络操作系统基础:特殊权限.pptx
06-16
访问控制列表 - ACL;ACL - 相关命令;获取文件ACL - getfacl;获取文件ACL - 示例;设置文件ACL - setfacl;设置文件ACL - 示例;更改文件或目录ACL - chacl;更改文件或目录ACL - 示例;其他管理权限;命令 - su/su-;相关...
国微CMS部队门户系统(部队网站系统)-PHP
06-21
7、表单系统可以自定义字段,每个字段可以设置为列表和查询;数据可以导入导出excel;各种报名可以配套手机短信。8、支持系统设置IP 白名单和黑名单;支持后台登陆登陆的ip控制、须支持栏目可以设置密码访问、支持...
Windows Server 2003系统安全管理
07-02
4.2.2 访问控制列表 4.2.3 多重NTFS权限 4.2.4.NTFS权限继承 4.3.NTFS权限设置 4.3.1 设置NTFS权限基本策略和原则 4.3.2 取消“Everyone”完全控制权限 4.4 特殊访问权限 4.4.1 指定特殊访问权限 4.4.2 复制和移动...
文章管理系统
12-06
9.节日倒计时改为写文件方式保存缓存文件,以便无法访问外部的空间也可以正常使用该功能 10.整合12.4日补丁 2011年12月4日 bug修复 1.改进采集栏目中对过滤标签进行注释 2.采集过程中,加入 采集标题 去HTML化...
国微CMS部队门户站群系统(部队站群版)-PHP
06-21
7、表单系统可以自定义字段,每个字段可以设置为列表和查询;数据可以导入导出excel;各种报名可以配套手机短信。8、支持系统设置IP 白名单和黑名单;支持后台登陆登陆的ip控制、须支持栏目可以设置密码访问、支持...
8-30 练习题
weixin_34187862的博客
09-06 173
1、总结文本编辑工具vim的使用方法;2、总结文件查找命令find的使用方法;3、总结bash环境变量的相关内容和Linux文件系统上的特殊权限;VIM练习:1、复制/etc/grub2.cfg配置文件至/tmp目录,用查找替换命令删除/tmp/grub2.cfg文件中的行首的空白字符;CentOS: /etc/grub.conf :%s@^[...
[作业]权限练习
紫洋的博客
11-21 610
1、新建目录要求如下: 1)/pub目录为公共存储目录对所有用户可以读,写,执行,但用户只能删除属于自己的文件( t权限) 2)/sc目录为生产部存储目录只能对生产部人员可以写入,并且生产部人员所建立的文件都自动归属到 shengchan中 3)/cw目录为财务部存储目录只能对财务部人员可以写入并且财务部人员所建立的文件都自动属于 caiwu组中 4) admin用户对于/sc和/cw目录可以读,写,执行 2、...
第一次作业
weixin_34000916的博客
12-29 129
linux运维实战练习案例-2015年12月20日-12月31日(第一次)一、实战案例(练习)内容假如你学习完Linux,想找一份儿Linux相关的运维工作,某天你接到一家公司给出的邀请,你来到该公司面试,面试前,运维主管给你出了一些简单的笔试题,题目如下:1、创建一个10G的文件系统,类型为ext4,要求开机可自动挂载至单独数据/data目录;首先创建一个10G的分区,如...
Linux查看所有用户命令 sudo cat /etc/shadow 添加用户命令adduser <用户名>
GniLAY1022的博客
01-26 2067
sudo cat /etc/shadow 第一个是root用户,最后一个是创建的普通用户,其他的是运行系统服务所产生的用户
用户和组管理权限及文件访问控制
weixin_34072637的博客
11-09 268
用户和组管理权限及文件访问控制与用户账户和组帐户相关的文件: 1./etc/passwd 2./etc/group 3./etc/shadow 4./etc/gshadow 5./etc/default/useradd 6./etc/login.defs 7./etc/skel(Directory) 1./etc/passw...
打通IO栈:一次编译服务器性能优化实战
宋宝华
05-08 1448
作者简介廖威雄,就职于珠海全志科技股份有限公司,负责Linux IO全栈研发、性能优化、开源社区开发交流、Linux 内核开源社区pstore/blk,mtdpstore模块的作者(与m...
查看文件内容有哪些命令可以使用?
siyuanwai的博客
08-05 1236
vi 文件名 #编辑方式查看,可修改 cat 文件名 #显示全部文件内容 more 文件名 #分页显示文件内容 less 文件名 #与more 相似,更好的是可以往前翻页 tail 文件名 #仅查看尾部,还可以指定行数 head 文件名 #仅查看头部,还可以指定行数 ...
特殊权限文件系统访问控制列表笔记及习题答案
weixin_33860722的博客
04-20 103
特殊权限passwd:sSUID : 运行某程序时,相应进程的属主是程序文件自身的属主,而不是启动者 chmod u+s FILE chmod u-s FILE 如果FILE本身原有执行权限,则SUID显示为s;否则显示SSGID : 运行某程序时,相应进程的属组是程序文件自身的属主,而不是启动者所属的基本组 chmod g+s FILE chmod g-s ...
深度讲解Linux文件系统权限
1tachi的博客
11-22 809
文章目录前言权限介绍设置文件和目录的一般权限修改权限修改文件属主和属组特殊权限 前言 Linux中的权限是相对于用户和组而言的,阅读这篇文章前请先对用户和用户组有所了解 Linux中用户及用户组的管理 权限介绍 当我们使用ls -l时可以查看文件及目录的详细信息 这里可以看到最前面显示了一堆“drwx-…”,这其实就表示文件或目录的权限 第一个字符:表示文件类型 字符 类型 - 普通文件,类似于Windows的记事本 d 目录文件,类似于文件夹 c 字符设备文件,串行端口设备,
win11 关于Windows系统中文件夹的【特殊权限
最新发布
06-11
Windows系统中的文件夹有许多特殊权限,这些权限可以控制用户对文件夹的访问、修改、删除等操作。以下是一些常见的特殊权限: 1. 所有者权限:允许用户控制文件夹的所有权,包括修改、删除等操作。 2. 修改权限:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值