linux-用户与权限

学习内容：

特殊权限：

SetUID权限

非常危险，能把passwd的都能更改（U）4
1，U的X位置加S后
2，能让其他用户以所有者的身份去运行这个文件
SetGID权限能够修改为以组的身份去执行。（G）2
1，G的X位置加S后
2，能让其他用户已属组身份去运行这个文件
3，（对目录时，能让这个目录下的新建文件都是这个特定文件的属组）

SBIT（只针对目录）（O）1

1，o的X位子加入t
2，所有人在这个特定目录下只能删除自己的文件

umask（修改创建文件时的默认权限）（0022）

1，0->特殊权限 （上面的三种权限 SUID：4 / SGID：2 /SBID：1）		
      0->u的权限 	
                  2->g的权限 	
      2->o的权限
2，目录最大权限为：777
     文件的最大权限为：666

ACL

（特殊设定权限）

setfacl -m u：rwx files 添加权限
getfacl files	    查看权限
setfacl -x u：rwx file    删除一条
setfacl -b file                删除全部

chatter

（设置文件系统属性/防止文件意外删除，可以避免root用户删除文件）

chatter【参数】【文件/目录】
chatter+i  文件：不能删除改名，添加，删除数据
	 文件夹：能加数据，不能删除
chatter+a  权限比i增加
chatter+e  最大最常用

lsattr（查看文件系统属性）

提升用户权限

sudo
需要安装 rpm -aqa | grep sudo
配置文件 /etc/sudoers
在配置文件中加： 【用户名】 ALL=（ALL） ALL
【用户名】 ALL=（ALL） NPPASSWD：ALL
【用户名】 ALL=（ALL） 命令别名

	然后执行：sudo passwd 【用户名】

笔记：

/etc/passwd shadow
/etc/group /gshadow
文件中每个字段由“：”隔开
“！”表示空密码
“x”占位符
wc 统计个数
wc -l 统计有多少行

userdel -r 才能完全删除用户（目录在home下）

useradd 切入创建的新用户显示有问题，需要将配置文件导入新建用户主目录中
useradd -s 指定用户类型 ，默认为/bin/bash，如果为/bin/nologin 就是虚拟用户

usermod 修改用户属性
-s 修改登录shell（权限） *网安提权
-l 修改名字
-g 修改用户初始组
-G 修改用户附加组

gpasswd
-a 添加组员
-A 设置组管理
-d 删除成员
没有参数就是设置组密码

groups 查看用户的组信息

newgrp 切换用户到某一组： newgrp 组名
http://c.biancheng.net/view/860.html
https://www.runoob.com/linux/linux-comm-newgrp.html
group的密码作用：通过设置密码使得用户临时加入组，从而暂时拥有该组的权限，当密码修改和exit的时候，权限将被取消

chmod
字母方式：
u:文件所有者 g:文件属组 o:其他用户 a：所有用户
±= 权限
数字方式：r4 w2 x1

chown 所有者:属组 文件

acl
setfacl -m u:用户:权限 文件
setfacl -b 取消所有规则
setfacl -x 取消一个规则

mask最大有效访问权限
相与就是取最大值
umask决定设置文件创建时的默认值

目录默认最大权限：777-umask
文件默认最大权限：666-umask（ 通常创建文件默认没有x权限）
在umask与权限计算过程，最好使用符号方式计算，使用数字计算时可能会出现一些低级错误。例子： 666-003==>663（原来就没有X，算出来结果有X）

SBIT 让目录只能被所有者 删除（分隔“写操作”与“删除操作”）

SGID只能针对目录和二进制文件

SUID只能针对二进制文件

g+s SGID
u+s SUID

特殊权限也是 通过chmod去修改的
+g
+s
+t

通过chatter来实现即使是root用户也不能删除文件（默认e）
通过±=来实现设置
i->a->e逐步增加权限（可以追加数据），同时对文件的限制比目录跟严格（但除了e，都不能删除）

特殊权限：第一位（1750）
suid 4
sgid 2
sbid 1
可以查找和修改特殊权限的数字