学习内容:
特殊权限:
SetUID权限
非常危险,能把passwd的都能更改(U)4
1,U的X位置加S后
2,能让其他用户以所有者的身份去运行这个文件
SetGID权限能够修改为以组的身份去执行。(G)2
1,G的X位置加S后
2,能让其他用户已属组身份去运行这个文件
3,(对目录时,能让这个目录下的新建文件都是这个特定文件的属组)
SBIT(只针对目录)(O)1
1,o的X位子加入t
2,所有人在这个特定目录下只能删除自己的文件
umask(修改创建文件时的默认权限)(0022)
1,0->特殊权限 (上面的三种权限 SUID:4 / SGID:2 /SBID:1)
0->u的权限
2->g的权限
2->o的权限
2,目录最大权限为:777
文件的最大权限为:666
ACL
(特殊设定权限)
setfacl -m u:rwx files 添加权限
getfacl files 查看权限
setfacl -x u:rwx file 删除一条
setfacl -b file 删除全部
chatter
(设置文件系统属性/防止文件意外删除,可以避免root用户删除文件)
chatter【参数】【文件/目录】
chatter+i 文件:不能删除改名,添加,删除数据
文件夹:能加数据,不能删除
chatter+a 权限比i增加
chatter+e 最大最常用
lsattr(查看文件系统属性)
提升用户权限
sudo
需要安装 rpm -aqa | grep sudo
配置文件 /etc/sudoers
在配置文件中加: 【用户名】 ALL=(ALL) ALL
【用户名】 ALL=(ALL) NPPASSWD:ALL
【用户名】 ALL=(ALL) 命令别名
然后执行:sudo passwd 【用户名】
笔记:
/etc/passwd shadow
/etc/group /gshadow
文件中每个字段由“:”隔开
“!”表示空密码
“x”占位符
wc 统计个数
wc -l 统计有多少行
userdel -r 才能完全删除用户(目录在home下)
useradd 切入创建的新用户显示有问题,需要将配置文件导入新建用户主目录中
useradd -s 指定用户类型 ,默认为/bin/bash,如果为/bin/nologin 就是虚拟用户
usermod 修改用户属性
-s 修改登录shell(权限) *网安提权
-l 修改名字
-g 修改用户初始组
-G 修改用户附加组
gpasswd
-a 添加组员
-A 设置组管理
-d 删除成员
没有参数就是设置组密码
groups 查看用户的组信息
newgrp 切换用户到某一组: newgrp 组名
http://c.biancheng.net/view/860.html
https://www.runoob.com/linux/linux-comm-newgrp.html
group的密码作用:通过设置密码使得用户临时加入组,从而暂时拥有该组的权限,当密码修改和exit的时候,权限将被取消
chmod
字母方式:
u:文件所有者 g:文件属组 o:其他用户 a:所有用户
±= 权限
数字方式:r4 w2 x1
chown 所有者:属组 文件
acl
setfacl -m u:用户:权限 文件
setfacl -b 取消所有规则
setfacl -x 取消一个规则
mask最大有效访问权限
相与就是取最大值
umask决定设置文件创建时的默认值
目录默认最大权限:777-umask
文件默认最大权限:666-umask( 通常创建文件默认没有x权限)
在umask与权限计算过程,最好使用符号方式计算,使用数字计算时可能会出现一些低级错误。例子: 666-003==>663(原来就没有X,算出来结果有X)
SBIT 让目录只能被所有者 删除(分隔“写操作”与“删除操作”)
SGID只能针对目录和二进制文件
SUID只能针对二进制文件
g+s SGID
u+s SUID
特殊权限也是 通过chmod去修改的
+g
+s
+t
通过chatter来实现即使是root用户也不能删除文件(默认e)
通过±=来实现设置
i->a->e逐步增加权限(可以追加数据),同时对文件的限制比目录跟严格(但除了e,都不能删除)
特殊权限:第一位(1750)
suid 4
sgid 2
sbid 1
可以查找和修改特殊权限的数字