linux系统中的权限管理（下）

六.特殊权限

#stickyid 粘制位
#针对目录: #如果一个目录stickyid开启，那么这个目录中的文件
#只能被文件所有人删除

chmod 1原始权限 dir
chmod o+t dir

实验：
mkdir /mnt/guo
chmod 777 /mnt/guo

su - westos ----> touch /mnt/guo/111
su - kiosk ---->
rm -fr /mnt/guo/111 #可以删除
rm -fr /mnt/guo/111 #不属于自己的文件也可以删除

chmod 1777 /mnt/guo
chmod o+t /mnt/guo
以上两条命令都可以开启mnt/guo目录的t权限

su - westos ----> touch /mnt/guo
exit
su - kiosk -------->
rm -fr /pub/leefile #可以删除
rm -fr /pub/westosfile #不属于自己的文件不能删除
rm: cannot remove ‘westosfile’: Operation not permitted

#sgid 强制位
#针对目录: 目录中新建的文件自动归属到目录的所属组中

设定：
chmod 2源文件权限 dir
chmod g+s dir

实验
group westos

mkdir /mnt/guo
chmod 777 /mnt/guo
chgrp westos.westos /mnt/guo/
watch ls -lR /mnt

root —> touch /mnt/guo##是谁建立的文件组就是谁的

chmod g+s /mnt/guo

root —> touch /mnt/guo/111 ##111自动复制了/mnt/guo目录组

#只针对二进制的可执行文件(c程序)
#当运行二进制可执行文件时都是用文件拥有组身份运行，和执行用户无关

实验:
su - westos
/bin/watch cat

ps ax -o user,group,comm | grep watch
westos westos cat

用root用户身份
chmod g+s /bin/watch
su - westos
/bin/cat

ps ax -o user,group,comm | grep watch
westos root cat

#suid 冒险位
#只针对二进制的可执行文件(c程序)
#当运行二进制可执行文件时都是用文件拥有者身份运行，和执行用户无关

chmod 4原属性 file
chmod u+s file

实验:
su - westos
/bin/cat

ps ax -o user,group,comm | grep watch
westos westos watch

用root用户身份
chmod u+s /bin/cat
su - westos
/bin/cat

ps ax -o user,group,comm | grep watch
root westos watch

七.acl权限列表

Aiccess Control Lists #访问控制列表

#功能:
#在列表中可以设定特殊用户对与特殊文件有特殊权限

#acl列表开启标识

-rw-rw---- 1 root root 0 Apr 18 09:03 /mnt/guo
^
没有"+"代表acl列表未开启

-rw-rw----+ 1 root root 0 Apr 18 09:03 /mnt/guo
^
acl列表功能开启

#acl列表权限读取
getfacl +文件名

显示内容分析
#file: westosfile #文件名称
#owner: root #文件拥有者
#group: root #文件拥有组
user::rw- #文件拥有者权限
user:lee:rw- #特殊指定用户权限
group::r-- #文件拥有组权限
group:westos:— #特殊指定的用户组的权限
mask::rw- #能够赋予特殊用户和特殊用户组的最大权限阀值
other::r-- #其他人的权限

“注意：”
“当文件权限列表开启，不要用ls -l 的方式来读取文件的权限”

#acl列表的控制
setfacl -m u:westos:rwx /mnt/guo #设定
setfacl -m g:westos:rwx /mnt/guo

setfacl -m u::rwx /mnt/guo
setfacl -m g::0 /mnt/guo
setfacl -x u:westos /mnt/guo##删除列表中的westos

setfacl -b /mnt/guo #关闭

#acl 权限优先级

拥有者 > 特殊指定用户 > 权限多的组 >权限少的组 > 其他
设置拥有者和特殊拥有者同一个，给特殊的满权限，拥有者0权限，切换到该用户在/mnt/guo/目录下建立文件，成功说明特殊的优先级别高，反之拥有者优先级高

#acl mask 控制
#mask是能够赋予指定用户权限的最大阀值

问题
当设定完毕文件的acl列表之后用chmod缩小了文件拥有组的权力
mask会发生变化
恢复：
setfacl -m m:权限 文件

#acl 列表的默认权限
setfacl -m u:lee:rwx /mnt/westosdir ##只对于/mnt/westosdir目录本身生效
setfacl -Rm u:lee:rwx /mnt/westosdir ##对于/mnt/westosdir目录和目录中已经存在的内容生效

#以上的命令之针对与存在的文件生效，新建文件是不会被设定的
setfacl -m d:u:lee:rwx /mnt/westosdir/ ##针对与/mnt/westosdir目录中新建文件生效

#八.attr权限
#attr权限限制所有用户

i #不能作任何的更改
a #能添加不能删除

lsattr dir|file ##查看attr权限
chattr +i|+a|-i|-a dir|file ##设定attr权限