Linux特殊权限详解

基本权限（重要）
什么是权限
约束用户能对系统所做的操作
理解：和中国法律一样，法律用来约束人可以做什么，不可以做什么
为何需要权限
1.维护的用户较多，不同的用户有着自己的隐私
2.不同的人查阅相同的文件，但能操作的指令是不同的
权限和用户的关系
1.操作系统为访问文件定义了三种身份
属主
属组
其他人
2.操作系统为三个身份分别定义了三种权限
r读
w写
x执行
3.访问一个文件的流程
1.判断是否为文件的所属主
第一列前面三个字符
2.判断是否为文件的所属组
第一列中间三个字符
3.直接按照其他人权限执行
第一列最后三个字符
如何变更权限
为何要变更
用户–>方式（读|写|读写）–>文件
怎么变更
chmod
UGO（麻烦）
chmod u=rw
chmod g=r
chmod 0=-
chmod a+x
NUM（便捷）
chmod 644
属主有读写，属组有读，其他人有读
chmod 755
属主有读写执行，属组有读执行，其他人有读执行
chmod -R
递归变更权限
验证权限对文件和目录影响
文件
r
w
x
目录
r
w
x
如何变更所属关系
为何要变更
进程能够以什么样的方式去访问一个文件或目录，取决于进程所运行的用户对该文件有什么样的权限
第一步：检查进程运行的用户是谁
第二步：检查进程访问的文件属主和属组是谁，以及权限为多少
第三步：变更属主和属组，修改对应的权限，确保符合进程所需要的权限预期
怎么去变更
chown
变更文件或目录的属组
chown -R user.group file_or_directory
chown -R user file_or_directory
chown -R .group file_or_directory
chgrp
变更文件或目录的属组
变更的场景实例

特殊权限
suid
让二进制文件在执行时，以文件的属主身份运行
示例: oldxu–>passwd -->转换为命令的属主–>root --> /etc/shadow
添加权限
chmod u+s
chmod 4755
删除权限
chmod u-s
chmod 0755
sgid
为目录设定属组的权限，创建的子目录会继承父目录的属组
添加权限
chmod g+s
chmod 2755
删除权限
chmod g-s
chmod 0755
sbit
粘滞位，任何人都可以往目录中添加文件，但只能删除自己创建的文件（root除外）
场景
MySQL服务的初始化（脚本）
1.初始化开始百分之50时，会建立一个临时文件
2.初始化完毕后，会删除该文件（默认情况谁创建的文件，谁就可以删除，无论管理员还是普通用户）
3.删除成功，则服务初始化成功，否则初始化失败
yum在执行时会将一些临时数据存储在/tmp目录
难以模拟效果
Ansible

特殊属性
凌驾于rwx基础权限之上，连root都无法操作
作用
锁定文件，禁止串改
可追加，但不可以修改，日志类文件
设定权限
chattr +[i|a] 文件或目录
删除权限
chattr -[i|a] 文件或目录
病毒入侵场景（脚本）
1.模拟病毒修改文件
2.锁定文件，防止二次修改
3.找出木马程序，清理
4.解锁所有修改过的文件

默认权限
默认创建文件或目录时，设定的权限
默认权限依托UMASK控制。表示要减去的权限
创建文件/目录
/etc/profile
创建用户和组
/etc/login.defs