Linux系统上的特殊权限

Linux系统上的特殊权限

特殊权限：SUID, SGID, STICKY

安全上下文：
    1、进程以某用户的身份运行；进程是发起此进程用户的代理，因此以此用户的身份和权限完成所有操作；
    2、权限匹配模型：
        (1)判断进程的属主，是否为被访问的文件属主；如果是，则应用属主的权限；否则进入第二步；
        (2)判断进程的属主，是否属于被访问的文件属组；如果是，则应用属组的权限；否则进入第三步；
        (3)应用other的权限；

SUID：
    功用：当目录属组有写权限，且有SGID权限时，那么所有属于此目录的属组，且以属组身份在此目录中新建文件或目录时，新文件的属组不是用户的基本组，而是此目录的属组；

    管理文件的SGID权限：
        chmod g+ | -s FILE

        展示位置：属组的执行权限位
            如果属组原本有执行权限，显示为小写s；
            否则，显示为大写S；

Sticky：
    功用：对于属组或全局可写的目录，组内的所有用户或系统上的所有用户对在此目录中都能创建新文件或删除所有的已有文件；如果为此类目录设置Sticky权限，则每个用户能创建新文件，且只能删除自己的文件；

    管理文件的Sticky权限：
        chmod o+ | -t FILE…

        展示位置：其他用户的执行权限位
            如果其他用户原本有执行权限，显示为小写t；
            否则，显示为大写T；

    系统上的/tmp和/var/tmp目录默认均有sticky权限；

管理特殊权限的另一方式：
    suid sgid sticky   八进制权限
                0 0 0    0
                0 0 1    1
                0 1 0    2
                0 1 1    3
                1 0 0    4
                1 0 1    5 
                1 1 0    6 
                1 1 1    7

    基于八进制方式赋权时，可于默认的三位八进制数字左侧再加一位八进制数字；

        例如：chmod 1777

facl: file access control list

文件的额外赋权机制：
    在原来的u,g,o之外，另一层让普通用户能控制赋权给另外的用户或组的赋权机制；

getfacl命令：
    getfacl FILE...
        user:USERNAME:MODE
        group:GROUPNAME:MODE

setfacl命令：
    赋权给用户：
        setfacl -m u:USERNAME:MODE FILE...
    赋权给组：
        setfacl -m g:GROUPNAME:MODE FILE...

    撤销赋权：
        setfacl -x u:USERNAME FILE...
        setfacl -x g:GROUPNAME FILE...

Linux磁盘及文件系统管理

CPU，Memory(RAM),I/O

I/O: Disks, Ehtercard
    Disks：持久存储数据

        接口类型：
            IDE(ata)：并口，133MB/s
            SCSI：并口，Ultrascsi320,320MB/s,UltraSCSI640,640MB/s
            SATA：串口，6gbps
            SAS：串口，6gbps
            USB：串口，480MB/s

            并口：同一线缆可以接多块设备；
                IDE：两个，主，从
                SCSI：
                    宽带：16-1
                    窄带：8-1
            串口：同一线缆只可以接一个设备


            iops：io per second

        硬盘：机械硬盘，固态硬盘；

            机械硬盘：
                track：磁道
                sector：扇区，512bytes
                cylinder：柱面
                    分区划分基于柱面

                平均寻道时间：

                    5400rpm，7200rpm，10000rpm，15000rpm

Linux的哲学思想：一切皆文件；

    设备类型：
        块(block)：随机访问，数据交换单位是"块"；
        字符(character)：线性访问，数据交换单位是“字符”；

    设备文件；FHS
        /dev
            设备文件：关联至设备的驱动程序；设备的访问入口；

                设备号：
                    major：主设备号，区分设备类型；用于标明设备所需要的驱动程序；
                    minor：次设备号，区分同种类型下的不同设备；是特定设备的访问入口；；

                mkond命令:
                    make block or character special files

                    mknod [OPTION]... NAME TYPE [MAJOR MINOR]

                        -m MODE：创建后的设备文件的访问权限；

        设备文件名：ICANN

        磁盘：
            IDE: /dev/hd[a-z]
                例如：/dev/hda,  /dev/hdb
            SCIS,SATA,USB,SAS:/dev/sd[a-z]

        分区：
            /dev/sda#：
                /dev/sda1,....

        注意：CentOS 6和7统统将硬盘设备文件标识为/dev/sd[a-z]#

        引用设备的方式：
            设备文件名
            卷标
            UUID

磁盘分区：MBR，GPT
    MBR：0 sector
        Master Boot Record

            分为三部分：
                446bytes：bootloader，程序，引导启动操作系统的程序；
                64bytes：分区表，每16bytes标识一个分区，一共只能有4个分区；
                    4主分区
                    3主1扩展
                        n逻辑分区
                2bytes：MBR区域的有效性标识；55AA为有效；

        主分区和扩展分区的标识：1-4
        逻辑分区：5+