Linux 文件特殊权限和ACL权限设置

最新推荐文章于 2023-10-30 19:51:44 发布
最新推荐文章于 2023-10-30 19:51:44 发布
阅读量974 收藏 5
点赞数
分类专栏: linux学习 文章标签: linux 运维 服务器 bash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xgy123xx/article/details/126085677
版权
本文详细介绍了Linux中的文件特殊权限suid、sgid和sticky,以及ACL(Access Control List)权限设置。suid允许执行程序时以文件属主身份运行,sgid使进程属组变为文件属组,sticky权限防止普通用户删除他人文件。此外,还展示了如何使用ACL为特定用户和组设置更精细的访问控制,并举例说明了其用法和影响。
摘要由CSDN通过智能技术生成

Linux 文件特殊权限和ACL权限设置

在linux中,除了可以对属主,属组,其他人设置权限,我们也可以通过文件特殊权限针对某一个用户,某一个组单独设置访问权限,也可以设置一些特殊的访问权限。

安全上下文

当我们使用cat命令查看一个文件时,例如/bin/cat /etc/fstab,具体执行过程如下:

  1. 查看用户是否有/bin/cat的执行权限
  2. 查看用户是否有/etc/fstab的读权限
  3. 如果有则执行该条命令

文件特殊权限

特殊权限分为三种,suid,sgid,sticky
suid: 任何其他用户执行程序时,进程不是以执行者身份进行,而是以文件的属主身份。
sgid:任何其他用户执行程序时,进程的属组不是以执行者的属组,而是以文件的属组身份。
sticky:设置该属性的文件夹中,文件只能由文件的属主删除,用户可以删除属于自己创建的文件,只能修改其他人的文件,不能删除其他人创建的文件。
注意: sgid suid sticky 权限只能自己设置,不能使用umask默认设置

suid

set uid,任何其他用户执行此程序时,进程不是以执行者身份进行,而是以文件的属主身份。
修改权限
chmod u+s 文件
chmod u-s 文件
chmod 4644 文件
suid是针对属主设置的权限,原有属主执行权限s,无执行权限S

示例:

[root@node1 tmp]# cp /bin/cat /tmp/mycat

创建一个文件,移除other的读权限
[root@node1 tmp]# echo "Hello world" > Hello.txt
[root@node1 tmp]# chmod o-r Hello.txt 
[root@node1 tmp]# ls -al Hello.txt 
-rw-r----x 1 root root 12 7月  31 12:00 Hello.txt

因为hadoop属于other,没有Hello.txt的读权限,故无法读取该文件
[root@node1 tmp]# su hadoop
[hadoop@node1 tmp]$ /tmp/mycat Hello.txt 
/tmp/mycat: Hello.txt: 权限不够

设置suid权限,让其他人都能以root的身份运行/tmp/mycat
[hadoop@node1 tmp]$ exit
exit
[root@node1 tmp]# chmod u+s /tmp/mycat 
[root@node1 tmp]# ls -al /tmp/mycat 
-rwsr-xr-x 1 root root 54080 7月  31 11:47 /tmp/mycat  
mycat的属主执行权限变为s  

再次切换为hadoop,发现可以查看该文件
[root@node1 tmp]# su hadoop
[hadoop@node1 tmp]$ /tmp/mycat Hello.txt 
Hello world

因为设置该权限后,所有人执行/tmp/mycat都会以root的身份执行,读取文件时,以root的权限读取Hello.txt,root是Hello.txt属主,故可以读取文件

sgid

set gid 意味着任何其他用户在执行此程序时,进程的属组不再是运行着本人属组,而是文件的属组
修改权限
chmod g+s 文件
chmod g-s 文件
chmod 2644 文件
原有属组执行权限s,无执行权限S
作用:可以在某个文件夹下创建的属组为目录的属组,而不是创建者属组
将目录设置为sgid,所有有权限的用户创建的文件,属组都是目录的属组
示例:

使用hadoop用户创建一个文件夹,并给他设置sgid
[hadoop@node1 tmp]$ mkdir mytest
[hadoop@node1 tmp]$ chmod g+s mytest/
[hadoop@node1 tmp]$ ls -ld mytest/
drwxrwsr-x 2 hadoop hadoop 6 7月  31 13:56 mytest/

切换到root用户,在mytest目录下创建一个文件夹
[hadoop@node1 tmp]$ exit
exit
[root@node1 tmp]# cd mytest/
[root@node1 mytest]# touch rootFile
[root@node1 mytest]# ls -al /tmp/mytest/
总用量 4
drwxrwsr-x   2 hadoop hadoop   22 7月  31 13:57 .
drwxrwxrwt. 22 root   root   4096 7月  31 13:58 ..
-rw-r--r--   1 root   hadoop    0 7月  31 13:57 rootFile
发现root用户在该文件夹下创建的文件,属组为hadoop

在该文件夹下,用户可以修改、删除自己的文件夹,也可以对其他属主用户的文件夹进行修改、删除。

sticky

sticky 粘贴位,附件other权限上,表现为t(t:other有x权限;T: other无x权限)
修改权限
chmod o+t 文件
chmod o-t 文件
chmod 1644 文件
在设置该权限的文件夹下,每个用户只能删除属于自己创建的文件。

示例:

使用root用户创建一个mygrp组,并将其加入hadoop额外组中,将hive也加入这个组
[root@node1 mytest]# groupadd mygrp
[root@node1 mytest]# usermod -G mygrp hadoop
[root@node1 mytest]# id hadoop
uid=4024(hadoop) gid=4024(hadoop) 组=4024(hadoop),4026(mygrp)
[root@node1 ~]# usermod -G mygrp hive

创建mytest2,将属组设置为mygrp,并给sgid,t权限
[root@node1 ~]# su hadoop
[hadoop@node1 tmp]$ mkdir /tmp/mytest2
[hadoop@node1 tmp]$ chgrp mygrp /tmp/mytest2
[hadoop@node1 root]$ chmod g+s,o+t /tmp/mytest2
[hadoop@node1 root]$ ls -ld /tmp/mytest2
drwxrwsr-t 2 hadoop mygrp 62 7月  31 14:21 /tmp/mytest21111

使用hadoop用户创建两个文件hadoop1和hadoop2
[hadoop@node1 mytest2]$ touch hadoop1 hadoop2
[hadoop@node1 mytest2]$ ls -al
总用量 4
drwxrwsr-t   2 hadoop mygrp   36 7月  31 14:30 .
drwxrwxrwt. 23 root   root  4096 7月  31 14:29 ..
-rw-rw-r--   1 hadoop mygrp    0 7月  31 14:30 hadoop1
-rw-rw-r--   1 hadoop mygrp    0 7月  31 14:30 hadoop2
发现属组均为mygrp

切换到hive用户尝试创建文件
[root@node1 ~]# su hive
[hive@node1 root]$ cd /tmp/mytest2
[hive@node1 mytest2]$ touch hive1 hive2
[hive@node1 mytest2]$ ls -al
总用量 4
drwxrwsr-t   2 hadoop mygrp   62 7月  31 14:31 .
drwxrwxrwt. 23 root   root  4096 7月  31 14:31 ..
-rw-rw-r--   1 hadoop mygrp    0 7月  31 14:30 hadoop1
-rw-rw-r--   1 hadoop mygrp    0 7月  31 14:30 hadoop2
-rw-rw-r--   1 hive   mygrp    0 7月  31 14:31 hive1
-rw-rw-r--   1 hive   mygrp    0 7月  31 14:31 hive2

使用hive删除hadoop1 
[hive@node1 mytest2]$ rm hadoop1
rm: 无法删除"hadoop1": 不允许的操作
[hive@node1 mytest2]$ echo "Hello" > hadoop1
[hive@node1 mytest2]$ cat hadoop1
Hello  
不能删除,但可以修改

总结

  1. 我们可以使用chmod u+s,g+s,o+t 文件 来修改文件特殊权限
  2. 我们也可以使用权限数字来修改,4代表suid,2代表sgid,1代表sticky
    chmod 4644 文件; chmod 2644 文件; chmod 1644 文件;

ACL

在原有的访问控制机制之外的一种文件访问控制机制
getfacl test.txt 获取文件或目录的访问控制列表
setfacl -m u:username:mode 文件 设定访问控制列表
setfacl -m g:groupname:mode 文件 设定组权限
setfacl -x u:username 文件 取消用户的访问控制权限
setfacl -x g:groupname 文件 取消组的访问控制权限

用户访问文件的过程如下:

  1. 用户是否为文件属主
  2. 用户是否有特定的访问控制条目
  3. 用户是否属于文件属组
  4. 用户所属的组是否有特定的访问控制条目
  5. 其他

注意:除了根目录,其他被挂载的模块默认不支持ACL
必须重新挂载,使用mount -o acl DEVICE MOUNT_POINT

示例:

查看文件的ACL权限
[hive@node1 tmp]$ getfacl mytest2
# file: mytest2
# owner: hadoop
# group: mygrp
# flags: -st
user::rwx
group::rwx
other::r-x

使用root用户设置hive用户对这个文件夹没有任何权限  
[hive@node1 tmp]$ exit
exit
[root@node1 ~]# setfacl -m u:hive:--- /tmp/mytest2
[root@node1 ~]# getfacl /tmp/mytest2
getfacl: Removing leading '/' from absolute path names
# file: tmp/mytest2
# owner: hadoop
# group: mygrp
# flags: -st
user::rwx
user:hive:---
group::rwx
mask::rwx
other::r-x

切换到hive用户,查看有没有权限
[root@node1 ~]# su hive
[hive@node1 root]$ ls -ld /tmp/mytest2
drwxrwsr-t+ 2 hadoop mygrp 62 7月  31 14:31 /tmp/mytest2
[hive@node1 root]$ cd /tmp/mytest2
bash: cd: /tmp/mytest2: 权限不够
发现cd都无法使用

设置ACL分区

当分区不支持ACL时,我们需要重新挂载分区

方法一: mount -o acl DEVICE MOUNT_POINT
例如:下面重新挂载mydata分区
umount /mydata
mount -o acl /dev/sda3 /mydate
mount

同时,我们也可以开机默认挂载这个分区
vim /etc/fstab

[root@node1 ~]# vim /tmp/fstab 
#
# /etc/fstab
# Created by anaconda on Tue Dec 17 13:24:37 2019
#
# Accessible filesystems, by reference, are maintained under '/dev/disk'
# See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info
#
/dev/mapper/centos-root /                       xfs     defaults        0 0
UUID=8699212e-cfd4-4f43-ab30-12c8864d4d5d /boot                   xfs     defaults        0 0
/dev/mapper/centos-swap swap                    swap    defaults        0 0
/dev/sda3               /mydata                 ext4    defaults,acl    0 0

方法二:设定分区默认挂载选项
tune2fs -o acl /dev/sda3
tune2fs -l /dev/sda3
取消分区默认挂载选项
tune2fs -o ^acl /dev/sda3

小青头
关注
专栏目录
Linux ACL特殊权限
weixin_44126398的博客
03-13 353
ACL 基本权限 ACL是一个针对文件/目录的访问控制列表。他在UGO权限的管理基础上为文件系统提供了一个额外的,更灵活的权限管理机制。它被设计为UNIX文件权限管理的一个补充。ACL允许给任何的用户或用户组设置任何文件/目录的访问权限。 特点: 1.可以针对用户来设置权限; 2.可以针对用户组来设置权限; 3.子文件/目录继承父目录的权限设置ACL setfacl: # setfa...
Linux文件设置特殊权限,linux中的文件特殊权限
weixin_29195137的博客
05-07 1015
一、SetUID:1、只有可以执行的二进制程序才能设定SUID权限2、命令执行者要对该程序拥有执行权限3、命令执行者在执行该程序时获得该程序文件属主的身份4、etUID权限只在该程序执行过程中有效,也就是说身份改变只在程序执行过程中有效passwd命令是可执行的文件并且拥有SetUID权限,所以普通用户可以修改自己的密码,修改密码其实就是修改/etc/shadow文件,普通用户对于这个文件是没有任...
文件ACL权限
qq_62784055的博客
09-17 511
文件ACL权限
Linux文件设置acl再改权限,linux文件权限管理与ACL访问控制列表(示例代码)
weixin_39532352的博客
04-29 231
一、文件属性1.文件属性:文件属性操作chown : change owner ,设置文件所有者chgrp : change group ,设置文件的属组文件属主修改: chown格式:chown [OPTION]… [OWNER][:[GROUP]] FILE…用法:OWNEROWNER:GROUPNAME (同时修改属主、属组):GROUPNAME (默...
linux特殊权限acl,Linux特殊权限ACL权限列表
weixin_33379878的博客
04-30 119
特殊权限1.sticky 粘制位功能 只针对目录生效,在这个目录中的文件只能被文件的所有者删除实验具体操作建立目录/pub,赋予粘制位,查看目录详细属性给目录授权rwx权限,切换用户kiosk,创建/pub/kifile文件切换用户student,创建/pub/stufile文件切换用户kiosk,删除/pub/stufile文件注 因赋予粘制位,用户kiosk无法删除用户stude...
Linux系统基本权限ACL特殊权限命令操作修改
01-09
Linux系统基本权限ACL特殊权限命令操作修改 一、基本权限 ACL 1、区分 请思考:使用chmod能针对独立用户设置文件不同的权限吗? user01 rwx file1 user02 rw file1 user03 r file1 user04 rwx file1 user05 rw ...
linuxACL权限-文件特殊权限.pdf
11-21
总的来说,LinuxACL权限提供了一种强大的工具,使得系统管理员能够更好地控制文件和目录的访问权限,满足复杂多变的权限管理需求。了解和掌握ACL的使用,对于维护安全、高效的Linux环境至关重要。
Linux】账号和权限管理,acl个性化设置文件权限
最新发布
liu_xueyin的博客
10-30 408
②若没有明确指定用户所属的组,会自动创建与该用户账号同名的基本组账号,组账号的信息也是记录信息将保存到/etc/group,/etc/passwd和/etc/shadow 文件中。执行,对目录而言一定要有x权限,即可以执行cd命令,对于文件而言默认不给新文件x权限,因为怕新文件不安全,直接执行。第四个字段:表示修改密码的权限,0表示今天可以修改,如果是2,则需要2天后才能修改,防止有人多次修改密码;(用户名,登录终端,从哪里登录,登录时间,相关进程占cpu的时间,用户当前执行什么命令等)
linux系统权限管理文件特殊权限PPT学习教案.pptx
10-01
"Linux 系统权限管理文件特殊权限学习教案" Linux 系统权限管理文件特殊权限Linux 操作系统中的一种重要机制,用于控制用户对文件和目录的访问权限。本学习教案将详细介绍 Linux 系统权限管理文件特殊权限的概念...
linux如何设置特殊权限,Linux中的特殊权限
weixin_42518709的博客
05-01 1002
Linux中除了普通权限之外,还有三个特殊权限。SUID::以文件的所属用户执行,而非执行文件的用户,多用于可执行文件设置suid后,在权限位中,所属用户的 最后一个权限为变为s,添加SUID权限可用“+s”表示。例如:passwd[adam@ultraera~]$whichpasswd/usr/bin/passwd[adam@ultraera~]$ls-l/usr/bin/pas...
Linux下,文件权限,访问控制列表ACL,UGO的补充,文件用户特权suid
ganfanren00001的博客
01-02 501
标题Linux下,文件权限,访问控制列表ACL,UGO的补充 一、访问控制列表 ACL access control list 访问 控制 列表 用于限制用户对文件的访问, 二、ACL是对UGO的补充,可以设置不同的用户(username)或组(groupname)的不同的权限(rwx),且对象数量不限,ugo则只能设置属组属主和其他。 1、添加权限命令: setfacl -m u:username:rwx dir 设置文件或者文件夹对某个用户或某个组的权限,每次的设置都是覆盖原权限,这里的-m指modif
怎么设置linux权限控制,Linux下如何设置ACL权限
weixin_39827306的博客
04-29 218
ACL 是什么ACL的全称是 Access Control List (访问控制列表) ,一个针对文件/目录的访问控制列表。它在UGO权限管理的基础上为文件系统提供一个额外的、更灵活的权限管理机制。它被设计为UNIX文件权限管理的一个补充。ACL允许你给任何的用户或用户组设置任何文件/目录的访问权限ACL有什么用可以针对用户来设置权限可以针对用户组来设置权限文件/目录继承父目录的权限检查是否支...
Linux权限管理之设置ACL权限
Verne_Lin的博客
02-10 1224
PS:一个用户既不属于文件的所有者u,所属组人员g也不属于其他人o,那么他想访问服务器里面的文件则需要给他设置ACL权限,这样他才有访问该文件权限。 1、查看分区 ACL 权限是否开启:dump2fs ①、查看当前系统有哪些分区:df -h      ②、查看指定分区详细文件信息:dumpe2fs -h 分区路径   下面是查看 根分区/ 的详细文件信息      2、开启分区...
ACL权限
彳亍
01-28 546
1. ACL权限简介当一个特殊用户或者组(比如:spuser)的权限,不能属于Linux分配的三种身份(u:所有者 g:所属组 o:其他人)权限,同时,又必须给它分配一个不同于这三种权限权限时,可以使用acl权限acl权限可以给一个特殊用户或者组单独分配权限。2. 开启ACL权限是否能够对一个文件设置acl权限,关键在于文件所在的分区是否开启(或者说支持)ACL权限。一般来说,我们都是对根分区的
文件基本权限-ACL
道常无为
02-12 1188
文件权限管理之: ACL设置基本权限(r、w、x) UGO设置基本权限: 只能一个用户,一个组和其他人 ACL 设置基本权限: r,w,x //Access Control List 访问控制列表 ACL基本用法 设置: [root@localhost ~]# touch /home/test.txt [root@localhost ~]# ll /home/test.txt -r
特殊权限管理
bug_maker
09-18 481
用户在执行进程命令时,需要调用一个属主和属组是用户本身的 bash 进程,同时对应 一个属主和属组是 root 的文件,在执行时一其他用户的身份执行命令;当然这种权限对于属主和属组时 root 的文件; 对于这个命令/bin/ls,属主和属组都是root,westos进程在调用这个命令时,应用的就是other的x权限,当这个进程执行时ls进程的属主和属组就是westos,通过这种机制可以防...
Linux特殊权限位的使用
mengyun00的专栏
12-15 3796
SUID、SGID、STICKY简介: 在了解特殊权限位前,先来了解一下安全上下文概念。 安全上下文: 进程运行时能够访问哪些资源或文件,不取决于进程文件的属主属组,而是取决于运行该命令的用户身份的uid/gid,以该身份获取各种系统资源。 特殊位作用: SUID:对一个可执行文件,不是以发起者身份来获取资源,而是以可执行文件的属主身份来执行。 SGID对一个可执行
linux系统中设置acl的命令,LinuxACL配置
weixin_39924573的博客
04-29 1500
一、 为什么要使用ACL首先,在 linux下,对一个文件可以进行的操作的对象分别为user(文件的拥有者),group(组,注意不一定是文件拥有者所在的组), other (其他)而对于每一对象的操作又有了读 写 执行 (这里不讨论SUID, SGID以及Sticky bit的设置)通过ls -l命令就我们就可以列出一个文件权限(看一下就行了,不需要操作)代码:[leonard@local...
linux特殊文件权限ACL权限
qq_40420795的博客
12-14 539
1、ACL权限简介 按之前学习的linux基本权限的知识,linux中的一个文件(或文件夹)有三个用户身份,所有者,所属组,其他人等。在上图,如果给一个文件夹/av设定所有者Tony为:rwx权限,所属组stu为:rwx权限,其他人为无权限,但现在想给老王设置权限:r-x权限,而且不去改变现有的文件夹的基本权限设定,那么该怎么办呢?这就需要用到ACL权限的知识。 2、查看分区ACL权限是否...
Linux文件权限ACL管理详解
- 特殊权限suid(Set-User-ID)和guid(Set-Group-ID)允许一个程序以文件所有者的权限运行,即使执行者不是该文件的所有者。suid位通常用于需要临时提升权限的程序,如`sudo`或`passwd`。 **umask** - `umask`设置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值