[RHEL7基础篇-7] 特殊权限

最新推荐文章于 2023-12-03 18:57:40 发布
最新推荐文章于 2023-12-03 18:57:40 发布
阅读量350 收藏 1
点赞数 2
分类专栏: # Red Hat Enterprise Linux 基础篇 文章标签: linux 运维 服务器 rhel redhat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zjw529507929/article/details/128459225
版权

[RHEL7基础篇-7] 特殊权限

简介

在前面的章节当中([RHEL7基础篇-4] 用户和权限)已经说明过用户的普通权限(r:读权限,w:写权限,x:执行权限,并分别对应了用户权限、组权限和其他用户权限),想要详细回顾普通权限的全部内容,请看前面的 [RHEL7基础篇-4] 。而相对应的特殊权限就是SUID(特殊用户权限)、SGID(特殊组权限)、SBIT(特殊粘滞位权限)

特殊权限

  1. 特殊权限的存在
    下面用三个例子来演示特殊权限位的存在

    1)

    # ls -l /usr/bin/passwd
-rwsr-xr-x. 1 root root 27832 Jun 10  2014 /usr/bin/passwd

    特殊用户权限
    在这里可以看到/usr/bin/passwd的用户位权限并不是常见的rwx,而是rws,而rws当中的s就是SUID(特殊用户权限);
    若这里把s当中的执行权限删掉,则会出现S(大写s)
    没有权限则表示为S

    2)

    # ls -l /usr/bin/wall
-r-xr-sr-x. 1 root tty 15344 Jun 10  2014 /usr/bin/wall

    特殊组权限
    在这里可以看到/usr/bin/wall的组位权限并不是常见的r-x,而是r-s,而r-s当中的s就是SGID(特殊组权限);
    与1)相同这里删除组的执行权限后s也变为了S
    删除组执行权限后变为S

    3)

    # ls -ld /tmp/
drwxrwxrwt. 15 root root 4096 Dec 27 13:34 /tmp/

    粘滞位表示为t
    在这里可以看到/tmp/的组位权限并不是常见的rwx,而是rwt,而rwt当中的t就是SBIT(特殊粘滞位权限);
    与1)相同这里删除执行权限后t也变为了T
    删除执行位权限后变为T

    注:这里 u-x或g-x或o-x后并不代表SUID或SGID或SBIT不存在

  2. SUID
    1)SUID是用于二进制的文件当中,但是对目录是无效的!
    2)让一般用户在执行某些二进制的文件的时候,能够暂时拥有该程序(二进制文件)所有者的权限
    3)使用该命令的所属用户的权限来运行,而不是命令执行者的权限。

    SUID作用:
    a:SUID权限仅对二进制程序(binary program)有效;
    b:执行者对于该程序需要具有x的可执行权限;
    c:本权限仅在执行该程序的过程中有效(run-time);
    d:执行者将具有该程序拥有者(owner)的权限。

    实验演示:
    在root用户的家目录下(在某一目录下执行ls命令时候,要看其目录对应的权限)

    # ls  -ld  /root
---------普通用户是在/root是没有权限的---------
dr-xr-x---. 19 root root 4096 Jan  4 09:36 /root
# ls  -l  /root/
-----------能看到/root内的一系列文件-----------
total 14312
-rw-------.  1 root   root     1832 Jul  5  2019 anaconda-ks.cfg
drwxrwxr-x  31 clamav 1005     4096 Dec 16  2020 clamav-0.103.0
...
drwxr-xr-x.  2 root   root        6 Jul  5  2019 Templates
drwxr-xr-x.  2 root   root        6 Jul  5  2019 Videos

    普通用户test 使用ls命令查看/root 文件夹下的文件时,提示权限不够
    其他用户无权查看

    当在root用户中给ls命令加个SUID权限时候,就能正常执行了
    /bin/ls 二进制文件添加特殊权限位

    注:通过 chmod 4755 /bin/ls 也能设置为特殊和权限为,这里前面加了4代表SUID的特殊权限位,如果要在group加SUID则是7455,想要取消特殊权限,使用755或u-s即可

    其他用户用特殊权限访问/root
    当test用户执行ls命令的时候是执行了root用户对 /bin/ls 文件的权限

    注:如果通过普通权限也能实现该功能(chmod o+rx /root),使用特殊权限时要谨慎,因为这样开放权限给普通用户是比普通权限来说是要开放得更大的

  3. SGID(Set GID)
    1)对于文件,使用该命令的组群权限来运行;
    2)对于目录,在设置了 SGID权限的目录中创建的文件会继承该目录的组群身份

    实验演示:
    在/tmp/test/下创建目录 a ,并查看对应的权限
    查看新创建的a目录的权限
    为 a 目录增加SGID权限
    为a目录增加SGID权限

    注:通过 chmod 2755 /tmp/test/a 也能设置为特殊和权限为,这里前面加了2代表SGID的特殊权限位,想要取消特殊权限,使用755或g-s即可

    修改 a 目录当前的所属用户和组,并在 a 目录下创建一个文件
    修改所属用户和组

    可以看得出新创建的文件的所属组是跟随了 a 目录所属组的
    当在 a 下创建目录时,不光会继承 a 目录的所属组,也会把SGID继承过来
    新创建的目录2获得了上级目录a的所属组和SGID

  4. SBIT
    粘滞位(Sticky Bit ):在带有粘滞位的目录中的文件只能被文件的所属用户和根用户删除,不管该目录的写入权限是如何设置的(“ t ” 代表粘滞位)

    实验演示:
    /tmp本身的权限为1777
    在具有sbit的目录下,用户若在该目录下具有w和x权限,则当用户在该目录下建立文件或目录时,只有文件的拥有者和root才有权利删除
    只有root才能删除
    注:通过 chmod 1777 /tmp 也能设置为特殊和权限为,这里前面加了1代表SBIT的特殊权限位,想要取消特殊权限,使用777或o-s即可

  5. SUID/SGID/SBIT权限设置
    和前面[RHEL7基础篇-4] 用户和权限说的rwx差不多,特殊权限的添加和删除也有两种方式,一种是字符方式,一种是数字方式

    参数备注
    4SUID = u+s
    2SGID = g+s
    1SBIT = o+t

    在权限设置使用数字设置示例:

    # SUID
chmod 4755 /tmp/test
# SGID
chmod 2755 /tmp/test
# SBIT
chmod 1755 /tmp/test

    小s和大S的区别:
    小s和大S只出现在user位和group位上,小s代表既有特殊权限位SUID/SGID,又有执行位x,而大S则是仅有特殊权限位SUID/SGID,没有执行位x
    小t和大T的区别:
    小t和大T只出现在other位上,小t代表既有特殊权限位SBIT,又有执行位x,而大T则是仅有特殊权限位SBIT,没有执行位x

  6. SUID/SGID/SBIT权限删除

命令功能
chmod u-s /tmp/test删除/tmp/test的SUID权限
chmod g-s /tmp/test删除/tmp/test的SGID权限
chmod o-t /tmp/test删除/tmp/test的SBIT权限

特殊权限练习

  1. 练习
    公司有一台文件共享服务器,有个公共目录/common,属于pub组;公司有3个部门sales、markets和techs;user1属于sales部门,user2属于markets部门,user3属于techs部门;要求:user1、user2、user3有访问/common目录的权限,并且在/common目录中创建的文件及目录的属组为pub组,而且不能删除其他用户创建的文件及目录,只有自己有权限删除
    新建目录/common,并将他加入pub组,同时保证pub组的人都能在该目录下进行读和写
# mkdir /common
# groupadd  pub
# chgrp  pub /common
# chmod    g=rwx  /common

新建三个用户并加入对应组,同时都加入pub这个附加组中
# groupadd sales
# groupadd   markets
# groupadd   techs
# useradd user1  -g  sales
# echo 123456 |passwd  --stdin user1
# useradd user2 -g markets
# echo 123456 |passwd  --stdin user2
# useradd user3 -g techs
# echo  123456|passwd  --stdin user3
# usermod  -G  pub  user1
# usermod  -G  pub  user2
# usermod  -G  pub  user3
# chmod  g+s  /common
# chmod  o+t /common

验证测试新建对象是否属于pub组
# su - user1
# cd   /common
# touch  user1_file
# mkdir   user1_d
# ls  -l    *
确认user1_file和user1_d是否都属于pub组

验证测试普通用户能否删除其他用户建立的对象
# exit
# su  - user2
# cd  /common
# rm  -rvf    user1_file
确认user2能否删除之前user1创建的两个对象

备注:user1\user2\user3都可以进行类似的测试

隐藏属性

  1. 隐藏属性的设置
    修改隐藏属性的命令格式:chattr [+=-] [Asacdistu] 文件或目录名

    参数备注
    i不能增删改
    a只能累加

    i
    ![a](https://img-blog.csdnimg.cn/8cc9f3ce10024522a28dfdee83d79899.png
    注:lsattr为查看隐藏属性的命令

    设置隐藏属性 a:

    增加隐藏属性 a
# chattr +a file2
覆盖隐藏属性为 a
# chattr =a file2
删除隐藏属性 a
# chattr -a file2

    设置隐藏属性 i

    增加隐藏属性 i
# chattr +i file2
覆盖隐藏属性为 i
# chattr =i file2
删除隐藏属性 i
# chattr -i file2

    查看隐藏属性:

    查看文件的隐藏属性
# lsattr file2
查看目录的隐藏属性
# lsattr /tmp/test

  2. 隐藏属性的性质

    1)隐藏属性 a 的性质
    在这里插入图片描述
    无法用vim修改file2的内容
    当加了隐藏属性 a 后,连root也无法删除和无法用vim进行修改,
    可以通过echo数据流将数据累加写入(累加例:echo “456” >> file2),但是如果不是通过累加的方式(>>)而是通过覆盖(>)的方式写入的话是不允许的操作(覆盖例:echo “456” > file2)
    后面讲述标准数据流会介绍 >> 和 > 相关的内容
    无法通过echo覆盖带有隐藏属性a的file2

    2)隐藏属性 i 的性质
    在这里插入图片描述
    :wq!时
    当加了隐藏属性 i 后root也不能再进行增加、修改、删除,比 a 属性更加严格,文件变为了只读文件
    在这里插入图片描述
    甚至连改名都是不行的,基本上对该文件无法做任何操作,如果想要删除只能乖乖的去掉隐藏属性 i 后再删除

    后话:在实际的应用环境当中有时候黑客入侵后对二进制命令(二进制文件)的隐藏属性的修改后会造成连root都无法删除文件的现象,甚至有的情况更加会结合剥夺chattr使用内核的能力导致无法对隐藏属性删除,这时重启可以恢复chattr的内核使用能力。
    当然,存在既有它的道理,隐藏属性可以防止root权限的泛滥,换句话说就算你是root你也不能无法无天,隐藏属性还可以和CAP概念的结合利用来提高系统的容错和安全系数。

JovaZou
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
cuda-repo-rhel7-11-0-local-11.0.2_450.51.05-1.x86_64.txt
08-07
cuda-repo-rhel7-11-0-local-11.0.2_450.51.05-1.x86_64
关于linux的chmod权限用法
weixin_46958949的博客
04-19 1062
从第二位开始分为三组,每组三个,第一组为root用户权限,第二组为当前组下其他用户权限,第三组为其他用户权限。例如给test文件增加其他用户读和执行权限,则代码为:chmod o+rx test。d是目录文件,l是链接文件,-是普通文件,p是管道。若想其他用户正常访问此文件夹则至少需要r和x权限。r 是可读,w 是可写,x 是可执行。关于linux的chmod权限用法。g 代表用户组(group)o 代表其他(other)u 代表用户(user)给指定用户增加权限问题。a 代表所有(all)
Linux chmod命令详解,Linux修改文件权限
wangyuxiang946的博客
01-03 2万+
Linux修改文件和目录权限, 数字形式修改权限, SUID权限详解 文件权限的含义,
浅析Linux命令之chmod
海阔天空sky的博客
08-27 1004
1、前言 Linux文件访问者有3种身份: u:文件的拥有者(user)g:文件所属的群组(group)o:其他用户(others) Linux文件的3种访问权限: r:读取文件权限(read)w:写入文件权限(write)x:执行的权限(execute) 2、功能 chmod用于改变不同身份的用户对文件或目录的访问权限。设置方式有两种:字符设定法、数字设定
RHEL8---权限管理
2301_77081516的博客
12-03 53
本章主要介绍Linux系统中的权限管理。
Linux权限详解(644、755、777等等)
慕白Lee的博客
11-27 643
4-6位5等于4+1+0,r-x,同组用户具有读取、执行权限但没有写入权限;7-9位5,同上,也是r-x,其他用户具有读取、执行权限但没有写入权限。1-3位7等于4+2+1,rwx,所有者具有读取、写入、执行权限;7(4+2+1 | 读取+写入+执行)1-3位数字代表文件所有者的权限,4-6位数字代表同组用户的权限,7-9数字代表其他用户的权限。5(4+1 | 读取+执行);6(4+2 | 读取+写入);读取的权限等于4,用r表示;写入的权限等于2,用w表示;执行的权限等于1,用x表示;
RHEL7OSP-6.0-2015-02-23.2-x86_64下载.txt
05-17
RHEL7OSP-6.0-2015-02-23.2-x86_64.iso 安装文件希望能帮助到各位,链接已更新。
rhel7-extras
07-21
RHEL7-extras.iso
RHEL7OSP-6.0-x86-64.iso 安装文件
最新发布
02-03
RHEL7OSP-6.0_64.iso 安装文件希望能帮助到各位
RHEL-7命令手册+详细实例
11-12
命令手册为7系列rhel系统适用,已经按字母排序,按模块划分,涵盖大量常用命令常用选项及实例,文档有目录,带连接,适合有一定基础人使用,
RHEL7普通权限特殊权限、acl的设置
weixin_34032621的博客
12-08 160
文件基本权限   rwx    r-x     r-x     user1  user1  FILENAME类型 拥有者的权限 所属组的权限 其他人的权限 拥有者  属组   对象 对于文件:r读  w写  x执行 对于目录:r读(看到目录里面有什么) ls     w建文件、删除、移动 touch mkdir rm mv cp     x进...
redhat笔记2-权限组及特殊权限
PC小可的博客
02-15 572
用户和组 用户:访问资源的标识(钥匙) 租户:用户+配额(运营) 组:拥有相同属性的用户的集合 基本组(私有组)一个用户只有一个基本组 附加组(公共组)一个用户的基本组也可以是其他用户的附加组 UID:用户表示符 默认值0-60000 超级用户0 普通用户1000-60000 程序用户+普通管理员1-999 GID:组标识符 跟着UID来看的 用户配置文件: /etc/passwd :存放用户基本信息 root:x:0:0:root:/r...
Ubuntu常用指令
2301_77284388的博客
04-28 309
按v,然后移动光标,可以选择内容,再按y复制选中的内容。,该命令添加了 拥有者和同组用户 对file1文件的 读、写、执行权限。不保存文件,并退出,如果文件做了修改,但有不想保存,需要用:q!只保存文件,但是不退出vi,可以切换到输入模式下面继续编辑文件。,该命令添加了 所有人 对file1文件的 读、写、执行权限。按d$ - 删除光标所在处到行尾的内容。按$ - 光标移动到所在行的行尾。ls 命令的“-l”选项,这样可以显示出更多的信息。,该命令添加了 拥有者对file1文件的写权限
RedHat红帽认证---RHCSA
wei_shuo的博客
06-23 1519
RedHat红帽认证---RHCSA
Linux操作系统--用户和群组(保姆级教程)
qq_36984661的博客
02-02 1987
上面我们说的是,三个字符一个组,比如当前用户的权限是第二,第三,第四位表示。我们可以发现的规则是,他们都是占三位,那么可以用另外的一种表示方式,也就是二进制,在数学上我们说的数值都是从右往左数的,那么我们可以明确的是,这里的权限是三位一组。从左往右第二个、第三个、第四个,这三个是文件的所有者拥有的权限,是红色线框框起来的部分,在从左往右数,第五个,第六个,第七个是文件的所有者所在的群组中账户对文件权限,是蓝色线框框起来的部分,从左往右第八个,第九个,第十个,是other对文件的操作权限
Linux文件和目录权限/特殊权限/SUID/GUID
-
03-13 848
Linux文件和目录权限
Linux_红帽8学习笔记分享_5(特殊管理权限)
屹力97
04-19 489
SGID目录最大的一个区别,它在SGID类型目录中创建的对象,它的所属组会自动继承副目录的所属组(例题:在某一个位置创建一个目录,不管谁在这个目录下写新的对象,它的所属组必须是指定的group。如上图所示,在root身份下创建的文件,它的权限转化为十进制数就是644,并且644=777-022-111(111并不是绝对的,它的值遵循有X则减,无X则不变,对于所有者、组内、组外,如果它们有X权限,那么它就减1,如果没有X权限,则不进行减)s代表该执行位原先具有X的权限,S代表该执行位原先不具有X的权限
Linux 文件权限chmod命令
热门推荐
wlwh90的专栏
11-12 2万+
概述Android开发的过程中,经常需要从手机中导出文件(非存储卡中的,比如/data/data/包名/databases/下的数据库文件,手机需要root),会出现permission denied或remote object “*” does not exist的错误,如下图所示: permission denied错误,有些时候,是由于手机没有root导致的,手机如何root,还请自行去百度
[RHEL7基础-4] 用户和权限
zjw529507929的博客
02-08 1664
用户和权限,umask,sudo,su
rhel-baseos-9.1-x86_64-dvd
12-17
rhel-baseos-9.1-x86_64-dvd是Red Hat Enterprise Linux (RHEL)的一个版本,它是面向x86_64架构的64位系统。RHEL是一款基于Linux的操作系统,它由Red Hat公司开发并提供支持。 RHEL被广泛应用于企业级环境中,提供了可靠的、安全的和稳定的操作系统。该操作系统具有良好的性能和可扩展性,可适用于各种应用场景。它支持多种工作负载,包括传统的物理服务器、虚拟机和云平台。 rhel-baseos-9.1-x86_64-dvd是一个DVD映像文件,它包含了RHEL 9.1基础操作系统的所有内容。用户可以使用它来安装RHEL 9.1系统,以获得稳定的操作环境。 安装RHEL 9.1最新版本的DVD映像文件可以确保用户具有操作系统的所有功能和改进。用户可以通过该DVD映像进行全新安装,也可以进行升级,以获取新功能和安全性修复。 RHEL 9.1提供了诸多功能与改进,包括对最新硬件的支持、新的软件包版本、安全性增强以及性能优化等。用户可以借助该版本利用RHEL的强大功能来设计、部署和管理他们的应用程序。 总而言之,rhel-baseos-9.1-x86_64-dvd是Red Hat Enterprise Linux 9.1基础操作系统的映像文件,是一款稳定可靠的企业级操作系统,具备出色的性能、安全性和可扩展性,适用于各种应用场景。用户可以通过该映像文件进行安装和升级,以获得最新的功能和改进。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

JovaZou

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值