第十一天 特殊权限
2019-08-08 本文已影响0人
杨小倪
今日内容
- 1 .特殊权限
- 2 .特殊属性 chattr lsattr -a
- 3 .umask默认权限(表示要减去的权限 目录:777 -umask 文件 :666 -umask)
1.特殊权限
1. suid (set uid)特殊权限
set uid 简称 suid
当我们为某个命令设定了suid,无论谁使用该命令 ,都会使用该命令的“属主”运行该命令
suid == 4000
chmod u+s /usr/bin/passwd #当任何用户使用这个命令时,会临时的以这个命令的属主运行
chmod 4755 /usr/bin/passwd #当任何用户使用这个命令时,会临时的以这个命令的属主运行
chmod u-s #去掉权限
- suid优点:可以让普通用户执行无法执行的命令 方便
- suid 缺点:如果rm为suid,无论谁执行该命令,都能删除系统的任何资源
image.png
进程能够以何种身份去查看一个文件,取决于运行这个进程的用户,对这个文件有没有权限
cat 是一个程序
当使用jacky用户运行cat,查看 /etc/shadow 文件时
进程是谁运行的? lamp
查看lamp 对 /etc/shadow 有没有读取的权限?
没有? 提示权限拒绝
image.png
- sgid (set gid)特殊权限 (RHCE 考试会用到)
将目录设置为sgid后,如果该目录下创建文件,都将与该目录的所属组保持一致,如下:
[root@oldboyedu ~]# groupadd devops [root@oldboyedu ~]# useradd zhangsan -G devops
[root@oldboyedu ~]# useradd lisi -G devops
[root@oldboyedu ~]# mkdir /opt/share
[root@oldboyedu ~]# chmod 2777 share/
[root@oldboyedu ~]# chown .devops share/
- 测试不同的用户在该目录下创建文件,检查属主和属组
- 使用sgid可以使得多个用户直接共享一个目录的所有文件变得简单。
- sbit
- 如果一个目录设定了粘滞位,那么谁都可以在该目录下创建文件;
- 删除文件只能是 谁创建的谁删除.
- 但是 root 和 目录的所属主都能删除该目录下的内容。
#设定粘滞位 1000
chmod o+t /tmp
chmod 1777 /tmp
image.png
image.png
2.特殊属性 chattr lsattr
- -a 只能追加,无其它操作
- -i 锁定文件,不能删除,不能追加,不能移动
1.希望任何人都不能创建用户,应该给/etc/passwd添加什么特殊属性
[root@oldboyedu ~]# chattr +i /etc/passwd
[root@oldboyedu ~]# lsattr /etc/passwd ----i----------- /etc/passwd # 不得任意更动文件或目录
#---------------------------------------------
[root@oldboyedu ~]# chattr -i /etc/passwd
[root@oldboyedu ~]# lsattr /etc/passwd ---------------- /etc/passwd
[root@oldboyedu ~]# useradd test123
2.日志文件,希望能往里追加内容,但不允许删除,应该添加什么特殊属性
[root@oldboyedu ~]# chattr +a /var/log/secure [
root@oldboyedu ~]# lsattr /var/log/secure
-----a---------- /var/log/secure
3.umask 默认权限
- umask使用了控制默认创建文件或目录的权限
- umask设定为022,表示要减去的权限
- 目录 777-022=755
- 文件 666-022 =644
- umask 设定为奇数 偶数 对文件和目录有什么影响?
- 文件:如果umask出现奇数,要在奇数位+1
- 目录:对目录毫无影响
- 设定umask
- umask number 临时(当前bash窗口有效,会随着bahs的关闭一起结束)
- vim /etc/profile /etc/login.defs #如果在这两个文件中修改,都为永久
- PS:umask 知道就行,不需要调整,默认就是安全的权限。
