Linux之特殊权限

news2025/11/4 18:09:15

Linux之特殊权限

SUID

定义

案例

原因

查找真个系统的SUID/SGID文件

SGID

定义：

Sticky Bit

案例

设置文件和目录的特殊权限

方法一使用 chmod命令

方法二使用数字形式的权限模式

设置新建文件或目录的默认权限

设置修改文件的扩展性

设置文件的扩展性

语法格式

参数及作用

案例

查看文件扩展属性

语法格式

参数及作用

案例

Linux之特殊权限

在Linux 系统中 , 用户对文件或目录的访问权限 , 除了 r( 读取 ) 、 w( 写入 ) 、 x( 执行 ) 三种一般权限外 , 还有 SETUID(SUID) 、 SET GID(SGID) 、 Sticky Bit(粘滞位 ) 三种特殊权限 , 用于对文件或目录进行更加灵活方便的访问控制

SUID

定义

是为了让一般用户在执行某些程序的时候，在程序的运行期间，暂时获得该程序拥有者的权限

案例

student 在执行 passwd 修改自己的密码时，其修改的密码。最终是需要保存到/etc/shadow文件中，而这个文件的权限是----------. ，它的拥有者是root，也只有root可以“强制”存储，其他用户都不可以查看

但是student 去执行 passwd（/usr/bin/passwd) ，却可以更新自己的密码，说明/etc/shadow ，student 这个普通用户的身份可以去访问文件，可是明明 /etc/shadow 没有student 可访问的权限！

原因

存在S权限，当 S 权限在拥有者的权限位上时，即如-rwsr-xr-x这样时，称为 SUID

SUID 即 Set UID --- UID 指的是拥有者的的 ID，而这个程序 (/usr/bin/passwd) 的拥有者（root)

注意：

SUID仅对二进制文件有效

查找真个系统的SUID/SGID文件

[root@localhost /]# find / -perm /6000

参数	作用
6000	查看所有具有SUID或GUID的文件
4000	所有SUID的文件
2000	所有的GUID

SGID

定义：

文件 --- 如果SGID设置在二进制文件上，则不论用户是谁，在执行该程序的时候，它的有效用户组 (effective group)将会变成该程序的用户组所有者 (group id) ( 真正的组，原来的组）

目录 --- 如果SGID 是设置在A目录上，则在 A 目录内所建立的文件或目录的用户组，将会是此 A 目录的用户组

一般来说， SGID 多用在特定的多人团队的项目开发上，在系统中用的很少

Sticky Bit

定义

在具有SBIt的目录下，用户若在该目录下具有 w 及 x 权限，则当用户在该目录下建立文件或目录时，只有文件拥有者与root才有权力删除

注意：

Sticky Bit (SBit) 当前只针对目录有效，对文件没有效果

案例

当 student 用户属于 A 目录的 group 成员或属于 other ，且拥有 w 权限时，可以对该目录内任何人建立的目录或文件进行“ 删除/重命名/移动 ” 等操作

不过，如果将 A 目录加上了 Sticky Bit 权限，则 student用户只能针对自己建立的文件或目录进行“删除/重命名/移动” 等操作

设置文件和目录的特殊权限

方法一使用 chmod命令

chmod u±s 目录或文件 --- 添加或移除 SUID 权限

chmod g±s 目录或文件 --- 添加或移除 GUID 权限

chmod o±t 目录或文件 --- 添加或移除 sticky 权限

方法二使用数字形式的权限模式

可采用“nnnn” 格式的四位八进制数字表示

后面三位是一般权限的数字表示，前面第一位则是特殊权限的标志数字

特殊权限数字
0	不设置特殊权限
1	只设置 sticky
2	只设置 GUID 权限
3	只设置 SGID 和 sticky 权限
4	只设置 SUID 权限
5	只设置 SUID 和 sticky 权限
6	只设置 SUID 和 SGID
7	同时设置 SUID 、 GUID 、 sticky3 种权限。

设置新建文件或目录的默认权限

在Linux 系统中 , 当用户创建一个新的文件或目录时 , 系统都会为新建的文件或目录分配默认的权限 , 该默认权限并不是继承了上级目录的权限 , 而是与umask值(称为权限掩码)有关

与umask值的具体关系：

新建文件的默认权限 = 0666 -umask 值

新建目录的默认权限 = 0777 -umask 值

设置修改文件的扩展性

设置文件的扩展性

语法格式

chattr [ -RV ] [+-=acdijsuADS] 文件或目录名

参数及作用

参数	作用
-R	递归设置指定目录及其目录下的所有文件和子目录的属性
-V	详细显示目录和文件的属性设置情况
+	增加某项属性
·	取消某项属性
=	设置文件或目录只具有哪些属性
a	只允许向文件追加数据，不允许任何进程覆盖重写文件的内容
A	设置不允许系统更新文件的最后访问时间
i	不可修改属性。具有该属性的文件不能被删除、更名或修改其内容
c	压缩属性，写入或读取时，系统会自动进行压缩或解压缩
s	安全删除属性。即在删除一个文件时，会使用 0填充原文件所在的存贮区，以使恢复工具无法恢复出文件的内容
u	可恢复性的删除。对于具有该属性的文件，在删除时，系统会保留其数据块以便以后能恢复该文件的内容

案例

示例 --- 要给/test/file1.txt 文件增加不可修改属性

[root@localhost /]# chattr +i /etc/rc.local

查看文件扩展属性

语法格式

lsattr [-adR] 文件名或目录名

参数及作用

参数	作用
-a	列出目录中的所有文件（包括隐藏文件）
-d	以与文件相同的方式列出目录的扩展属性
-R	以递归的方式列出目录的属性及其内容

案例

示例 --- 将/test/file1.txt 文件设置为具有i属性和A属性，并查看设置后的属性

[root@localhost /]# chattr =ia /test/file1.txt 
[root@localhost /]# lsattr /test/file1.txt

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.coloradmin.cn/o/645056.html

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈，一经查实，立即删除！