# day13今日安排
-
默写
-
昨日作业讲解
-
文件权限篇综合知识脑图
-
特殊权限(了解)
linux提供的12个特殊权限
默认的9位权限
rwx rwx rwx
还有三个隐藏的特殊权限,如下
suid 比如 /usr/bin/passwd
sgid
sbit
特殊权限对照表
| 类别 | suid | sgid | sticky |
|---|---|---|---|
| 字符表示 | S | S | T |
| 出现位置 | 用户权限位x | 用户组权限位x | 其他用户权限位x |
| 基本权限位有x | s | s | t |
| 数字表示法 | 4 | 2 | 1 |
| 八进制表示法 | 4000 | 2000 | 1000 |
| 生效对象 | 用户位 | 用户组 | 其他用户 |
suid的作用
我们会发现这个passwd命令,有一个奇怪的s权限,这干啥的?
可以看到,原本表示文件所有者权限中的 x 权限位,却出现了 s 权限,此种权限通常称为 SetUID,简称 SUID 特殊权限。
看这里,理解suid的作用
-
SUID 特殊权限仅适用于可执行文件
- 二进制命令
- 比如系统的/usr/bin下提供的命令,如 /usr/bin/ls,如/usr/bin/rm
-
所具有的功能是,只要用户对设有 SUID 的文件有执行权限,那么当用户执行此文件时,会以文件属主的身份去执行此文件
-
先看一个没有suid权限的二进制命令 [root@yuanlai-0224 tmp]# ll /usr/bin/rm - rwx r-x r-x. 1 root root 62864 4月 11 2018 /usr/bin/rm # 当你给这个rm命令,设置了suid权限,那么普通用户在执行该rm命令时,就以属主的身份去执行(root身份) 如果你给rm命令设置了suid权限 这个普通用户执行了如下命令,会如何 rm -rf /* cc03用户 执行 rm -rf /tmp/* 留作业,你们试一试,友好提醒,做好快照 如上,理解suid的作用。
-
-
一旦文件执行结束,身份的切换也随之消失。
以这个/usr/bin/passwd可执行命令举例
就是让普通用户,执行该命令时,临时获得root的权限。
实际用法,suid可以让普通用户,修改自己的密码,是因为
可执行文件/usr/bin/passwd 有了suid权限。
自己去试试给 /usr/bin/rm设置suid,查看普通用户,再使用rm时的权限。
找出系统中,所有包含了suid权限的
# find提供权限查找的参数 -perm -ls find提供的格式化打印参数,就好比-exec -ok -delete 一样
find / -type f -perm -4000 -ls
find / -type f -name '*.log' -ok rm -f {} \;
sgid的作用
1.对于二进制命令来说,sgid的功能和suid基本一样,只不过一个是设置文件属主的权限,一个是设置属组的权限,和9位基本rwx那个理解概念一样。
2. suid是获得文件属主的权限,sgid是获得文件属组的权限
3. sgid主要用于文件夹,为某个目录设置sgid之后,在该目录中的创建的文件,都以(目录的属组)权限为准,而不属于创建该文件的用户权限,这就实现了多个用户,可以共享一个目录的作用。
一般直接和文件夹结合使用,给文件夹设置sgid,等于设置了一个共享文件夹的概念
简单总结
1.一个普通的文件夹,普通用户cc03进入后,创建文件,user,group都属于谁?都属于cc03
baoqiang01 进入后,创建文件 ,都属于谁? baoqiang01
2.当一个文件夹设置了sgid,普通用户cc03进入后,创建的文件,user属于cc03,group属于了文件夹的属组。
baoqiang01 进入后,创建了文件,user,group属于谁?user属于baoqiang01,group属于文件夹的属组。
将sgid和红帽认证考题结合练习
考生账号是 user01
[user01@yuanlai-0224 ~]$
1.创建一个共享目录/home/admins
mkdir /home/admins
2.要求该目录属组是adminuser,adminuser组内成员对该目录的权限是,可读,可写,可执行。
创建组adminuser
groupadd adminuser
修改/home/admins的属组
chgrp adminuser /home/admins
修改group角色的权限是 r,w,x
chmod g=rwx /home/admins
3.其他用户均无任何权限(root特例)
chmod o='' /home/admins
4.这道题,的最后一个难关,是这个》》》》 进入/home/admins创建的文件,自动继承adminuser组的权限。
(这里用到了sgid的权限吗,你需要给/home/admins设置sgid权限,肯定得是root去设置吧)
用字母表示法,给文件夹设置sgid权限
chmod g+s /home/admins
[root@yuanlai-0224 ~]# ll /home/admins/ -d
drwxrws---. 2 root adminuser 6 3月 17 11:50 /home/admins/
5.此时你在这个目录下,创建的文件,自动继承adminuser的权限(文件的group,默认就是adminuser了)
[root@yuanlai-0224 ~]#
[root@yuanlai-0224 ~]# touch /home/admins/我是root.log
[root@yuanlai-0224 ~]#
[root@yuanlai-0224 ~]#
[root@yuanlai-0224 ~]# mkdir /home/admins/我是root文件夹
[root@yuanlai-0224 ~]#
[root@yuanlai-0224 ~]#
[root@yuanlai-0224 ~]# ll /home/admins/
总用量 0
-rw-r--r--. 1 root adminuser 0 3月 17 11:56 我是root.log
drwxr-sr-x. 2 root adminuser 6 3月 17 11:56 我是root文件夹
[root@yuanlai-0224 ~]#
发现文件夹,也自动有了s权限,还实现了递归继承的效果
sbit的作用
直观的效果查看
1.创建一个公共目录,给与777权限
mkdir /0224linux/
chmod 777 /0224linux/
2.分别用2个普通用户,去操作,查看权限是如何
为什么需要学sbit权限
背后的原理是这个:
# 总结,在一个权限是 777的文件夹下,所有用户,可以进行 r,w,x的操作,也就意味着,可以随便,删除其他人的资料!!
linux中的确存在这么一个公共文件夹,名字叫做/tmp 临时文件夹
sbit粘滞位,用的已经很少了,但是对于系统特殊文件夹/tmp来说,是整个系统所有用户的临时文件存放地,谁都有任意的权限,你会发现该目录的权限巨大。
[root@yuchao-tx-server ~]# ll -d /tmp/
drwxrwxrwt. 8 root root 4096 3月 16 18:54 /tmp/
但是看到了一个特殊权限t
一句话总结。
当目录有了粘滞位特殊权限,这个目录除了root用户特殊以外,任何用户都只能删除、移动自己的创建的文件,而不能影响到其他人。
演示
没有设置粘滞位,且目录是777权限时,也就是任意的user、group、other角色在这个目录下,可以进行读、写、执行任意文件。
1.移除/tmp的sbit权限,查看该目录下的文件操作
[root@yuanlai-0224 0224linux]# chmod o-t /tmp
[root@yuanlai-0224 0224linux]# ll -d /tmp
drwxrwxrwx. 11 root root 260 3月 17 12:26 /tmp
请注意,还给人家加上去
2.自己创建一个共享目录,只能创建,不能删除别人的资料
[root@yuanlai-0224 0224linux]# chmod o+t /0224linux/
[root@yuanlai-0224 0224linux]#
[root@yuanlai-0224 0224linux]#
[root@yuanlai-0224 0224linux]# ll -d /0224linux/
drwxrwxrwt. 2 root root 47 3月 17 12:18 /0224linux/
[root@yuanlai-0224 0224linux]#
然后再用俩用户,演示文件删除动作