特殊權限及facl

shadow ? ? Linux干貨

Linux系統上的特殊權限

         特殊權限:SUID,  SGID,  STICKY

安全上下文:

        1、進程以某用戶的身份運行,進程是發起此進程用戶的代理,因此用戶的身份和權限完成所有操作;

        2、 權限匹配模型:

             (1)判斷進程屬主,是否為被訪問的文件屬主;如果是,則應用屬主的權限;否則進入第2步;

             (2)判斷進程的屬主,是否屬于 被訪問的文件屬組;如果是則應用屬組的權限,否則進入第三步;

               (3)應用other的權限;

  

 SUID:

          默認情況下:用戶發起的進程,進程的屬主是其發起者;因此,其以發起者身份在運行;|

          SUID的功用:用戶運行某程序時,如果此程序擁有SUID權限,那些程序運行為進程是,其屬主不是發起者,而是程序文件自己的屬主;

 管理文件的SUID權限:

         chmod u+ | -s FILE…..

         展示位置:屬主的執行權限位

                 如果屬主原本有執行權限,顯示為小寫s、

                 否則,顯示為大寫S;

SGID:

          功用:當目錄屬組有寫權限,且有SGID權限是,那么所有屬于此目錄的屬組,且以屬組身份在此目錄中新建成文件或目錄是看,新文件的屬組不是用戶的基本組,而是此目錄的屬組;

         管理文件的SGID權限:

                 chmod g+ | -s FILE…

        當前位置:屬組的執行權限位

               如果屬組原本有執行權限,顯示為小寫s,

               否則,顯示為大寫s;

  Sticky :

           功用:對于屬組或全局可寫的目錄,組內的所有用戶或系統上的所有用戶對此目錄都能創建或刪除已有文件;如果為此類目錄設置sticky權限,則每個用戶能創建新文件,且只能刪除自己的文件;

           管理文件的Sticky權限:

                   chmod o +| -t FILE…

       展示位置:其它用戶的執行權限位

                 如果其他用戶原本有執行權限,顯示為小寫t、

                 否則,顯示為大寫T;

系統上的/tmp/和/var/tmp目錄默認均有sticky權限;

管理特殊權限的另一方式;

         suid sgid sticky

  000  0

  001  1

  010  2

  011   3

  100   4

   101   5

    110   6

    111    7

chmod  1777

z基于八進制方式賦權是,可于默認的三位八進制屬組左側在加上一位八進制數字;

       例如:chomd 1777

facl: file access control lists

        文件的額外賦權機制:

                在原來的u.g.o之外,另一層讓普通用戶能控制賦權給另外的用戶

       getfacl命令:

                  getfacl FILE…

                       user:USERNAME: MODE

                        group: GROUPANME:MODE

     setfacl命令:

         賦權給用戶:

                setfacl  -m u:USERNAME: MOOE FILE…

         賦權給組:

                 setfacl  -m g:GROUPNAME:MODE FILE…

          撤銷賦權:

                  setfacl -x u: USERNAME FILE…

                   setfacl -x g:GROUPNAME  FILE…

原創文章,作者:shadow,如若轉載,請注明出處:http://www.www58058.com/58411

(0)
shadowshadow
上一篇 2016-11-07
下一篇 2016-11-08

相關推薦

  • linux文件系統(ext2\ext3\ext4,xfs,btrfs…)的介紹[轉載]

    ext2\ext3\ext4,xfs,btrfs 都是針對服務器系統越來越高效實用的日志文件系統 日志文件系統:    日志文件系統是一種即使在斷電或者是操作系統崩潰的情況下保證文件系統一致性的途徑。XFS對文件系統元數據提供了日志支持。當文件系統更新時,元數據會在實際的磁盤塊被更新之前順序寫入日志。XFS的日志被保存在磁盤塊的…

    Linux干貨 2017-01-31

  • PXE原理詳解及實踐

    一、PXE簡介 PXE(preboot execute environment,預啟動執行環境)是由Intel公司開發的最新技術,工作于Client/Server的網絡模式,支持工作站通過網絡從遠端服務器下載映像,并由支持通過網絡啟動操作系統,再啟動過程中,終端要求服務器分配IP地址,再用TFTP(trivial file transfer protocol…

    Linux干貨 2017-01-10

  • Linux 基礎(6)—— 權限

    修改所屬人,所屬組                文件的 r w x 權限            修改文件的權限chmod          umask &nb…

    2017-07-27

  • N25第三周總結

    linux   bassic The third week of blogging 1、列出當前系統上所有已經登錄的用戶的用戶名,注意:同一個用戶登錄多次,則只顯示一次即可。  ~]# who | cut -d' ' -f1 | uniqr…

    Linux干貨 2016-12-17

  • mongodb的復制集實現

    簡介:  mongodb有兩種類型的復制,第一種是同于MySQL的主從復制模式,第二種是復制集,提供了自動故障轉移的主從復制集群。其中復制集沒有固定的主節點,當一個主機的故障后從節點會重新“選舉”出一個新的主節點,從而提高的系統的可用性 一、實驗環境: (1)各節點信息: node1: 172.16.2.12 node2: 172.16.2.13 …

    Linux干貨 2015-09-05

  • 一切皆文件

    Linux Linux內一切皆文件;表現之一:硬件設備也通過文件表示 物理終端:/dev/console 虛擬終端: /dev/tty#[1,6] 串行終端:/dev/ttyS# 偽終端: /dev/pts/# 注意:在啟動設備之后,在其上關聯一個用戶接口程序,即可實現與用戶交互,交互式程序有兩類:GUI(圖形化界面)和CLI(命令行界面)。 查看終端設備:…

    Linux干貨 2017-04-01
欧美性久久久久