上次讲了基本权限管理中的chown、chgrp、chmod以及umask四个命令,今天我们来讲一讲权限最后的一点内容特殊权限位:SUID、SGID、Sticky以及facl
一、SUID
定义:运行某程序时,相应进程的属主是程序文件自身的属主,而不是启动者赋予SUID位方法:chmodu+sFILE撤销SUID位方法:chmodu-sFILE注:如果FILE本身原来就有执行权限,则SUID显示为s;否则显示S[root@soysauce~]#ll`whichtail`-rwxr-xr-x.1rootroot57560Nov22/usr/bin/tail#默认没有SUID位[root@soysauce~]#su-user1#切换至user1用户[user1@soysauce~]$tail-1/etc/shadow#此时tail进程的属主属组都为user1tail:cannotopen`/etc/shadow'forreading:Permissiondenied[user1@soysauce~]$exitlogout[root@soysauce~]#chmodu+s/usr/bin/tail#赋予tail命令SUID位[root@soysauce~]#ll/usr/bin/tail-rwsr-xr-x.1rootroot57560Nov22/usr/bin/tail[root@soysauce~]#su-user1[user1@soysauce~]$tail-1/etc/shadow#此时tail进程的属主属组都为rootuser2:!!:16760:0:99999:7:::
过程详述:
当tail命令没有SUID位时,user1用户发起tail进程,此时tail这个进程的属主为user1,属组为user1用户所在的基本组,当这个tail进程访问/etc/shadow文件时,tail进程的属主user1既不是/etc/shadow文件的属主,也不属于shadow文件的属组,于是以其他人的权限访问这个shadow文件,因为其他人并没有任何权限,所以读取不了,会提示权限拒绝;当tail命令有了SUID位时,任何用户发起tail进程时,tail进程的属主变为了这个tail文件本身的属主,属组变为了tail文件本身的基本组,再次访问/etc/shadow文件时,tail进程的属主刚好是shadow文件的属主,于是便应用属主的权限来访问。
二、SGID
定义:运行某程序时,相应进程的属组是程序文件自身的属组,而不是启动者所属的基本组赋予SGID位方法:chmodg+sFILE撤销SGID位方法:chmodg-sFILE注:如果FILE本身原来就有执行权限,则SUID显示为s;否则显示S对一个目录赋予SGID权限位时,任何用户在这个目录下创建文件时,文件的属组是这个目录的属组,而不是用户的基本组
例:user1,user2,user3都属于Develop组,且都需要在/tmp/project目录下编辑这个Develop组内其他用户创建的文件,此时就需要用到SGID了
[root@soysaucetmp]#groupaddDevelop[root@soysaucetmp]#usermod-a-GDevelopuser1#将user1、user2、user3添加到Develop组[root@soysaucetmp]#usermod-a-GDevelopuser2[root@soysaucetmp]#usermod-a-GDevelopuser3[root@soysaucetmp]#iduser1#此时可以看到user1有个附加组Developuid=500(user1)gid=500(user1)groups=500(user1),503(Develop)[root@soysaucetmp]#chown:Developproject/[root@soysaucetmp]#lltotal820-rw-r--r--1rootroot832104Sep1812:54nginx-1.8.0.tar.gzdrwxrwxr-x2rootDevelop4096Nov2120:26project[root@soysaucetmp]#su-user1#切换为user1用户[user1@soysauce~]$cd/tmp/project/[user1@soysauceproject]$toucha[user1@soysauceproject]$lltotal0-rw-rw-r--1user1user10Nov2120:31a#a文件的属主属组都为user1[user1@soysauceproject]$exitlogout[root@soysaucetmp]#su-user2#切换用户为user2[user2@soysauce~]$cd/tmp/project/[user2@soysauceproject]$echo"hello">>a#往a文件中添加一行hello-bash:a:Permissiondenied#其他用户并没有写权限[user2@soysauceproject]$exit#退出,切换为root用户logout[root@soysaucetmp]#chmodg+s/tmp/project/#给project目录添加SGID[root@soysaucetmp]#ll-d/tmp/project/drwxrwsr-x2rootDevelop4096Nov2120:31/tmp/project/#此时project目录基本组已变为了Develop组[root@soysaucetmp]#su-user1#重新切换为user1用户[user1@soysauce~]$touch/tmp/project/b#创建一个新文件b[user1@soysauce~]$ll/tmp/project/b-rw-rw-r--1user1Develop0Nov2120:39/tmp/project/b#b的基本组为Develop组[user1@soysauce~]$exitlogout[root@soysaucetmp]#su-user2#切换为Develop组内的另一个用户user2[user2@soysauce~]$echo"Hello">>/tmp/project/b#往b文件中写字符串Hello[user2@soysauce~]$cat/tmp/project/bHello#写入成功,此时Develop组内用户可以随意其他用户在/tmp/project目录下新创建的文件
三、Sticky
定义:在一个公共目录,每个都可以创建文件,删除自己的文件,但不能删除别人的文件赋予Sticky位方法:chmodo+tDIR撤销Sticky位方法:chmodo-tDIR注:如果FILE本身原来就有执行权限,则SUID显示为s;否则显示S对一个目录赋予Sticky位时,用户只能删除在该目录下自己创建的文件,并不能删除其他用户的文件[user2@soysauceproject]$lltotal4-rw-rw-r--1user1Develop0Nov2120:31a-rw-rw-r--1user1Develop6Nov2120:40b[user2@soysauceproject]$rm-rfb#已经删除成功[user2@soysauceproject]$touchc[user2@soysauceproject]$lltotal0-rw-rw-r--1user1Develop0Nov2120:31a-rw-rw-r--1user2Develop0Nov2120:53c[user2@soysauceproject]$exitlogout[root@soysaucetmp]#chmodo+t/tmp/project/#给project目录添加Sticky权限位[root@soysaucetmp]#su-user1[user1@soysauce~]$rm-rf/tmp/project/c#删除user2用户创建的文件,提示不允许rm:cannotremove`/tmp/project/c':Operationnotpermitted[user1@soysauce~]$rm-rf/tmp/project/a#可以删除自己创建的文件,并不能删除其他用户的文件
四、facl
FACL(Filesystem Access Control List):利用文件扩展保存额外的访问控制权限
设置facl命令:setfacl [-R] -m|-xu|g:USER:MODE file_name
查看facl命令:getfacl file_name
1.设置facl权限命令:
[root@soysaucetest]#touchtest.txt[root@soysaucetest]#lltotal0-rw-r--r--1rootroot0Nov2122:48test.txt[root@soysaucetest]#su-user2[user2@soysauce~]$echo"hello,world">>/tmp/test/test.txt-bash:/tmp/test/test.txt:Permissiondenied#user2用户对test文件并没有写权限[user2@soysauce~]$exitlogout[root@soysaucetest]#setfacl-mu:user2:rw/tmp/test/test.txt#设置user2用户有读写权限[root@soysaucetest]#getfacl/tmp/test/test.txtgetfacl:Removingleading'/'fromabsolutepathnames#file:tmp/test/test.txt#owner:root#group:rootuser::rw-user:user2:rw-#可以看到user2用户对test.txt文件已经有了读写权限group::r--mask::rw-other::r--[root@soysaucetest]#su-user2[user2@soysauce~]$echo"hello,world">>/tmp/test/test.txt[user2@soysauce~]$cat/tmp/test/test.txthello,world#facl生效,写入内容成功
2.取消facl权限
[root@soysaucetest]#getfacl/tmp/test/test.txtgetfacl:Removingleading'/'fromabsolutepathnames#file:tmp/test/test.txt#owner:root#group:rootuser::rw-user:user2:rw-#可以看到user2用户对test.txt文件已经有了读写权限group::r--mask::rw-other::r--[root@soysaucetest]#setfacl-xu:user2/tmp/test/test.txt[root@soysaucetest]#getfacl/tmp/test/test.txtgetfacl:Removingleading'/'fromabsolutepathnames#file:tmp/test/test.txt#owner:root#group:rootuser::rw-group::r--mask::r--other::r--[root@soysaucetest]#su-user2[user2@soysauce~]$echo"hello,python">>/tmp/test/test.txt-bash:/tmp/test/test.txt:Permissiondenied#facl规则取消了,所以user2便不能写入
权限访问次序
没有facl:Owner-->Group-->Other
有facl:Owner-->facl,user-->Group-->facl, group-->Other
如果觉得《特殊权限控制之SUID SGID Sticky及facl》对你有帮助,请点赞、收藏,并留下你的观点哦!