SetUID(SUID)
SetUID的说明
1)只有可执行的二进制程序才能设定SetUID权限,对其他文件也可以设定,但是没有实际意义
2)命令执行者要对文件拥有x权限,SetUID权限才会生效
3)命令执行者在执行程序时获得该文件所有者的身份
4)SetUID权限只在该程序执行过程中有效,即用户身份的改变只在程序执行过程中有效
示例:passwd命令具有SetUID权限
所有者的权限为rws,表明该文件设定了SUID权限
我们知道,修改密码实际上改变的是/etc/shadow文件中的内容,但是该文件对所有用户的权限为---------,只有root有修改权限;但实际上普通用户也可以修改自己的密码,这是因为为passwd命令设定了SUID权限,普通用户在执行该命令时就会暂时变为root身份,修改密码后,命令结束,又恢复了普通用户身份
设定SUID权限
chmod 4755 文件名 在普通权限之前加上4,就代表了SUID权限
chmod u+s 文件名
取消SUID权限
chmod 755 文件名
chmod u-s 文件名
如果查看文件的SUID权限,SUID标志位S,说明SUID权限无效,如下图的文件所有用户都没有x权限(违背了说明的第二条)
SetGID(SGID)
SGID可以作用于文件和目录,但是作用效果不同
针对文件的作用
1)只有可执行二进制程序才能设置SGID权限
2)命令执行者要对程序拥有x权限
3)命令执行者在执行程序时,执行者的组身份变为该程序文件的属组
4)SGID权限同样只在程序执行中生效,即组身份改变只在程序执行中有效
针对目录的作用
1)普通用户必须对目录拥有r、x权限,才能进入该目录
2)普通用户在此目录中的有效组会变成此目录的属组
3)若普通用户对此目录拥有w权限,新建的文件的默认属组就是这个目录的属组
设定SGID权限
chmod 2755 文件名
chmod g+s 文件名
取消SGID权限
chmod 755 文件名
chmod g-s 文件名
Sticky BIT(SBIT、黏着位权限)
SBIT的说明
1)黏着位只对目录有效
2)普通用户对该目录拥有w、x权限
3)如果没有黏着位,因为普通用户拥有w权限,所以可以删除此目录下的所有文件,包含其他用户建立的文件;一旦赋予了黏着位,除了root可以删除所有文件,普通用户就算拥有w权限,也只能删除自己建立的文件,但是不能删除其他用户建立的文件
ll -d /tmp
设定SBIT权限
chmod 1755 目录名
chmod o+t 目录名
取消SBIT权限
chmod 755 目录名
chmod o-t 目录名
文件系统属性权限chattr
chattr命令格式
chattr +-= 选项 文件/目录
+ 增加权限;- 减少权限;= 赋予权限
选项:
i:如果对文件设置i属性,那么不允许对文件进行删除改名,也不能添加和修改数据;如果对目录设置i属性,那么只能修改目录下文件的数据,但不允许建立和删除文件
a:如果对文件设置a属性,那么不允许对文件进行删除改名,只能在文件中添加数据(只能使用echo的方式追加内容,使用vim编辑器添加数据不被允许),但是不能删除和修改数据;如果对目录设置a属性,那么只能允许在目录中建立和修改文件,但是不允许删除文件
查看文件系统的属性
lsattr 选项 文件名
-a 显示所有文件和目录属性
-d 若目标为目录,仅列出目录本身的属性,不列出子文件的属性
最后需要注意的是,SUID、SGID、SBIT权限对root用户无效,但是chattr权限对root也生效
sudo权限
sudo的说明
1)sudo的操作对象是系统命令
2)root把本只能超级用户执行的命令赋予普通用户执行
sudo使用
visudo
用户名 被管理主机的地址=(可使用的身份) 授权的命令
说明:
visudo命令等价于 vi /etc/sudoers,该文件内容中有一行显示:
这句话使得root用户可以在本网段的任何主机上执行任何命令
各字段的对应含义
root 用户名;如果是用户组,那么前面应该加上%
第一个ALL 被管理主机的地址,如果需要管理所有主机就用ALL
第二个ALL 可使用的身份,ALL表示可以使用任意身份,这里主要指root,也可以不写
第三个ALL 授权的命令,ALL代表所有命令
如果给普通用户授予某个命令的执行权,可以仿照这种格式,vi /etc/sudoers或visudo命令
