其他分享
首页 > 其他分享> > 13 文件特殊权限位于文件的访问控制列表

13 文件特殊权限位于文件的访问控制列表

作者:互联网

  在上一节中,我们回顾了Linux下文件的相关属性,其中包括权限内容。而文件的权限除了属主属组和其他用户的三位rwx外,还有一位特殊权限。

  同时,对于文件访问也有更加细致的控制,也就是通过访问控制列表的方式来进行限制。

  这一节,我们就来了解这两个内容。

文件特殊权限位

  当我们通过chmod修改文件权限的时候,后面一般加上 644 或者 755 等这样代表权限的数值。其实,这里我们就默认忽略了特殊权限位,实际上 644 应该为 0644,而前面的  0 就代表了三位特殊权限位,他们分别是 SUID、SGID和Sticky。

SUID

  一般在用户去运行文件的时候,使用的是当前用户的权限,比如user1用户在运行 ls 命令的时候,使用的就是文件 /bin/ls 的 other 用户的权限。

  如果将 /bin/ls 文件的SUID权限置位为1,则在user1用户使用 /bin/ls 命令的时候,其权限就会做出临时调整,将其属主的临时修改为 root 来执行这个命令。

  所以SUID置位时,在运行某程序的时候,相应进程的属主是程序文件自身的属主,而不是启动者的属主。

  配置:chmod u+s FILE  #如果该文件本身就具有执行权限,SUID就会显示为s,否则显示为S;

       chmod u-s FILE  #删除掉SUID的特殊权限;

    如下图:DataWarning.sh具有执行权限,则SUID位置位为s,同时,文件JudgeFile1.sh没有执行权限,SUID位置位为S;

SGID 

  运行程序的时候,相应进程的属组是程序文件自身的属组,而不是启动该程序用户的属组权限;

  配置:chmod g+s FILE

     chmod g-s FILE

  同样的,如果属组权限有执行权限,则显示为s,如果没有执行权限,则显示为S。

Sticky

  粘贴位,在一个公共目录下,每个用户都可以创建文件,都可以删除自己所创建的文件,但是不能删除别人的文件,而 /tmp 目录默认就是具有这个权限的目录;

  配置:chmod o+t DIR

     chmod o-t DIR

  同样的,如果other权限上拥有执行权限就显示为t,如果没有执行权限就显示为T;

 

  SUID和SGID,以及Sticky位三位权限加起来就是我们所说的特殊权限位,如果用二进制表示则为:

000 无特殊权限
001 拥有sticky权限
010 拥有SGID权限
011 拥有sticky+SGID权限
100 拥有SUID权限
101 拥有SUID+sticky权限
110 拥有SUID+SGID权限
111 拥有SUIG+SGID+sticky权限

  这里,如果我们想通过8进制数字添加相应的权限,则在原本权限前面去写这些特殊权限位即可,例如:chmod 7755 /path/somepath  #给somepath文件添加了SUID+SGID+sticky权限;

  添加遮罩码,则和普通权限相同。例如:umask 0022;

 

文件的访问控制列表

  通过特殊权限位,我们可以调用文件的属主和属组的权限;同时,通过文件的访问控制列表,我们可以限制那些用户能够访问该文件,那些用户不能访问该文件。这样进一步控制文件的访问权限,提高文件的安全性。

  例如,tom用户创建一个文件file1,则file1的属主和属组都是tom,当jerry用户去访问file1的时候,他就是用的是other权限;这样就会存在一个问题,为了让jerry用户访问file1,则tom需要将file1的other权限改为rw权限,此时,其他的用户也能通过other权限访问到该文件了。

  所以,这时候,我们需要指定只有jerry能够访问这个file1文件的话,就需要使用文件的访问控制列表;

  配置命令:setfacl和getfacl

    setfacl

      -m  设定facl

        u:user:prem  #给属主添加用户权限

        g:group:prem  #给属组添加用户权限

      -x  取消facl

        u:user    #取消属主的用户权限

        g:group    #取消属组的用户权限

    例如:setfacl -m u:hadoop:rw /etc/inittab  #指定hadoop用户在访问/etc/inittab文件的时候,拥有rw权限;

         setfacl -m g:hadoop:rw /etc/inittab

         setfacl -x g:hadoop    #取消用户组hadoop的权限;

    getfacl

      这个命令就是用来查看setfacl的配置情况;

 

标签:文件,13,SUID,访问控制,用户,chmod,SGID,权限
来源: https://www.cnblogs.com/BurnovBlog/p/10417703.html