文件特殊权限及facl

特殊权限

SUID,SGID,STICKY

权限匹配模型:

判断进程的 发起者 是否为被访问文件的 属主,如果是 则应用属主的权限;

判断进程的 发起者 是否为陪访问文件的 属组,如果是 则应用属组的权限

否则应用other

1.SUID: 可能会使普通用户获得root权限 危险;文件其他权限位应当有执行权限

管理文件SUID:

chmod u+|-s FILE

如果文件属主权限为 有执行权限显示为小写s   -rwsr-xr-x. FILE

没有则为大写S     -rwSr-xr-x. FILE

默认情况:用户发起的进程 属主为当前用户

具有SUID属性则:用户运行某程序时,会以该文件 属主身份运行

普通用户不可读或修改/etc/shadow,但是可以运行passwd更改密码,

相当于修改了/etc/shadow;因为/bin/passwd属主为root 且具有S权限

2.SGID: 通常应用在 目录;  目录属组应当有写权限

管理目录SGID:

chmod g+|-s /DIR/

功用:使创建在该目录下的目录或文件的属组 都变为该(具有SGID权限)目录的属组

使得属于同一开发组的成员用户在该目录下工作 可以互相更改彼此的文件;

因为该目录下文件属组会变为同一组,而同组具有相同的权限;

达到共享的目的!

3.STICYK:粘滞位  通常应用在 目录 目录属组应当有写权限

管理目录STICKY:

chmod o+|-t /DIR/

功用:使得该目录下某用户创建的文件 只有 自己可以删除

系统上的/tmp  /var/tmp 默认具有t权限

管理特殊权限另一种方式:

suid sgid sticky  八进制

0 0 0 0

0 0 1 1

0 1 0 2

0 1 1 3

1 0 0 4

1 0 1 5

1 1 0 6

1 1 1 7

chmod  4777 FILE  文件具有SUID及满权限

FACL:file access control list 文件访问控制列表  设置特权 允许 或禁止

文件额外的赋权机制

在u,g,o之外 使用户可以将属主是自己的文件 赋权给另外的用户或组。

通常在u,g,o下普通用户无法更改自己文件的属组,无法让特定的用户获得rwx权限

设置文件facl:

setfacl -m u:USER:MODE FILE   赋权给用户

-m g:GROUP:MODE FILE  赋权给组

查看文件facl:

getfacl FILE

user:USERNAME:MODE

group:GROUPNAME:MODE

撤销赋权:

setfacl -x u:USER:MODE FILE

-x g:GROUP:MODE FILE

setfacl -m u:zhou:w testfile    给zhou用户写权限

setfacl -m u:he:--- tsetfile    禁止he用户 读写执行

权限查找路线:

属主->facl属主权限->属组->facl属组权限->other

时间: 2024-10-05 04:33:41

文件特殊权限及facl的相关文章

linux之权限之facl

linux权限之facl 前面给大家分享了ugo和强制位和冒险位,有些时候我们利用之前讲的权限有些需求满足不了,比如说有一个文件对应其它人权限都为只读,jim用户匹配ugo属于other角色其权限为只读,但是我们需要让Jim可以读写怎么实现呢?带着这些疑问大家可以看看下面的介绍. facl基于文件的访问控制列表 优先级比ugo高 想要使用fac首先需要检测文件系统(分区)是否支持facltune2fs -l /dev/sda3 | grep aclDefault mount options:  

特殊权限及facl

Linux系统上的特殊权限 举例: [[email protected] ~]# ll /bin/passwd    //查看"/bin/passwd"文件的权限,有一                                             个"s"(注意:这个文件在centOS6上                                             没有,在centOS7上有)-rwsr-xr-x. 1 root root 27

Linux 文件特殊权限和访问控制列表

文件特殊权限 suid: set uid,属主有s权限,意味着用户在执行此程序时,其进程的属主不再是发起者本人,而是这个程序文件的属主.如果属主为root则拥有超级用户管理员权限,将直接威胁系统安全. sgid: set gid,属组有s权限,意味着执行此程序时,其进程的属组不再是运行者本人所属的基本组,而是此程序文件的属组. sticky: 粘贴位,附加other的权限上,表现为t 加上此位用户只能删除自己文件.   suid.sgid.sticky亦可用八进制方式 表示如下: 000 即su

question --> maven assembly plugin 修改文件默认权限

使用maven assembly plugin插件添加执行脚本时,发现默认权限为644,还需要手动添加执行权限.这很麻烦,于是查看文档 官方文档 http://maven.apache.org/plugins/maven-assembly-plugin/assembly.html#class_fileSet fileMode String Similar to a UNIX permission, sets the file mode of the files included. THIS IS

使用粘贴位修改文件的权限

SUID:当一个程序有SUID位的时候,有X权限的用户运行该程序时候都将以程序所有着的身份运行,且SUID只对程序有效对脚本无效.如普通用户可以运行passwd命令将新密码写入/etc/shadow文件中 SGID:可以为二进制程序和目录设置SGID位.有X权限的用户运行该程序时候会获得该程序所在组的支持.对于目录来说,任何有权在该目录下新建文件的用户创建的文件的数组都是继承该目录的属组. SBIT:只对目录有效.当一个目录被设置了SBIT以后,只有文件所有这和root用户可以更改删除该文件,其

通过命令获取/etc/hosts文件的权限对应的数字

命令获取/etc/hosts文件的权限对应的数字 第一步 查看文件的权限 [[email protected] ~]# stat /etc/hosts File: `/etc/hosts' Size: 158         Blocks:8          IO Block: 4096   regular file Device: 803h/2051d   Inode: 915740      Links: 2 Access:(0644/-rw-r--r--)  Uid: (    0/  

Linux里文件和文件夹权限的含义

  文件的权限: r : 可以读取此文件的实际内容. w: 可以编辑.新增或者是修改该文件的内容(但不含删除该文件),如果没有r权限,无法w. x : 该文件具有被系统执行的权限,可以删除. 文件夹的权限: r : 有读取目录结构列表的权限. w: 有更改该目录结构列表的权限.  如:新建文件与目录:删除已经存在的文件与目录(不论该文件的权限如何),将已经存在的文件或目录进行重命名,转移该目录内的文件.目录位置. x : 代表用户能否进入该目录称为工作目录的用途.

android 文件的权限

文件的权限概念    文件的4种操作模式:    Context.MODE_PRIVATE:为默认操作模式,代表该文件是私有数据,只能被应用本身访问,在该模式下,写入的内容会覆盖原文件的内容,如果想把新写入的内容追加到原文件中.可以使用Context.MODE_APPEND Context.MODE_APPEND:模式会检查文件是否存在,存在就往文件追加内容,否则就创建新文件.    Context.MODE_WORLD_READABLE和Context.MODE_WORLD_WRITEABLE

文件/目录权限设置命令chmod的详细用法

chmod是文件/目录权限设置的命令,在Linux中经常遇到,本博文以下总结chmod的详细用法. Linux/Unix的档案调用权限分为三级,即档案拥有者user.群组group.其他other.u表示该档案的拥有者,g表示与该档案的拥有者属于同一个群体(group)者,o表示其他以外的人,a表示这三者皆是. + 表示增加权限.- 表示取消权限.= 表示唯一设定权限. r表示可读取,w表示可写入,x表示可执行. 举例说明: (1).将档案file1.txt 设为所有人皆可读取: chmod u