Linux系統(tǒng)管理與服務(wù)器配置-基于CentOS 7(第2版) 課件 第4章權(quán)限管理_第1頁(yè)
Linux系統(tǒng)管理與服務(wù)器配置-基于CentOS 7(第2版) 課件 第4章權(quán)限管理_第2頁(yè)
Linux系統(tǒng)管理與服務(wù)器配置-基于CentOS 7(第2版) 課件 第4章權(quán)限管理_第3頁(yè)
Linux系統(tǒng)管理與服務(wù)器配置-基于CentOS 7(第2版) 課件 第4章權(quán)限管理_第4頁(yè)
Linux系統(tǒng)管理與服務(wù)器配置-基于CentOS 7(第2版) 課件 第4章權(quán)限管理_第5頁(yè)
已閱讀5頁(yè),還剩51頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

第4章權(quán)限管理Linux系統(tǒng)管理與服務(wù)器配置——基于CentOS7目錄4.1項(xiàng)目一:對(duì)用戶訪問文件權(quán)限的基本設(shè)置4.1.1文件屬性 4.1.2修改文件訪問權(quán)限的chmod命令 4.1.3設(shè)置文件默認(rèn)權(quán)限掩碼的umask命令 4.1.4修改文件所有者的chown命令 4.1.5提升用戶權(quán)限的su、sudo命令 4.2項(xiàng)目二:ACL權(quán)限設(shè)置 4.2.1查看和開啟系統(tǒng)對(duì)ACL權(quán)限的支持 4.2.2ACL權(quán)限管理 4.2.3最大有效權(quán)限 4.2.4遞歸ACL權(quán)限和默認(rèn)ACL權(quán)限 4.3項(xiàng)目三:文件特殊權(quán)限設(shè)置 4.3.1SUID權(quán)限 4.3.2SGID權(quán)限 4.3.3SBIT權(quán)限 4.4知識(shí)擴(kuò)展 4.4.1設(shè)置文件系統(tǒng)屬性的chattr命令 4.4.2查看文件系統(tǒng)屬性的lsattr命令 本章小結(jié)4.1項(xiàng)目一:對(duì)用戶訪問文件權(quán)限的基本設(shè)置研發(fā)部近期招聘了兩名在校大學(xué)生到項(xiàng)目組實(shí)習(xí),并為他們做了關(guān)于Linux基礎(chǔ)應(yīng)用方面的培訓(xùn)。兩人為了盡快熟悉Linux系統(tǒng),共享學(xué)習(xí)成果,計(jì)劃在系統(tǒng)的/tmp目錄下創(chuàng)建一個(gè)名為ourfile的文件,用于分享學(xué)習(xí)收獲。因此,兩人需要可以隨時(shí)讀取和修改ourfile文件的內(nèi)容。序號(hào)知識(shí)點(diǎn)詳見章節(jié)1對(duì)文件訪問權(quán)限的理解4.1.1節(jié)2文件訪問權(quán)限的修改命令4.1.2節(jié)4.1.1文件屬性每一行代表對(duì)應(yīng)文件或目錄的詳細(xì)信息。從左到右各個(gè)字段具體的含義是:文件屬性、文件數(shù)、擁有者、所屬的組、文件大小、建立月份、建立日期、建立年份或時(shí)間、以及文件名。其中“建立年份或時(shí)間”字段,如果文件是今年建立的,則顯示具體時(shí)間;如果是往年建立的,則顯示年份。4.1.1文件屬性文件屬性由10個(gè)字母組成,其中第一個(gè)字母表示文件類型,后九個(gè)字母分為三組,表示文件的訪問權(quán)限。文件屬性的第一個(gè)字母是類型標(biāo)識(shí),用來說明文件的類型。在Linux操作系統(tǒng)中,共有七種文件類型,分別是:d

(directory)

目錄文件。l

(link)

符號(hào)鏈接。s

(socket)

套接字文件。b

(block)塊設(shè)備文件,為二進(jìn)制文件。c

(character)字符設(shè)備文件。p

(pipe)

命名管道文件。-

普通文件,或者更準(zhǔn)確地說,不屬于以上幾種類型的文件。4.1.1文件屬性用戶對(duì)文件的操作權(quán)限分為讀、寫和執(zhí)行三種,分別用r、w、x表示。若用戶沒有某個(gè)權(quán)限,則在相應(yīng)權(quán)限位用“-”占位,代表無此權(quán)限。若文件具有x屬性,是可執(zhí)行的文件。具有x屬性的文件一般是二進(jìn)制文件或可執(zhí)行的腳本文件。若目錄具有x屬性,則表示允許打開該目錄中的文件,并且可用cd命令進(jìn)入該目錄。4.1.2修改文件訪問權(quán)限的chmod命令(1)絕對(duì)權(quán)限方法文件的九位權(quán)限除了可用r、w、x來表示外,還可用一個(gè)3位的十進(jìn)制數(shù)字來表示。比如644,其百位上的數(shù)字代表文件擁有者的權(quán)限,十位上的數(shù)字代表所屬用戶組的權(quán)限,個(gè)位上的數(shù)字代表其他用戶對(duì)該文件的權(quán)限。這種采用數(shù)字來表示權(quán)限的方法,稱為絕對(duì)權(quán)限方法也稱為數(shù)字權(quán)限方法法。由于用戶的權(quán)限是用rwx來表示的,沒有的權(quán)限對(duì)應(yīng)位置上用“-”表示,有權(quán)限的位置可用1表示,沒有權(quán)限的位置用0來表示,這樣就會(huì)形成一個(gè)3位的二進(jìn)制編碼,然后將該二進(jìn)制數(shù)轉(zhuǎn)換成對(duì)應(yīng)的十進(jìn)制數(shù),這樣就得到一個(gè)0~7的數(shù),從而就可以實(shí)現(xiàn)十進(jìn)制數(shù)來表示用戶對(duì)文件的權(quán)限。4.1.2修改文件訪問權(quán)限的chmod命令(1)絕對(duì)權(quán)限方法命令格式:chmod[選項(xiàng)]絕對(duì)權(quán)限值

要修改的文件或目錄名稱chmod命令常用的選項(xiàng)是-R,其功能是可以遞歸設(shè)置指定目錄下的全部文件(包括子目錄和子目錄中的文件)的權(quán)限?!祭?.1〗修改當(dāng)前目錄下test文件的訪問權(quán)限使所有用戶對(duì)該文件均有讀寫權(quán)限。#chmod666test4.1.2修改文件訪問權(quán)限的chmod命令(2)相對(duì)權(quán)限方法使用相對(duì)權(quán)限方法修改文件權(quán)限,命令格式:chmod修改對(duì)象運(yùn)算符用戶權(quán)限

要修改的文件或目錄名稱其中修改對(duì)象可以是u(文件擁有者)、g(同組用戶)、o(其他用戶)、a(全體用戶)的任意組合。運(yùn)算符可以是+(添加)、-(刪除)、=(只賦值)中的任意一個(gè)。用戶權(quán)限上寫的是r、w、x的任意組合?!祭?.2〗對(duì)文件test的組用戶添加寫權(quán)限chmodg+wtest。4.1.2修改文件訪問權(quán)限的chmod命令(2)相對(duì)權(quán)限方法〖例4.3〗修改當(dāng)前目錄下test文件的訪問權(quán)限使所有用戶對(duì)該文件均有讀寫權(quán)限。#chmoda+rwtest或者#chmodugo+rwtest〖例4.4〗增加組用戶對(duì)當(dāng)前目錄下file文件的寫權(quán)限,取消其他用戶對(duì)file文件的讀權(quán)限。#chmodg+w,o-rfile如果修改前file文件的權(quán)限是644,那么修改后file文件的權(quán)限是660。4.1.3設(shè)置文件默認(rèn)權(quán)限掩碼的umask命令一般用戶的默認(rèn)umask值為002,系統(tǒng)用戶的默認(rèn)umask值為022。用戶可以自主修改umask值,并在改動(dòng)后立刻生效。對(duì)于文件,其可擁有的最大默認(rèn)權(quán)限是666,即rw-rw-rw-。也就是說,使用文件的任何用戶都沒有執(zhí)行(x)權(quán)限。因?yàn)閳?zhí)行權(quán)限是文件的最高權(quán)限,出于安全考慮,系統(tǒng)不允許為新創(chuàng)建的文件默認(rèn)賦予執(zhí)行權(quán)限,必須在創(chuàng)建新文件后用chmod命令增加可執(zhí)行權(quán)限。對(duì)于目錄,其可擁有的最大默認(rèn)權(quán)限是777,即rwxrwxrwx。4.1.3設(shè)置文件默認(rèn)權(quán)限掩碼的umask命令命令格式:umask[-S][權(quán)限掩碼]umask命令可以指定創(chuàng)建文件或者目錄時(shí)預(yù)設(shè)的權(quán)限掩碼。選項(xiàng)-S表示使用符號(hào)法表示權(quán)限掩碼,不使用-S則表示使用數(shù)字法表示權(quán)限掩碼。〖例4.5〗查看系統(tǒng)默認(rèn)權(quán)限掩碼。4.1.3設(shè)置文件默認(rèn)權(quán)限掩碼的umask命令〖例4.5〗修改系統(tǒng)默認(rèn)權(quán)限掩碼。4.1.4修改文件所有者的chown命令文件或目錄的創(chuàng)建者,一般是該文件或目錄的擁有者,對(duì)文件具有最高的使用權(quán)。root用戶可以將一個(gè)文件或目錄的擁有權(quán)轉(zhuǎn)讓給其他用戶,使其他用戶成為該文件或目錄的擁有者。通過chown命令還可以修改文件所屬的組。命令格式:chown[選項(xiàng)]新所有者.新用戶組

要修改的文件或目錄名稱chown命令常用的選項(xiàng)是-R,其功能是可以遞歸設(shè)置指定目錄下的全部文件(包括子目錄和子目錄中的文件)的所屬關(guān)系。4.1.4修改文件所有者的chown命令〖例4.7〗將當(dāng)前目錄下的file文件的擁有者修改為tom,所屬組改為tom組。#chowntom.tomfile

或者#chowntom:tomfile〖例4.8〗將當(dāng)前目錄下的file文件的所屬組改為tom組。#chown.tomfile

或者#chown:tomfile注意“.”或“:”的作用。4.1.5提升用戶權(quán)限使用su命令切換用戶在su命令后加用戶名,可以切換系統(tǒng)當(dāng)前用戶。在用戶切換的時(shí)候,從root用戶向普通用戶可以直接進(jìn)行切換,反之則需要root賬號(hào)密碼。這是因?yàn)閞oot用戶是系統(tǒng)中權(quán)限最高的用戶,可以切換到任意身份而不需要密碼。普通用戶之間切換需要密碼驗(yàn)證。在切換用戶時(shí),通常需要增加“-”選項(xiàng),例如#su-tom命令表示切換到tom用戶。“-”選項(xiàng)表示:切換用戶時(shí),使環(huán)境變量(home,Shell,user,logname,path等)和欲切換的用戶相同,不使用該選項(xiàng),則取得的只是用戶的臨時(shí)權(quán)限。4.1.5提升用戶權(quán)限使用sudo命令提升權(quán)限r(nóng)oot用戶將普通用戶的名字、可以執(zhí)行的特定命令、按照哪種用戶或用戶組的身份執(zhí)行等信息,登記在/etc/sudoers文件中,即完成對(duì)該用戶的授權(quán)(此時(shí)該用戶稱為“sudoer”)。sudoer用戶需要取得特殊權(quán)限時(shí),可在命令前加上“sudo”,此時(shí)sudo將會(huì)詢問該用戶自己的密碼(以確認(rèn)終端前的是不是用戶本人),回答后系統(tǒng)即會(huì)將該命令的進(jìn)程以超級(jí)用戶的權(quán)限運(yùn)行,對(duì)于普通用戶來講不需要知道root用戶的密碼,這樣可以提高系統(tǒng)的安全性。4.1.5提升用戶權(quán)限使用sudo命令提升權(quán)限〖例4.9〗root用戶需要?jiǎng)?chuàng)建一個(gè)普通用戶teacherli具有管理員權(quán)限,并執(zhí)行系統(tǒng)的日常維護(hù)工作。則可以把teacherli用戶設(shè)為sudoer。第1步:查看是否已經(jīng)安裝了sudo#rpm–qa|grepsudosudo-1.8.6p7-16.el7.x86_64如果沒有安裝sudo,可以在系統(tǒng)光盤中找到sudo的rpm包進(jìn)行安裝:#rpm–ivh/media/Packages/sudo-1.8.6p7-16.el7.x86_64第2步:編輯/etc/sudoers文件在文件的最后插入:teacherliALL=(ALL)ALL保存退出。此后,以teacherli登錄系統(tǒng),就可以以sudo命令的方式進(jìn)行系統(tǒng)的管理了。4.1.5提升用戶權(quán)限使用sudo命令提升權(quán)限例:teacherli向系統(tǒng)添加用戶lihua4.1.5提升用戶權(quán)限使用sudo命令提升權(quán)限用戶teacherli做為一個(gè)普通用戶賬號(hào),是沒有權(quán)限執(zhí)行useradd命令向系統(tǒng)添加用戶的,但是做為一個(gè)sudoer則可以通過使用$sudouseraddlihua然后在系統(tǒng)提示“[sudo]passwordforteacherli:”時(shí)輸入teacherli的密碼,確認(rèn)后即可。如果需要指定某個(gè)用戶只能執(zhí)行指定的命令,則可以在/etc/sudoers文件中按照如下格式插入一行:用戶賬戶名

可執(zhí)行的命令列表例如,讓john用戶只具有執(zhí)行添加用戶組的命令權(quán)限。johnlocalhost=/usr/sbin/goupadd4.1項(xiàng)目一:對(duì)用戶訪問文件權(quán)限的基本設(shè)置操作過程:為方便實(shí)習(xí)生的操作,root管理員創(chuàng)建實(shí)習(xí)生專用賬號(hào)wrestest01和wrestest02賬戶:#useraddwrestest01//創(chuàng)建用戶wrestest001#useraddwrestest02//創(chuàng)建用戶wrestest002其中一名實(shí)習(xí)生以wrestest01賬號(hào)登錄系統(tǒng):$touch/tmp/ourfile//在/tmp目錄下創(chuàng)建ourfile文件此時(shí)若其他用戶修改文件ourfile,則系統(tǒng)會(huì)提示“文件只讀”,而不能完成修改功能。因此需要設(shè)置用戶對(duì)文件的訪問權(quán)限。$chmod666/tmp/ourfile//修改ourfile文件的訪問權(quán)限,使其他用戶可以修改ourfile文件4.2項(xiàng)目二:文件特殊權(quán)限設(shè)置研發(fā)部近期成立一個(gè)項(xiàng)目組,由一名組長(zhǎng)、兩名組員和一名實(shí)習(xí)生構(gòu)成。項(xiàng)目組所使用到的文件放在服務(wù)器的project目錄中,項(xiàng)目組所有成員都可以訪問該目錄,但是身份不同,權(quán)限不同。(1)作為項(xiàng)目組長(zhǎng)對(duì)project目錄擁有rwx權(quán)限,同時(shí)可以管理其他組員的權(quán)限。(2)兩名組員對(duì)project目錄擁有rwx權(quán)限。(3)實(shí)習(xí)生對(duì)project目錄擁有r-x權(quán)限。(4)其他人對(duì)project目錄沒有任何權(quán)限。序號(hào)知識(shí)點(diǎn)詳見章節(jié)1用戶管理命令3.1.3節(jié)2用戶組管理命令3.2.3節(jié)3ACL權(quán)限概念4.2.1節(jié)4ACL權(quán)限管理與應(yīng)用4.2.2節(jié)~4.2.4節(jié)4.2.1查看和開啟系統(tǒng)對(duì)ACL權(quán)限的支持查看系統(tǒng)支持ACL權(quán)限

CentOS7系統(tǒng)中,默認(rèn)支持ACL權(quán)限并處于開啟狀態(tài),也可以通過如下方式查看Linux內(nèi)核是否支持ACL.如圖4.6,“CONFIG_XFS_POSIX_ACL=y”表示支持ACL。開啟分區(qū)的ACL權(quán)限如果需要手動(dòng)開啟分區(qū)的ACL權(quán)限,則需要修改/etc/fstab文件,修改方法如下:[root@localhost~]#vim/etc/fstab/dev/mapper/cl-root/xfsdefaults,acl00//在default后面增加ACL權(quán)限4.2.2ACL權(quán)限管理用getfacl命令查看ACL權(quán)限的設(shè)置情況任何用戶都可以使用getfacl

命令查看自己所擁有文件的ACL權(quán)限。命令格式:getfacl文件名〖例4.10〗wres03用戶查看project目錄的ACL權(quán)限。4.2.2ACL權(quán)限管理用setfacl命令設(shè)置ACL權(quán)限任何用戶都可以使用setfacl命令,用來為其他用戶或用戶組設(shè)定對(duì)自己所擁有文件的訪問權(quán)限。命令格式:setfacl[選項(xiàng)][u:用戶名|g:用戶組名][:權(quán)限]文件名〖例4.11〗wres03用戶為wrestest03用戶設(shè)置對(duì)/tmp/project目錄的rx權(quán)限。4.2.2ACL權(quán)限管理用setfacl命令設(shè)置ACL權(quán)限〖例4.12〗刪除wrestest03用戶對(duì)/tmp/project目錄的rx權(quán)限。$setfacl-xu:wrestest03/tmp/project〖例4.13〗刪除/tmp/project目錄的所有ACL權(quán)限。$setfacl-b/tmp/project〖例4.14〗創(chuàng)建dgroup用戶組,并設(shè)置其對(duì)/tmp/project目錄的rwx權(quán)限。4.2.3最大有效權(quán)限設(shè)置最大有效權(quán)限的命令格式setfacl-mm:---目錄或文件名參數(shù)“m:--”表示為mask賦予的相應(yīng)權(quán)限?!祭?.15〗為/tmp/project目錄的mask賦予rx權(quán)限。4.2.3最大有效權(quán)限設(shè)置最大有效權(quán)限的命令格式〖例4.16〗驗(yàn)證除了所有者和other用戶不受mask權(quán)限限制外,其他用戶的權(quán)限都受mask權(quán)限限制。4.2.4遞歸ACL權(quán)限和默認(rèn)ACL權(quán)限遞歸ACL權(quán)限所謂遞歸ACL權(quán)限,就是在設(shè)定用戶或用戶組對(duì)某目錄的ACL權(quán)限時(shí),同時(shí)使該用戶或用戶組對(duì)該目錄的所有子目錄和文件也都具有相同的ACL權(quán)限。命令格式:setfacl-m[u:用戶名|g:用戶組名]:權(quán)限-R目錄名-R:設(shè)置遞歸ACL權(quán)限,該參數(shù)的位置不能改變?!祭?.17〗為用戶組dgroup設(shè)置對(duì)目錄/tmp/project及其子錄和文件的讀與執(zhí)行的ACL權(quán)限。$setfacl-mg:dgroup:rx-R/tmp/project注意:遞歸ACL權(quán)限設(shè)置只對(duì)目錄中已有的子目錄和文件生效,對(duì)ACL權(quán)限設(shè)置后建立的子目錄和文件是無效的,這時(shí)需要用到默認(rèn)ACL權(quán)限。4.2.4遞歸ACL權(quán)限和默認(rèn)ACL權(quán)限默認(rèn)ACL權(quán)限如果給某目錄設(shè)置了默認(rèn)ACL權(quán)限,則在該目錄下所有新建的子目錄和文件都會(huì)繼承相應(yīng)的默認(rèn)ACL權(quán)限。命令格式:setfacl-md:[u:用戶名g:用戶組名]:權(quán)限目錄名d:設(shè)置默認(rèn)(default)ACL權(quán)限?!祭?.18〗為用戶wrestest03同時(shí)設(shè)置對(duì)目錄/tmp/project的遞歸ACL權(quán)限和默認(rèn)ACL權(quán)限。$setfacl-md:u:wrestest03:rx-R/tmp/project注意:不管是默認(rèn)ACL權(quán)限,還是遞歸ACL權(quán)限,命令本身的作用對(duì)象是目錄。4.2項(xiàng)目二:文件特殊權(quán)限設(shè)置操作過程:為方便實(shí)習(xí)生的操作,root管理員創(chuàng)建wres03和wres04賬戶:#cd/tmp#mkdirproject//創(chuàng)建項(xiàng)目目錄project#ls-ldprojectdrwxr-xr-x.2rootroot62月2313:31project//project的默認(rèn)訪問權(quán)限是755#useraddwres03//創(chuàng)建用戶wres03,wres04,wres05其中wres03作為組長(zhǎng)賬號(hào)#useraddwres04#useraddwres054.2項(xiàng)目二:ACL權(quán)限設(shè)置操作過程:#useraddwrestest03//創(chuàng)建實(shí)習(xí)生賬號(hào)#groupaddgproject//創(chuàng)建用戶組#chownwres03:gprojectproject//將project目錄的所屬用戶改為wres03,所屬用戶組改為gproject#ls-ldprojectdrwxr-xr-x.2wres03gproject62月2313:31project//所屬用戶和組修改成功#gpasswd-awres03gproject//將wres03添加到gproject組#gpasswd-Awres03gproject//設(shè)置wres03作為gproject組的組長(zhǎng)4.2項(xiàng)目二:ACL權(quán)限設(shè)置操作過程:以wres03用戶登錄,完成以下操作(繼續(xù)使用root用戶操作也可以):$gpasswd-awres04gproject//將wres04,wres05添加到gproject組$gpasswd-awres05gproject$chmod770project//設(shè)置project的所屬用戶和組具有rwx權(quán)限,其他用戶無權(quán)限$ls-ldprojectdrwxrwx---.2wres03gproject62月2313:31project//設(shè)置770權(quán)限成功$setfacl-mu:wrestest03:rx/tmp/project//為用戶wrestest03設(shè)置對(duì)目錄/tmp/project的ACL權(quán)限r(nóng)x$setfacl-md:u:wrestest03:rx/tmp/project//為用戶wrestest03設(shè)置對(duì)目錄/tmp/project的默認(rèn)ACL權(quán)限r(nóng)x4.2項(xiàng)目二:ACL權(quán)限設(shè)置操作過程:$ls-ldprojectdrwxrwx---+2wres03gproject62月2313:31project//“+”表示已經(jīng)分配了ACL權(quán)限$getfacl--omit-headerproject//查看詳細(xì)的ACL信息user::rwxuser:wrestest03:r-x//wrestest03具有r-x權(quán)限group::rwxmask::rwxother::---default:user::rwxdefault:user:wrestest03:r-x//wrestest03具有默認(rèn)ACL權(quán)限r(nóng)-xdefault:group::rwxdefault:mask::rwxdefault:other::---4.3項(xiàng)目三:文件特殊權(quán)限設(shè)置接4.2節(jié)項(xiàng)目,項(xiàng)目組成立后,又對(duì)文件訪問做了如下的規(guī)范:(1)項(xiàng)目組成員在project目錄下創(chuàng)建的文件的所屬組是gproject。(2)各用戶只能刪除自己創(chuàng)建的文件,不能刪除其他用戶創(chuàng)建的文。序號(hào)知識(shí)點(diǎn)詳見章節(jié)1SGID權(quán)限4.3.2節(jié)2SBIT權(quán)限4.3.3節(jié)4.3.1SUID權(quán)限SUID介紹觀察/usr/bin/passwd文件的權(quán)限:#ls-l/usr/bin/passwd-rwsr-xr-x.1rootroot278326月102014/usr/bin/passwd可以看出,文件/usr/bin/passwd的所有者root的權(quán)限是“rws”,這好像與前述章節(jié)介紹的用戶對(duì)文件的權(quán)限只有3種(讀、寫和執(zhí)行)的說法有些沖突,其實(shí),這里的“s”權(quán)限就是SUID權(quán)限,它占據(jù)了原來“x”的位置。再觀察/etc/shadow文件的權(quán)限:#ls-l/etc/shadow----------.1rootroot15042月2313:33/etc/shadow4.3.1SUID權(quán)限SUID介紹文件/etc/shadow的所有者,root具有最高權(quán)限,即使不設(shè)置權(quán)限,它依然具有最高文件操作權(quán)限。除root用戶外的其他所有用戶的權(quán)限也是“---”,為什么都可以修改/etc/shadow文件呢?密碼是記錄在/etc/shadow文件中的,修改密碼的過程其實(shí)就是修改該文件的過程。該文件具有SUID權(quán)限,SUID權(quán)限的作用就是暫時(shí)為命令的執(zhí)行者賦予命令所有者(root)權(quán)限,授權(quán)其行使命令所有者的權(quán)限,直到命令執(zhí)行結(jié)束。也就是說,雖然普通用戶沒有修改/etc/shadow文件的權(quán)限,但是passwd命令具有SUID權(quán)限,所以普通用戶可以通過passwd命令獲得暫時(shí)的root權(quán)限,從而具備了修改/etc/shadow文件的權(quán)限。4.3.1SUID權(quán)限SUID介紹再來觀察/bin/cat文件的權(quán)限#ls-l/bin/cat-rwxr-xr-x.1rootroot5408011月62016/bin/cat由于cat命令不具有SUID權(quán)限,所以普通用戶在通過cat命令查看shadow文件內(nèi)容時(shí)就會(huì)報(bào)出“權(quán)限不夠”的錯(cuò)誤。4.3.1SUID權(quán)限SUID介紹對(duì)SUID做幾點(diǎn)說明:(1)只有命令(可執(zhí)行二進(jìn)制文件)才能被設(shè)定SUID權(quán)限(2)要為某命令文件設(shè)置特殊權(quán)限,命令執(zhí)行者必須對(duì)該命令擁有執(zhí)行(x)權(quán)限(3)命令執(zhí)行者在執(zhí)行該命令時(shí)獲得該程序文件的所有者身份(4)SUID權(quán)限只在該命令執(zhí)行過程中有效(5)要謹(jǐn)慎使用SUID權(quán)限,因?yàn)槿绻褂貌划?dāng)可能會(huì)帶來災(zāi)難性后果。4.3.1SUID權(quán)限SUID介紹命令格式:chmodn755

文件名

或者chmodu+s

文件名其中,n可以是4、2、1、7中的任何一個(gè)數(shù)字,4代表SUID,2代表SGID,1代表SBIT,7代表SUID、SGID和SBIT。〖例4.19〗為cat命令設(shè)置SUID權(quán)限,使其他用戶可以使用cat命令查看/etc/shadow文件內(nèi)容(實(shí)踐結(jié)束后務(wù)必還原,否則會(huì)給系統(tǒng)帶來危險(xiǎn))。#chmod4755/bin/cat取消SUID權(quán)限的命令格式:chmod755文件名或者chmodu-s文件名4.3.2SGID權(quán)限SGID對(duì)文件的作用SGID作用于普通文件時(shí),和SUID類似,在執(zhí)行該文件時(shí),用戶將獲得該文件所屬組的權(quán)限。限就是SUID特殊權(quán)限,它占據(jù)了原來“x”的位置?!祭?.20〗舉例說明具有SGID權(quán)限的二進(jìn)制文件的執(zhí)行過程。任何用戶都可以用文件查找命令locate通過對(duì)/var/lib/mlocate/mlocate.db文件的搜索來查找文件。觀察這兩個(gè)文件的權(quán)限:#ls-l/var/lib/mlocate/mlocate.d-rw-r-----.1rootslocate25903882月2710:11/var/lib/mlocate/mlocate.db#ls-l/usr/bin/locate-rwx--s--x.1rootslocate4051211月52016/usr/bin/locate普通用戶在執(zhí)行l(wèi)ocate命令時(shí),其組身份被賦予了slocate身份,具有了slocate組對(duì)mlocate.db文件的讀權(quán)限,從而實(shí)現(xiàn)了對(duì)mlocate.db文件的查找功能。命令執(zhí)行結(jié)束后,用戶的組身份立即還原為原來的組身份。4.3.2SGID權(quán)限SGID對(duì)目錄的作用當(dāng)用戶對(duì)某一目錄有寫和執(zhí)行權(quán)限時(shí),該用戶可以在該目錄下建立文件,如果該目錄用SGID修飾,則該用戶在這個(gè)目錄下建立的文件都屬于這個(gè)目錄所屬的組。注意:(1)普通用戶必須對(duì)目錄擁有“r”和“x”權(quán)限,即可以用ls命令,可以進(jìn)入該目錄。(2)普通用戶在進(jìn)入該目錄后會(huì)賦予該目錄的所屬組身份。(3)當(dāng)普通用戶對(duì)此目錄擁有“w”權(quán)限時(shí),新建文件的所屬組就是這個(gè)目錄的所屬組。4.3.2SGID權(quán)限SGID對(duì)目錄的作用〖例4.21〗舉例說明SGID權(quán)限對(duì)目錄的作用。#mkdir/tmp/sgidtest//以root身份新建一個(gè)sgidtest目錄#chmod2777/tmp/sgidtest//為新目錄賦予讀、寫執(zhí)行和SGID權(quán)限#suwres04//切換用戶wres04$cd/tmp/sgidtest//進(jìn)入新目錄,wres04被賦予所屬組root的身份$ls-ld/tmp/sgidtest//驗(yàn)證確實(shí)具有讀、寫執(zhí)行和SGID權(quán)限drwxrwsrwx.2rootroot62月2814:55/tmp/sgidtest$touchsgidfile//wres04在/tmp/sgidtest/下新建一個(gè)文件$mkdirsgiddir//wres04在/tmp/sgidtest/下新建一個(gè)目錄$ls–l

drwxrwsr-x.2wres04root62月2814:57sgiddir//新建目錄的所屬組為root-rw-rw-r--.1wres04root02月2814:57sgidfile//新建文件的所屬組為root4.3.2SGID權(quán)限設(shè)置和取消SGID權(quán)限為目錄設(shè)置和取消SGID權(quán)限的命令語(yǔ)法類似SUID權(quán)限的設(shè)置和取消,也具有一定的危險(xiǎn)性,使用時(shí)需要特別謹(jǐn)慎。設(shè)置SGID權(quán)限的命令格式:chmod2777目錄名

或者chmodg+s目錄名取消SGID權(quán)限的命令格式:chmod755目錄名

或者chmodg-s目錄名4.3.3SBIT權(quán)限SBIT的作用可稱為黏著位、黏滯位、防刪除位。SBIT權(quán)限僅對(duì)目錄有效,設(shè)定了SBIT權(quán)限,則用戶在此目錄下創(chuàng)建的文件或目錄,就只有自己和root用戶才有刪除的權(quán)限。例如:系統(tǒng)中的/tmp是一個(gè)臨時(shí)目錄,任何用戶都可以在其中創(chuàng)建、刪除、拷貝、粘貼文件或目錄,但是每個(gè)用戶只能刪除自己創(chuàng)建的目錄或文件,而不能刪除其他用戶創(chuàng)建的目錄或文件,就是因?yàn)槟夸?tmp具有SBIT權(quán)限。查看目錄/tmp的權(quán)限:#ls-ld/tmpdrwxrwxrwt.20rootroot40962月2814:55/tmp 可知,目錄/tmp的所有者是root,所屬組是root組,其他人對(duì)該目錄擁有“rwt”權(quán)限,其中的“t”就是

SBIT權(quán)限。4.3.3SBIT權(quán)限設(shè)置和取消SBIT權(quán)限設(shè)置SBIT權(quán)限的命令格式:chmod1777目錄名或者chmodo+t目錄名取消SBIT權(quán)限的命令格式:chmod755目錄名或者chmodo-t目錄名4.3.3SBIT權(quán)限設(shè)置和取消SBIT權(quán)限〖例4.22〗創(chuàng)建一個(gè)新目錄/tmp/sbittest,為該目錄設(shè)置SBIT權(quán)限,驗(yàn)證在該目錄下用戶wres04創(chuàng)建的文件不能被其他用戶(如wres05)刪除。#mkdir/tmp/sbittest#chmod1777/tmp/sbittest//為/tmp/sbittest目錄設(shè)置SBIT權(quán)限#ls-ld/tmp/sbittestdrwxrwxrwt.2rootroot62月2815:51/tmp/sbittest//驗(yàn)證SBIT權(quán)限設(shè)置成功#suwres04 //切換用戶為wres04 $cd/tmp/sbittest$mkdirsbit04//以wres04身份創(chuàng)建一個(gè)目錄sbit04$suwres05//切換用戶為wres05$rm-rfsbittest//用戶wres05刪除目錄sbittestrm:無法刪除"sbittest":權(quán)限不夠//wres05不能刪除wres04創(chuàng)建的目錄sbittest。4.3項(xiàng)目三:文件特殊權(quán)限設(shè)置操作過程:以wres03賬號(hào)登錄系統(tǒng):$cd/tmp/project$chmodg+sproject//為project目錄設(shè)置SGID權(quán)限$chmodo+tproject//為project目錄設(shè)置SBIT權(quán)限4.4知識(shí)擴(kuò)展——4.4.1設(shè)置文件系統(tǒng)屬性的chattr命令作為服務(wù)器系統(tǒng),Linux系統(tǒng)被不同的用戶使用,因此,這些用戶有機(jī)會(huì)訪問一組共同的文件??赡軙?huì)發(fā)生如意外刪除或編輯重要文件等情況,作為管理員,可以使用chattr命令避免類似的情況發(fā)生。chattr(changefileattributes)命令用于改變文件系統(tǒng)屬性。該命令只能由root用戶使用并且chattr命令的設(shè)置對(duì)root用戶也生效。命令格式:chattr[+|-|=][選項(xiàng)]文件名或目錄名4.4知識(shí)擴(kuò)展——4.4.1設(shè)置文件系統(tǒng)屬性的chattr命令〖例4.23〗在/tmp目錄下創(chuàng)建文件chattrfile,為其設(shè)置文件系統(tǒng)性,使任何用戶不能刪除、重命名該文件,也不能修改該文件內(nèi)容。#cd/tmp#touchchattrfile#echohellolinux>>chattrfile//設(shè)置i屬性前修改chattrfile文件中的內(nèi)容#catchattrfilehellolinux //修改成功#chattr+ichattrfile //設(shè)置i屬性

#lsattrchattrfile//查看chattrfile的文件系統(tǒng)屬性----i-----------chattrfile//文件具備了i屬性

#echotest>>chattrfile//修改文件內(nèi)容-bash:chattrfile:權(quán)限不夠//設(shè)置i屬性后不能再修改文件內(nèi)容#rm-rfchattrfile //刪除文件

rm:無法刪除"chattrfile":不允許的操作//設(shè)置i屬性后不能再刪除文件

4.4知識(shí)擴(kuò)展——4.4.1設(shè)置文件系統(tǒng)屬性的chattr命令〖例4.24〗/tmp目錄下創(chuàng)建chattrdir目錄,設(shè)置其文件系統(tǒng)屬性,使任何用戶不得在該目錄下新建和刪除文件,而只能修改該目錄下的已有文件。#cd/tmp#mkdirchattrdir#cdchattrdir#touchchattrfile//設(shè)置i屬性前可可以在chattrdir目錄中新建文件#chattr+i/tmp/chattrdir//為目錄chattrdir設(shè)置i屬性#lsattr-d/tmp/chattrdir----i-----------/tmp/chattrdir //目錄具備了i屬性

#echolinux>>chattrfile//設(shè)置i屬性后仍然可以修改目錄chattrdir中的文件內(nèi)容#rm-rfchattrfile rm:無法刪除"chattrfile":權(quán)限不夠//

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論