Linux上的特殊权限
特殊权限:SUID SGID STICKY
安全上下文:
1.进程以某用户的身份运行,进程是发起此进程用户的代理,因此以此用户的身份和权限完成所有操作
2.权限匹配模型:
(1)判断进程的属主,是否为被访问的文件属主:如果是,则应用属主的权限:否则进入第2步
(2)判断进程的属主,是否属于被访问的文件属组:如果是,则应用属组的权限:否则进入第3步
(3)应用other的权限
SUID:
默认情况下:用户发起的进程,进程的属主是其发起者:因此其以发起者的身份在运行
SUID的功用:用户运行某程序时,如果此程序拥有SUID权限,那程序运行为进程时,其属主不是发起者,而程序文件自己的属主
chmod u+s/u-s FILE
展示位置:
如果属主原本有执行权限,显示为小写s。否则显示为大写S
SGID:
功用:当目录属组有写权限,且有SGID权限时,那么所有属于此目录的属组,且以属组身份在此目录中新建文件或目录时,新文件的属组不是用户的基本组,而是此目录的属组:
管理文件的SGID权限:
chmod g+s/g-s FILE
展示位置:属组的执行权限位
如果属相原本有执行权限,显示为小写s。否则,显示为大写S
Sticky:
功用:对于属组或全局可写的目录,组内的所有用户或系统上的所有用户对在此目录中都能创建新文件或删除所有的已有文件:如果为此类目录设置Sticky权限,则每个用户能创建新文件,且只能删除自己的文件
管理文件的Sticky权限:
chmod o+/-t FILE
展示位置:其它用户的执行权限位
如果其它用户原本有执行权限,显示为小写。否则,显示为大写T
注:系统上的/mp和/var/tmp目录默认均有sticky权限
管理特殊权限的另一方式:
suld sgld sticy八进制权限
000 0
001 1
010 2
011 3
100 4
101 5
110 6
111 7
基于八进制方式赋权时,可在默认的三位八进制数字左侧再加一位八进制数字
例如: chmod 1777
facl:文件访问控制列表
文件的额外赋权机制:
在原来的u、g、o之外,另一层让普通用户能控制赋权给另外的用户或组的赋权机制
查看facl:
getfacl file…
赋权:
setfacl -m u:username:rwx file
setfacl -m g:groupname:rwx file rwx可视情况赋于权限
撒销赋权:
setfacl -x u:USERNAME FILE…
setfacl -x g:GROUPNAME FILE