Linux特殊权限--day12

1.特殊权限概述

前面我们学了 rwx这三种普通权限，但是我们在査询系统文件权限时会发现出现了一些其他权限字母，比如：

[root@oldboy ~]# ll /usr/bin/passwd 
-rwsr-xr-x. 1 root root 27832 Jun 10  2014 /usr/bin/passwd

在属主本来应该是 x（执行）权限的位置出现了一个小写s，这是什么权限？我们把这种权限称作 Setuid 权限，也叫作 SUID (set uid)的特殊权限。

2.特殊权限SUID

• 1.问题
  普通用户的信息保存在 /etc/passwd 文件中，用户的密码在/etc/shadow 文件中，也就是说，普通用户在更改自己的密码时修改了 /etc/shadow 文件中的加密密码，但是文件权限显示，普通用户对这两个文件其实都是没有写权限的，那为什么普通用户可以修改自己的权限呢？

[root@oldboy ~]# ll /etc/passwd
-rw-r--r--. 1 root root 986 Jul 24 20:29 /etc/passwd
[root@oldboy ~]# ll /etc/shadow
----------. 1 root root 624 Jul 24 20:29 /etc/shadow

• 2.解决问题
  其实，普通用户可以修改自己的密码在于 passwd 命令。该命令拥有特殊权限 suid，也就是在属主的权限位的执行权限上是 s。即当一个具有执行权限的文件设置 suid权限后，用户在执行这个文件时将以文件所有者的身份来执行。当普通用户使用 passwd 命令更改自己的密码时，实际上是在用 passwd 命令所有者 root 的身份在执行 passwd 命令，root 当然可以将密码写入 /etc/shadow 文件，所以普通用户也可以修改 /etc/shadow 文件，命令执行完成后，该身份也随之消失，所以suid起了至关重要的作用。

• 3、举例
  建立一个用户 wang，她可以修改自己的权限，因为 passwd 命令拥有 suid权限；但是她不能査看 /etc/shadow 文件的内容，因为査看文件的命令（如 cat）没有 SetUID 权限。

自己可以修改自己的密码，从而改变/etc/shadow中的数据
[root@oldboy ~]# su wang
[wang@oldboy root]$ cat /etc/shadow
cat: /etc/shadow: Permission denied

图解wang

• 4.解释
  *passwd 是系统命令，可以执行，所以可以赋予suid权限。
  wang用户对 passwd 命令拥有 x（执行）权限。
  wang用户在执行 passwd 命令的过程中，会暂时切换为 root 身份，所以可以修改 /etc/shadow 文件。命令结束，wang用户切换回自己的身份。
  注意:cat命令没有 suid权限，所以使用 wang用户身份去访问 /etc/shadow 文件，当然没有相应权限了-->Permission denied

思考：如果将passwd命令的suid去掉会发生什么？

[root@oldboy ~]# chmod 731 /root #切换用户将suid去掉
[root@oldboy ~]# ll -d /root
drwx-wx--x. 2 root root 135 Jul 24 20:49 /root
[root@oldboy ~]# su wang
[wang@oldboy root]$ passwd
Changing password for user wang.  #显示无法打开密码文件
Changing password for wang.
(current) UNIX password: 
[wang@oldboy root]$ cat /etc/shadow
cat: /etc/shadow: Permission denied
ps:当去掉root中的suid之后需要重新连接root用户，用su无法直接切换至管理员权限。

• 2.suid授权方法4000 权限字符s，用户位置上的x位上设置

[root@oldboy ~]# chmod 4755 /etc/passwd
[root@oldboy ~]# ll -d /etc/passwd
-rwsr-xr-x. 1 root root 1025 Aug  8 14:28 /etc/passwd

• 3.suid的作用

1.让普通用户对可执行的二进制文件，临时拥有二进制文件的所属主权限。
2.如果设置的二进制文件没有执行权限,那么suid的权限显示就是大S。
3.特殊权限suid仅对二进制可执行程序有效，其他文件或目录则无效。
注意: suid极度危险，不要轻易设置。

3.特殊权限sgid

• 将目录设置为sgid后，如果在该目录下创建文件，都将与该目录的所属组保持一致：如下例

[root@oldboy ~]# cd /tmp/ &&mkdir ttt
[root@oldboy tmp]# chmod g+s /tmp/ttt/ && ll -d ttt
drwxr-sr-x. 2 root root 6 Aug  8 15:00 ttt
[root@oldboy tmp]# chmod 777 /tmp/ttt/  #.给测试目录赋予777权限
[root@oldboy /]# su wang
[wang@oldboy /]$ cd /tmp/ttt
[wang@oldboy ttt]$ touch ttt-test
[wang@oldboy ttt]$ ll
total 0
-rw-rw-r--. 1 wang root 0 Aug  8 15:07 ttt-test

• 2.sgid授权方法: 2000权限字符s(S)，取决于属组位置上的x

[root@oldboy ~]# chmod 2755  所授权目标位置
[root@oldboy ~]# chmod g+s 所授权目标位置

• 3.sgid作用
  1.针对用户组权限位修改，用户创建的目录或文件所属组和该目录的所属组一致。
  2.当某个目录设置了sgid后，在该目录中新建的文件不在是创建该文件的默认所属组
  3.使用sgid可以使得多个用户之间共享一个目录的所有文件变得简单。

4.特殊权限sbit

sbit粘滞位目前只对目录有效
作用如下：
普通用户对该目录拥有 w 和 x 权限，即普通用户可以在此目录中拥有写入权限。如果没有粘滞位，那么普通用户拥有 w 权限，就可以删除此目录下的所有文件，包括其他用户建立的文件。但是一旦被赋予了粘滞位，除了 root 可以删除所有文件，普通用户就算拥有 w 权限，也只能删除自己建立的文件，而不能删除其他用户建立的文件。就相当于博客一样，普通用户只能浏览而不能修改博主内容。

[root@oldboy ~]# ll -d /tmp/
drwxrwxrwt. 12 root root 4096 Aug  8 15:00 /tmp/

*2.sbit(sticky)授权方法，1000 权限字符t(T),其他用户位的x位上设置。

[root@oldboy ~]# chmod 1775  所授权用户
[root@oldboy ~]# chmod o+s 所授权用户

• 3.stid（sticky）作用
  1.让多个用户都具有写权限的目录，并让每个用户只能删自己的文件。
  2.特殊stid目录表现在others的x位，用小t表示，如果没有执行权限是T
  3.一个目录即使它的权限为"777"如果是设置了粘滞位，除了目录的属主和"root"用户有权限删除，除此之外其他用户都不允许删除该目录。*

• 2.权限属性chattr

chatrr 只有 root 用户可以使用，用来修改文件系统的权限属性，建立凌驾于 rwx 基础权限之上的授权。
chatrr 命令格式：[root@oldboy ~]# chattr [+-=] [选项] 文件或目录名

  * 选项: + 增加权限   -减少权限   =等于某个权限
  * a：让文件或目录仅可追加内容
  * i：不得任意更动文件或目录

* 1.创建文件并设置属性
[root@oldboy ~]# touch wang_a file_i
[root@oldboy ~]# lsattr wang_a file_i 
---------------- wang_a
---------------- file_i


* 2.使用chattr设置属性，lsattr查看权限限制
[root@oldboy ~]# chattr +a wang_a 
[root@oldboy ~]# chattr +i file_i 
[root@oldboy ~]# lsattr wang_a file_i 
-----a---------- wang_a
----i----------- file_i

*  3.a权限，无法写入和删除文件，但可以追加数据，适合/etc/passwd这样的文件
[root@oldboy ~]# echo "aa" > wang_a 
bash: wang_a: Operation not permitted  #不允许
[root@oldboy ~]# echo "aa" > file_i 
bash: file_i: Permission denied  #权限被拒绝
#5.i权限, 无法写入，无法删除，适合不需要更改的重要文件加锁
[root@oldboy ~]# echo "i" > file_i
bash: file_i: Permission denied
[root@oldboy ~]# echo "i" >> file_i
bash: file_i: Permission denied
[root@oldboy ~]# rm -f  file_i
rm: cannot remove ‘file_i’: Operation not permitted

#6.解除限制
[root@oldboy ~]# chattr -a wang_a
[root@oldboy ~]# chattr -i file_i

3.进程掩码umask

1.umask是什么?

• 当我们登录系统之后创建一个文件总是有一个默认权限的，比如: 目录755、文件644、那么这个权限是怎么来的呢？umask设置了用户创建文件的默认权限。

2.umask是如何改变文件的权限

• 系统默认umask为022，那么当我们创建一个目录时，正常情况下目录的权限应该是777，但umask表示要减去的值，所以新目录文件的权限应该是777 - 022 =755。
  文件的权限也依次类推666 - 022 =644。

• 3.umask涉及哪些配置文件

• umask涉及到的相关文件/etc/bashrc /etc/profile ~/.bashrc ~/.bash_profile
  shell (vim,touch) --umask--> 会影响创建的新文件或目录权限
  vsftpd服务如果修改--umask--> 会影响ftp服务中新创建文件或创建目录权限
  useradd如果修改umask--> 会影响用户HOME家目录权限*

• 4.umask演示示例

#1.假设umask值为：022（所有位为偶数）
#文件的起始权限值
6 6 6  -  0 2 2  = 6 4 4 

#2.假设umask值为：045（其他用户组位为奇数）
#计算出来的权限。由于umask的最后一位数字是5，所以，在其他用户组位再加1。
6 6 6  -   0 4 5 = 6 2 1

#3.默认目录权限计算方法
7 7 7  -  0 2 2 = 7 5 5

#umask所有位全为偶数时
# umask 044
# mkdir d044   目录权限为733 ---755-044=733
# touch f044   文件权限为622  ---666-044=622

#umask部分位为奇数时
# umask 023
# mkdir d023   目录权限为754
# touch f023   文件权限为644

#umask值的所有位为奇数时
# umask 035
# mkdir d035   目录权限为742
# touch f035   文件权限为642

• 示例1: 在 shell 进程中创建文件

* 查看当前用户的umask权限
[root@oldboy ~]# umask 0022
[root@oldboy ~]# touch w0022
[root@oldboy ~]# mkdir z0022
[root@oldboy ~]# ll -d w0022 z0022/
-rw-r--r--. 1 root root 0 Aug  8 15:41 w0022
drwxr-xr-x. 2 root root 6 Aug  8 15:41 z0022/

• 示例2: 修改 shell umask 值(临时生效)

[root@oldboy ~]# umask 000
[root@oldboy ~]# mkdir w000
[root@oldboy ~]# touch z000
[root@oldboy ~]# ll -d w000 z000
drwxrwxrwx. 2 root root 6 Aug  8 15:43 w000
-rw-rw-rw-. 1 root root 0 Aug  8 15:43 z000

• 示例3: 通过 umask 决定新建用户 HOME 目录的权限

[root@oldboy ~]# vim /etc/login.defs 
UMASK 077
[root@oldboy ~]# useradd abc
[root@oldboy ~]# ll -d /home/abc/
drwx------. 2 abc abc 62 Aug  8 16:00 /home/abc/