day11 特殊权限

咋日回顾

权限：

1.权限就是约束用户能对操作系统的操作

2.权限有什么作用

    保护用户的隐私

    可以按需开放对应的权限

3.权限与用户之间有什么关联

4.调整权限用chmod

    1.hgo 根据  user=rw  group=r   other=r

    2.number   r=4  w=2  x=1  -=0     

          目录：755   777    700     文件：644   600      命令：755

5.验证r  w  x每位的权限

    文件：rw:读和写    rx:读和执行

    目录：r列出目录的内容，w允许往该目录下新建文件    x进入目录

            rx:能列出当前目录的所有内容，并也能进入该目录

            rwx:啥都能干

PS:删除一个目录下的文件，看的是文件的上及目录的权限

如果不是删除或者复制移动等操作，看文件本身的权限

6.变更文件的拥有人和拥有组

chown    username.groupname   filename

chown     -R  username.groupname   directory

chown     username    filename

chown     .groupname   filename

chgrp      groupname    filename

---

今日内容

1.suid (set  uid)  特殊权限

set uid   简称suid 

当我们为某个命令设定了suid ,无论谁使用该命令  都会使用该命令的“属主”运行该命令

suid  ==  4000

chmod   u+s        /usr/bin/passwd

chmod   4755       /usr/bin/passwd

chmod   u-s     去掉权限

sudi优点：可以让普通用户执行无法执行的命令，方便

suid缺点：如果rm 为suid ，无论谁执行该命令，都能删除系统的如何资源

PS:进程能够以何种身份去查看一个文件，取决于运行这个进程的用户对这个文件有没有权限

2.sgid(set  gid)特殊权限 

将目录设置为sgid后，如果在往该目录下创建文件，都将与该目录的所属保持一致

[root@caoweiqiang ~]# groupadd devop

[root@caoweiqiang ~]# useradd zhansan -G devop

[root@caoweiqiang ~]# useradd linsi -G devop

[root@caoweiqiang ~]# id zhansan

uid=16785(zhansan) gid=16800(zhansan) groups=16800(zhansan),16799(devop)

[root@caoweiqiang ~]# id linsi

uid=16786(linsi) gid=16801(linsi) groups=16801(linsi),16799(devop)

#测试不同的用户在该目录下创建文件，检查属主和属组

#使用sgid可以使得多个用户之间共享一个目录的所有文件变得简单

3.sbit

如果一个目录设定了粘滞位，那么谁都可以在该目录下创建文件

删除文件只能是 谁创建的文件谁删除，除此以外root和/tmp/的所属主都能删除该目录下的内容

#设定粘滞位   1000

chmod   0+t    /tmp

chmod   1777   /tmp

4.特殊属性chattr   lsattr

    -a  只能追加，无其他操作

    -i 锁定文件，不能删除，不能追加，不能移动

1.希望任何人都不能创建用户，应该给/etc/passwd添加什么特殊属性

[root@caoweiqiang ~]# chattr +i /etc/passwd

[root@caoweiqiang ~]# lsattr /etc/passwd

----i----------- /etc/passwd

---

#不得任意更动文件或目录

[root@caoweiqiang ~]# chattr -i /etc/passwd

[root@caoweiqiang ~]# lsattr /etc/passwd

---------------- /etc/passwd

---

2.日志文件，希望能往里面追加内容，单不允许删除，应该添加什么特殊属性

[root@caoweiqiang ~]# chattr +a /var/log/secure 

[root@caoweiqiang ~]# lsattr /var/log/secure

-----a---------- /var/log/secure

---

5.umask默认权限

umask 是用来控制默认创建文件或目录的权限

umask 设定为002，表示要减去的权限

目录   777-022=755

文件   666-022 =644

unask 设定为奇数  偶数  对文件和目录有什么影响

    文件：如果umask 出现了奇数，要在奇数为+1

    目录：对目录毫无影响

设定umask  

    umask  number 临时（当前bash窗口有效，会随着bash的关闭一起结束）

    vim  /etc/profile  /etc/login.defs  #如果修改则都为永久

PS：umask 知道就行，不要调整，默认的就是安全的权限

目录是：755               文件是：644

今日总结

1.特殊权限  suid (重要)   sgid   sbit

2.特殊属性   chattr   lsattr  -a(/var/log/*.log) -i (/etc/passwd)

3.umask  默认权限（表示要减去的权限  目录：777-umask   文件666-umask）