day11 特殊权限

咋日回顾

权限:

1.权限就是约束用户能对操作系统的操作

2.权限有什么作用

    保护用户的隐私

    可以按需开放对应的权限

3.权限与用户之间有什么关联

4.调整权限用chmod

    1.hgo 根据  user=rw  group=r   other=r

    2.number   r=4  w=2  x=1  -=0     

          目录:755   777    700     文件:644   600      命令:755

5.验证r  w  x每位的权限

    文件:rw:读和写    rx:读和执行

    目录:r列出目录的内容,w允许往该目录下新建文件    x进入目录

            rx:能列出当前目录的所有内容,并也能进入该目录

            rwx:啥都能干

PS:删除一个目录下的文件,看的是文件的上及目录的权限

如果不是删除或者复制移动等操作,看文件本身的权限

6.变更文件的拥有人和拥有组

chown    username.groupname   filename

chown     -R  username.groupname   directory

chown     username    filename

chown     .groupname   filename

chgrp      groupname    filename



今日内容

1.suid (set  uid)  特殊权限

set uid   简称suid 

当我们为某个命令设定了suid ,无论谁使用该命令  都会使用该命令的“属主”运行该命令

suid  ==  4000

chmod   u+s        /usr/bin/passwd

chmod   4755       /usr/bin/passwd

chmod   u-s     去掉权限

sudi优点:可以让普通用户执行无法执行的命令,方便

suid缺点:如果rm 为suid ,无论谁执行该命令,都能删除系统的如何资源


PS:进程能够以何种身份去查看一个文件,取决于运行这个进程的用户对这个文件有没有权限

2.sgid(set  gid)特殊权限 

将目录设置为sgid后,如果在往该目录下创建文件,都将与该目录的所属保持一致

[root@caoweiqiang ~]# groupadd devop

[root@caoweiqiang ~]# useradd zhansan -G devop

[root@caoweiqiang ~]# useradd linsi -G devop

[root@caoweiqiang ~]# id zhansan

uid=16785(zhansan) gid=16800(zhansan) groups=16800(zhansan),16799(devop)

[root@caoweiqiang ~]# id linsi

uid=16786(linsi) gid=16801(linsi) groups=16801(linsi),16799(devop)

#测试不同的用户在该目录下创建文件,检查属主和属组

#使用sgid可以使得多个用户之间共享一个目录的所有文件变得简单

3.sbit

如果一个目录设定了粘滞位,那么谁都可以在该目录下创建文件

删除文件只能是 谁创建的文件谁删除,除此以外root和/tmp/的所属主都能删除该目录下的内容

#设定粘滞位   1000

chmod   0+t    /tmp

chmod   1777   /tmp

4.特殊属性chattr   lsattr

    -a  只能追加,无其他操作

    -i 锁定文件,不能删除,不能追加,不能移动

1.希望任何人都不能创建用户,应该给/etc/passwd添加什么特殊属性

[root@caoweiqiang ~]# chattr +i /etc/passwd

[root@caoweiqiang ~]# lsattr /etc/passwd

----i----------- /etc/passwd


#不得任意更动文件或目录

[root@caoweiqiang ~]# chattr -i /etc/passwd

[root@caoweiqiang ~]# lsattr /etc/passwd

---------------- /etc/passwd


2.日志文件,希望能往里面追加内容,单不允许删除,应该添加什么特殊属性

[root@caoweiqiang ~]# chattr +a /var/log/secure 

[root@caoweiqiang ~]# lsattr /var/log/secure

-----a---------- /var/log/secure


5.umask默认权限

umask 是用来控制默认创建文件或目录的权限

umask 设定为002,表示要减去的权限

目录   777-022=755

文件   666-022 =644

unask 设定为奇数  偶数  对文件和目录有什么影响

    文件:如果umask 出现了奇数,要在奇数为+1

    目录:对目录毫无影响

设定umask  

    umask  number 临时(当前bash窗口有效,会随着bash的关闭一起结束)

    vim  /etc/profile  /etc/login.defs  #如果修改则都为永久

PS:umask 知道就行,不要调整,默认的就是安全的权限

目录是:755               文件是:644

今日总结

1.特殊权限  suid (重要)   sgid   sbit

2.特殊属性   chattr   lsattr  -a(/var/log/*.log) -i (/etc/passwd)

3.umask  默认权限(表示要减去的权限  目录:777-umask   文件666-umask)

你可能感兴趣的:(day11 特殊权限)