Linux-系统管理15-ACL、SUID、SGID、SBIT

最新推荐文章于 2025-04-29 15:30:59 发布
最新推荐文章于 2025-04-29 15:30:59 发布
阅读量294 收藏 1
点赞数 1
分类专栏: Linux基础 文章标签: linux centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Ddddzz_/article/details/125775184
版权

                       目录

一、ACL 权限控制

1.ACL 概述

2.ACL 的权限控制

3.启动ACL

4.ACL 的设置 setfacl 命令

5.ACL 的查询 getfacl 命令

6.权限掩码

7.递归修改目录下现有文件的 ACL 设置

8.预设 ACL 权限

9.删除 ACL 设置

二、特殊权限 SUID、SGID、SBIT

1.SUID(Set UID)

2.SGID(Set GID)

3.SBIT(Sticky Bit)粘滞位

4.SUID、SGID、SBIT 权限的设定

一、ACL 权限控制

1.ACL 概述

ACL(Access Control List),主要作用可以提供除属主、属组、其他人的 rwx 权限之外的 细节权限设定。

2.ACL 的权限控制

使用者(user)

群组(group)

默认权限掩码(mask)

3.启动ACL

Centos7系统中默认对ext4,xfs类型的文件系统启用ACL

4.ACL 的设置 setfacl 命令

(1)格式:

setfacl [选项] [acl 参数] 目标文件或目录

(2)常见选项:

-m:设置后续的 acl 参数,不可与-x 一起使用
-x:删除后续的 acl 参数,不可与-m 一起使用
-b:删除所有的 acl 参数
-k:删除默认的 acl 参数
-R:递归设置 acl 参数
-d:设置默认 acl 参数,只对目录有效

(3)ACL 参数格式:

u:用户名:权限 【给某个用户设定权限,若不添加用户名,默认修改属主权限】
g:组名:权限 【给某个组设定权限,若不添加组名,默认修改属组权限】
m:权限 【更改权限掩码】

示例:

增加用户 test1 与 gtest 组具有读写权限

 ##发现权限发生变化,并且结尾增加了一个“+”

5.ACL 的查询 getfacl 命令

(1)格式:

getfacl 文件或目录

(2)示例:
查看/aaa/123.txt 的 ACL 设置

6.权限掩码

类似于 umask,需要注意的是使用者的 ACL 权限设置必须要在 mask 的权限范围内才会 生效。 示例:

7.递归修改目录下现有文件的 ACL 设置

示例:

递归修改/aaa/目录及其目录下的 ACL 设置,并新建文件查看是否具有相同 acl 权限

##递归式修改目录及目录下的 ACL 设置,仅对当前存在的文件生效,但新建文件并不具有 相同的 ACL 设置。

8.预设 ACL 权限

示例:

设置/aaa/目录下,test1 用户一直具有读写执行权限

测试之前设置:

9.删除 ACL 设置

(1)删除某文件或目录单个用户或组的权限

(2)删除某文件或目录全部 ACL 设置

(3)递归删除/aaa/目录及其目录下所有文件的 ACL 设置

二、特殊权限 SUID、SGID、SBIT

1.SUID(Set UID)

SUID 概述

当 s 标志出现在文件属主权限的 X 权限上时,例如/usr/bin/passwd 这个文件,权限为 “-rwsr-x-r-x”,这个文件就具有 SUID 特殊权限,在执行此命令的时候,执行者在执行的瞬 间将拥有文件属主 root 的身份权限,即/etc/shadow 文件,普通用户并没有写入权限,但是普通用户可以执行 passwd 命令对自己的账号密码进行修改,同时写入/etc/shadow 文件,正是因为/usr/bin/passwd 这个文件具有 SUID 这种特殊权限。

SUID 特殊权限的特点:

  • SUID 权限仅对二进制程序(binary program)有效
  • 执行者对于改程序需要具有可执行权限
  • SUID 权限仅在执行该程序的过程中有效
  • 执行者将具有该程序拥有者的权限

2.SGID(Set GID)

SGID 概述

当 s 标志出现在文件属组权限的 x 权限上时,例如/usr/bin/write 文件的权限为“-rwxr-sr-x” 属组为 tty,当执行者执行 locate 命令时,将具有 tty 组成员的权限。

与 SUID 不同的是,SGID 可以针对文件或目录来设定,对于文件来讲,SGID 对二进制程 序有用,若程序执行者对于该程序来说具备 x 的权限,则执行者在执行的过程中将会获得该 程序群组的支持。

除了与 SUID 相同的对二进制程序有效以外,SGID 还能够用在目录上,当一个目录设定 了 SGID 的权限后,用户若对此目录具有 r 与 x 权限,该用户能进入此目录后,在此目录下 的有效群组将变为目录的群组,即若该用户具有 w 权限,新建文件或目录后我们会发现, 该用户所建立的文件或目录的属组为上层(具有 SGID 设置)的目录的属组。

##实验发现,当以 root 用户身份建立/aaa/目录时并加以 SGID 权限设置,su 到普通用户 linuxli 身份后,在/aaa/目录下创建文件与目录其属组均为 root,且新建目录也具有 SGID 的 特殊权限。可见 SGID 权限对于目录而言,具有递归式的影响,但对新建文件并没有 SGID 权 限。且即使是以 linuxli 身份复制到/aaa/目录下一个二进制程序,该文件属组会变为 root, 但二进制程序仍不具有 SGID 权限。

3.SBIT(Sticky Bit)粘滞位

(1)SBIT 粘滞位概述

当目录权限 x 的位置变为 t 时,即该目录设有 SBIT 粘滞位权限,主要作用是该目录下的 文件即目录仅其属主与 root 用户具有删除该文件或目录的权限,增强安全性。

(2)示例:

创建/test/目录,权限 777,root 用户创建一测试文件,su 到普通用户 linuxli 身份尝试删除该文件。再将/test/增加 SBIT 粘滞位权限后,再以 linuxli 身份尝试删除该文件。

实验发现,虽然普通用户 linuxli 对于 123.txt 文件并没有 w 权限,但因上层目录/test/ 具有 777 的权限,linuxli 可以删除修改该目录下的所以文件,这对于系统来讲是十分不安全 的。可以通过增加 SBIT 粘滞位权限进行控制。

增加 SBIT 粘滞位后,/test/目录下的文件仅其属主和 root 可以删除修改,其他用户无法 修改,增加了系统的安全性。需要注意的是,SBIT 粘滞位仅对目录生效,对文件无效。

4.SUID、SGID、SBIT 权限的设定

(1)八进制数设置方法

方法:
在属主、属组、其他人的权限前增加特殊权限的八进制数字表示
4 为 SUID
2 为 SGID
1 为 SBIT

(2)示例:

设置 SUID 权限:

设置 SGID 权限:

设置 SBIT 权限:

(3)字母设置方法 示例:

设置 SUID 权限:

设置 SGID 权限:

设置 SBIT 权限:

linux文件特殊权限简单介绍,ACL介绍,SUIDSGID,SBIT介绍以及更改
aaaa_xiebiao的博客
02-22 332
ACL权限管理 .acl 主要作用是给除了数组,与其他人不同的读写执行权力,单独的给某个用户设置某个权限 首先安装acl yum -y install acl ACL设置权限: setfacl(设置权限) getfacl(查看权限) -m 设置后面的用户acl参数 -x 删除后续的用户acl参数 -b 删除所有的参数 -R 递归设置 ACL参数格式: u:用户名:权限 给...
linux 特殊权限大写S,Linux特殊权限之SUIDSGIDSBIT的使用指南
weixin_33318791的博客
05-08 950
1. 前言Linux文件权限除了r、w、x外还有s、t、i、a权限,本文将会讲解这三个特殊权限的使用方法已经注意事项。2. 了解特殊权限我们先来看一下[root@zcwyou ~]# ll /usr/bin/passwd-rwsr-xr-x. 1 root root 27832 6月 10 2014 /usr/bin/passwd我们可以看到,rws,这就是一个具有特殊权限的文件。再来看一个例子...
Linux系统的用户权限管理详解(sudo、SUIDSGID、Sticky、ACL等)
weixin_44411385的博客
03-20 2351
Linux系统中用户对文件的访问权限有三种类型,分别是:可读(read):允许查看文件内容、显示目录列表 可写(write):允许修改文件内容,允许在目录中新建、移动、删除文件或子目录 可执行(execute):允许运行程序、切换目录Linux系统用户的类型也有三种,如下: 文件拥有者(owner):拥有该文件或目录的用户帐号 ——当前用户 属组(group):拥有该文件或目录的组帐号 ——小组成员 其他人(others):除了属主和属组的其他人
Linux用户管理和权限管理(ACL、sudo、SUID等)
hawava的博客
07-13 631
文章目录用户管理用户相关文件/etc/passwd/etc/shadow/etc/group/etc/gshadow/var/spool/mail//etc/skel/用户管理命令添加用户useradd命令useradd默认值/etc/default/useradd/etc/login.defs设置密码passwd命令删除用户手动删除用户userdel命令修改用户信息usermod命令切换用户身份su命令组管理命令添加用户组 groupadd删除用户组 groupdel于组中添加删除用户 gpasswd切换
linux suid,sgid,bit stick(粘贴位),acl权限的记录
baixiaoshi的专栏
01-02 1948
acl权限可以给用户单独设置权限  setfacl -m u:user1:rwx filename (添加acl权限) setfacl -b u:user1 filename(删除acl权限) 1、setuid与setgid讲解  看一下系统中用到它的地方,以/etc/passwd和/usr/bin/passwd为例:  复制代码 代码如下: [roo
Linux运维第9天:Linuxsuid,sgid,acl,shell编程
will835559313的专栏
05-30 834
特殊权限位          SUID:运行某程序时,相应进程的属主就是文件本身属主,而不是发起者         chmod u+s filename         chmod u-s filename             原来有x权限会变为s             否则为S     SGID:同上,创建文件(夹)时属组会变为被设置该位的目录的属组        
Linux特殊权限之umask,SBIT,SUID,SGIDACL权限列表
asufeiya的博客
07-16 1650
1.用户权限: umask 系统建立文件是默认保留的权力 umask 077 ##临时设定系统予留权限为077 永久更改umask (1)vim /etc/profile ##系统配置文件 59 if [$UID -gt 199] &&["id -gn "‘id -un’“];then 60 umask 002 ##普通用户...
掌握在Linux中设置SUID, SGIDSBIT权限
在本章中,我们将深入了解Linux文件权限系统的基本原理,包括文件权限的概述、文件权限在系统安全中的重要性以及SUID, SGIDSBIT权限的概念。让我们一起来探索这些内容。 ## 1.1 Linux文件权限概述 在Linux中,每...
Linux的基本权限(ACL)、特殊权限(suid,文件属性和进程掩码umask)
乐柚的博客
07-28 552
Linux的基本权限(ACL)、特殊权限(suid,文件属性和进程掩码umask) 一、 基本权限ACL 例如一个目录(文件)属主为root,权限为rwx,jishuzu组作为目录(文件)的属组,属组权限为rwx,其他权限为0。若一个人需要rw权限,那么普通权限的三种身份不够用了,无法实现对某个单独的用户设定访问权限,这种情况下,就需要使用 ACL 访问控制权限。 (1) getfacl命令 语法:[root@localhost ~]# getfacl 文件名 (2) setfacl命令 语法:[root
文件的权限和访问控制列表(ACL
Eumenides_s的博客
09-21 2811
个人博客地址:http://www.pojun.tech/ 欢迎访问前言   文件的权限以及访问控制列表贯穿在整个的Linux使用过程中。我们知道,在Linux 中一切皆文件,因而文件的权限,就自然而然地成为了Linux使用过程中需要频繁接触到的知识内容。而文件权限这一部分地内容,又非常地复杂,因为我们将在这篇文章当中详细地介绍文件的权限,加深自己的理解,同时留作备忘。 本文将通过以下几个方面的
linux下文件、文件夹权限的作用及设置方法(常规权限与SUIDSGIDSBITACL、sudo、umask)
wsuyixing的博客
02-13 6429
linux文件、文件夹不同权限设置 读、写、执行权限 SUIDSGIDSBIT ACL权限设置(setfacl) sudo理解及设置 添加umask介绍
23.文件特殊权限之SUID权限、SGID权限、Sticky BIT权限和ACL权限
小鹏linux的博客
01-23 2662
在多用户多任务的Linux系统里,每个进程的运行都与运行的用户和组相关联。除了进程识别号(PID)以外,每个进程还有另外4个用户和用户组相关的识别号。他们分别是:实际用户识别号(RUID)、实际组识别号(RGID)、有效用 户识别号(EUID)、有效组识别号(EGID)。EUID和EGID的作用在于确定一个进程对其访问的文件的权限和优先权。一般情况下, EUID、EGID与RUID和RGID相同。设置了SUIDSGID情况除外。
文件权限及其设定
qq_36462472的博客
10-08 883
文件权限 1.文件属性的查看 ls -l filename -|rw-r--r--.|1| root| root|   46 |Oct  1 05:03 |filename — —————————  —  ————  ————    ——  ————————————  ————————  1    2     3    4      5      6      7
学习笔记:ACL详解
weixin_33769207的博客
09-06 837
Linux权限非常的重要,正常情况下一个文件或目录有三种角色,分别为:目录或文件拥有者(User)、所属群组(Group)、其他用户(Other),每个角色对应:读、写、可执行(rwx)。这也是我们最常见的权限,#ls -l所看到第一列内容。第一位是文件类型,如:d是目录、-是普通文件、l是链接文件、c是字符文件、b是块文件等。 剩下9位即是文件对应三种角色的权限。如下图:...
关于对NFS挂载目录设置acl报错:setfacl:/data/web_data: Operatiion not supported
Zh_SaTan的博客
09-26 4509
对目录设置acl,提示报错 setfacl:/data.web_data: Operatiion not supported 最近再做一套题配置ftp服务器时对目录设置acl一直未成功出现报错。 题目要求是为tom用户设置acl权限,要求tom对/data/web_data目录具有读写权限。 开始直接对目录进行acl的设置,出现了这个报错,联系上面题目(挂载云主机A的nfs共享在/data/we...
文件系统的特殊权限以及ACL的相关用法
厉害了,我的linux
07-26 850
【特殊权限】        Linux系统下文件有三种权限,可读(Readable)、可写(writable)、可执行(excutable) 这是比较常见的三种权限,比较常见,这篇就暂且不提。事事都有例外,今天主要来提一提那些例外的事。 首先先看一下例子。我们知道一个文件权限就代表着它可以执行什么,例如下图,/etc/passwd 的权限:对于其他用户是只读的。
Linux软硬链接和动静态库(20)
tan180°的博客
04-25 1097
我有款非常喜欢玩的游戏,叫做《饥荒》,现在我下载了这一款游戏,但我不会跑到游戏所在目录中双击 .exe 打开游戏,大多数人都会通过桌面的快捷方式直接打开文件,而这个快捷方式实际就是对 .exe 的 软链接 文件;当你在游戏中加载地图、道具等资源时,这些数据是存在 .exe 文件中的吗?答案是当然不是,这些资源文件都以 库 的方式与 .exe 位于同一目录中,通常为动态库,在 Windows 中后缀为 dll,那么这些神奇的辅助文件是如何产生的?其本质又是如何?本篇将带你一起揭晓。
Linux 服务管理两种方式service和systemctl
最新发布
lza20001103的博客
04-29 524
Linux 服务管理两种方式service和systemctl
autodl(linux)环境下载git-lfs等工具及使用
zjjaibc的博客
04-26 519
【代码】autodl(linux)环境下载git-lfs等工具。
深入理解Linux文件特殊权限SUIDSGIDSBIT
本文主要介绍了Linux文件系统的特殊权限SUIDSGIDSBIT,以及相关的文件和目录管理知识,包括文件属性理解、root用户的权限使用、文件和目录权限的修改,以及umask命令的使用。 在Linux系统中,文件权限是管理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

改名叫热炸

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值