linux特殊权限

最新推荐文章于 2025-05-19 19:24:49 发布
原创 最新推荐文章于 2025-05-19 19:24:49 发布 · 292 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#特殊权限位 #sid #粘贴位 #密码策略 #acl

本文介绍了Linux中的特殊权限,包括ACL访问控制列表的设置与应用,以及Suid、Sgid和粘贴位的概念和作用。通过示例详细解释了如何使用这些权限来实现更精细的访问控制,如设置目录权限以允许特定用户访问,同时保护文件安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

访问控制列表
应用场景,我有我所属目录的所有权限,我的开发组也有,但是我有一个朋友想要进我的目录参观,不能给所属也不能让他进组,需要一个后门这就是ACL访问控制列表。
首先要在挂载后面加上acl选项
可在mount -o remount,acl 也可在/etc/fstab表中改正重启
两个常用命令:
Getfacl查询和setfacl设置
Getfacl /data 查询data的权限
setfacl -m u:user:rwx /data
-m是修改acl信息每个都要加 -d是设置默认的acl信息递归目录
增加了acl权限后目录会在第十一位有一个特殊的 + 权限
在这里插入图片描述
-x是取消acl权限
setfacl -m u:user /data 注意后面不要权限了
加了d是有默认用户权限 可以在目录中有递归的acl权限
setfacl -m d:u:user:rwx /data
这个是指 有了这个权限目录所属者在底下在创建一个目录之后acl权限的用户依然可以继承上一层目录的权限,但是没有这个,所属这创建一个目录之后他不能在目录中有acl权限了。

Suid
SetUID(或者 s 权限):当一个具有执行权限的文件设置SetUID权限后,用户执行这个文件时将以文件所有者的身份执行。passwd命令具有SetUID权限,所有者为root(Linux中的命令默认所有者都是root),也就是说当普通用户使用passwd更改自己密码的时 候,那一瞬间突然 “灵魂附体” 了,实际在以passwd命令所有者root的身份在执行,命令执行完成后该身份也随之消失。
必须具备以下几个条件(前提):
只有可执行的二进制程序才可以设置SetUID
所有者必须对欲设置SetUID的文件具备 可执行(x) 权限
命令执行过程中,其它用户获取所有者的身份(灵魂附体)
SetUID具有时间限制,即完成该程序执行后就消失
使用touch命令演示:
以一个普通用户去创建文件将是root用户的所属文件
在这里插入图片描述
所以passwd就是root的文件
但是普通用户可以修改密码就是因为加了suid
但是仔细一想如果passwd是以root用户去执行这个命令的话
那一个普通用户可以修改另一个普通用户的密码呀
结果肯定是不能的因为有了pam加密
Sgid
针对文件:
可执行的二进制文件
命令执行者(即所属组)对该文件具备 x 权限
执行时,执行者被所属组灵魂附体
权限只在执行过程中有效
针对目录:
普通用户对目录具备r和x权限,才可以进入到该目录
普通用户在此目录中的有效组会变成此目录的所属组
如普通用户对该目录具备w权限,新建文件的所属组为该目录的所属组。
实例:如果一个公司有一个公共目录夹pub,所有的用户都要可以进来操作,但是如果有一个用户创建了一个目录aaa,所属用户和组就全是他自己的,其他人就无法访问了,这个时候可以在pub目录上设置一个sgid那么用户创建aaa 的时候,所属用户是他自己,但是所属组是这个公共目录夹的所属组。

粘贴位
像前面的的那个公共目录夹,如果底下的目录全是和前面一样的组一样的组权限,那么任何人可以删除任何一个另外的人的文件,所以需要给一个粘贴位
粘贴位只能针对目录
因为文件的删除是由上一级目录的写权限决定的
在这里插入图片描述
所以哪怕是自己创建的文件也不能删除。
如果给一个目录加了粘贴位那么目录下面的文件不能删除
粘贴位是在后面加了一个t
o+t
Usid =4 gsid=2 粘贴=1
也可以用数字决定权限。
Chmod 7777 /data

Sudo
1.用户执行sudu时,系统寻找/etc/sudoers文件,判断用户是否具备执行sudo的权限
2.确认执行权限后,让用户执行自身的密码
3.确认密码合法之后,开始执行后续的命令
4.Root执行sudo不需要密码
5.自身切换自身也不需要密码
配置文件/etc/sudoers
root ALL=(ALL:ALL) ALL
用户 server ip=(可切换的用户:组) 可执行的命令
用户前面加%是代表组/etc/lvm目录

在这里插入图片描述
依次是设置主机的别名 用户的别名 命令的别名

Umask
Umask是权限的取反,例如ldx用户umask为022
他创建的文件为:644 他创建的目录为:755
文件的执行文件会默认去除。

密码策略
/etc/login.defs设置的是用户账号限制的文件,但是该文件对root无效。如果在/etc/shadown文件中有相同的选项,后者优先。
在这里插入图片描述
用户密码有效的最长时间 用户修改密码的间距最短时间 密码过期的之前密码警告的天数,过期将密码关闭。
在这里插入图片描述
用户id的区间,还有其他的组的区间,密码长度以及umask等。

/etc/shadow文件
在这里插入图片描述
用户:密码:从1/1/1997开始到现在的天数:密码需要多少天之后才能修改(0任何时间可修改):密码多少天之后需要修改(1永远不修改):密码过期之前的警告天数(-1不警告):过期后要被禁用多少天(-1永远不会禁用):用户已禁用天数(-1启用):保留
/etc/passwd
在这里插入图片描述
用户:密码:uid:gid:用户别名:家目录:用户登录后使用的命令

Linux你所不知道的特殊权限
二进制君
02-23 543
linux下每一个文件和目录都有自己的访问权限,访问权限决定了用户能否访问文件或者目录和怎样进行访问。 最为我们熟知的是,一个文件或目录可能拥有三种权限,分别是读、写、和执行操作,在这里不做详细说明。 我们创建一个文件后系统会默认地赋予所有者读和写权限。当然我们也可以自己修改它,添加自己需要的权限Linux中除了r w x 三个权限外(分别代表r 读,w 写,x 执行),其实还有两个特殊权限s跟t。 SUID Bit 当s权限在文件所有者 x 权限上时,例如:-rwsr-xr-x,此时称为Set
Linux 特殊权限位详解:SetUID, SetGID, Sticky Bit
最新发布
weixin_45668002的博客
06-04 738
Linux系统包含三个特殊权限位:SetUID、SetGID和Sticky Bit,用于增强权限控制。SetUID允许程序以文件所有者权限运行(如passwd命令);SetGID使目录中新文件继承父目录组属性,便于协作;Sticky Bit则保护共享目录中文件(如/tmp)不被他人删除。这些权限可通过chmod命令设置(u+s/g+s/o+t或数字方式),但需谨慎使用SetUID以防安全风险。合理使用这些机制能在保证安全的同时实现灵活的权限管理。
linux 特殊权限
u013368932的博客
02-25 917
linux,unix系统中权限分为rwx(421),这是普通权限,相信大家都明白,但是有一类特殊权限可能有些人不了解例注:登录用户是jack执行命令:passwd jack,命令执行成功,修改了自己的密码passwd 命令修改成功密码,其实是修改/etc/passwd这个文件成功了查看一下/etc/passwd这个文件的权限如下:-rw-r--r-- 1 root root 2379 04-21...
【超!超!超详细!】Linux权限管理 (有图)
LPH3119的博客
05-19 881
①.可读同r表示(read):有了可读权限,就可以读取文件的内容②.可写用w表示(write):有了可写权限,就可以在文件中写入或删除内容③.可执行用x表示(execute):有了可执行权限,就可以执行该文件,对于目录来讲,x是进入权限。④.“-”表示没有某个权限权限的排列方式linux下表示二进制表示八进制表文件只读r--1004只可写-w-0102只可执行--x0011可读可写rw-1106可读可执行r-x1015可写可执行-wx0113。
Linux特殊权限
Sunfeiyanghtml的博客
06-27 1433
1、让普通用户对可执行的二进制文件,临时拥有二进制文件的所属主权限;2、如果设置的二进制文件没有执行权限,那么suid的权限显示就是大S;3、特殊权限suid仅对二进制可执行程序有效,其他文件或目录则无效;注意:suid相对危险,不建议对vim或rm进行suid设定操作;SGID设置二进制可执行文件,命令在执行的过程中,会以命令的属组身份运行该命令(效果不大)SGID设置目录上,那么在该目录下新建的文件/目录自动继承父目录的属组一旦目录被赋予了粘滞除了root。
Linux 系统特殊权限-权限属性-权限掩码
mohuanfenghuang的博客
08-28 1123
suid 只适合使用在系统命令上,/usr/sbin 安全sgid 适用于目录 锁定属组 让用户创建的文件继承主目录的属组。t 适用于目录在属主本来应该是 x(执行)权限置出现了一个小写s,这是什么权限?我们把这种权限称作 SetUID 权限,也叫作 SUID 的特殊权限。这种权限有什么作用呢?或者说能干啥?
Linux基础课件特殊权限设置SGID权限共9页.pdf
11-21
本课件聚焦于Linux特殊权限之一——SGID(Set Group ID),它是一种增强协作和权限控制的机制。 SGID权限通常用于文件和目录,其主要作用在于改变执行文件运行时的组身份,或者对目录进行特殊控制,以实现特定的...
linux系统权限管理文件特殊权限PPT学习教案.pptx
10-01
"Linux 系统权限管理文件特殊权限学习教案" Linux 系统权限管理文件特殊权限Linux 操作系统中的一种重要机制,用于控制用户对文件和目录的访问权限。本学习教案将详细介绍 Linux 系统权限管理文件特殊权限的概念...
linux特殊权限
01-09
Linux上的特殊权限 特殊权限:SUID SGID STICKY 安全上下文: 1.进程以某用户的身份运行,进程是发起此进程用户的代理,因此以此用户的身份和权限完成所有操作 2.权限匹配模型: (1)判断进程的属主,是否为被访问的...
Linux中的文件特殊权限
sjx800688的专栏
12-28 771
linux中除了常见的读(r)、写(w)、执行(x)权限以外,还有3个特殊权限,分别是setuid、setgid和stick bit 1、setuid、setgid 先看个实例,查看你的/usr/bin/passwd 与/etc/passwd文件的权限   [root@MyLinux ~]# ls -l /usr/bin/passwd /etc/passwd -rw-r-
Linux中的特殊权限
weixin_34356138的博客
11-27 122
Linux中除了普通权限之外,还有三个特殊权限。 SUID::以文件的所属用户执行,而非执行文件的用户,多用于可执行文件,设置suid后,在权限位中,所属用户的 最后一个权限为变为s,添加SUID权限可用“+s”表示。例如:passwd[adam@ultraera~]$whichpasswd /usr/bin/passwd [adam@ultraer...
LINUX特殊权限
Agan_Lu_Ming的博客
07-15 1672
linux中的特殊权限一共包含了一下三种: SUID(属主特殊权限) SGID(属组特殊权限) SBIT(粘滞) SUID 查看用户密码存放的文件我们可以看到是没有任何权限的 [root@localhost ~]# ll -d /etc/shadow ----------. 1 root root 2752 Jul 14 19:44 /etc/shadow 但是当我用户在更新或者密码的时候 是需要更新shadow的内容但是又没有权限写入,所以这时候SUID便有它的用处了 [root@localho
特殊权限
yzg123aaabbb的博客
04-13 270
1.特殊权限及文件系统访问控制列表 引入: [root@zhg ~]# ls -l `which passwd` 显示结果:-rwsr-xr-x. 1 root root 30768 2月  22 2012 /usr/bin/passwd 备注:重点看s 特殊权限有3个 SUID: 运行某程序时,相应进程的属主是程序文件自身的属主,而不是启动者(启动者可以临时拥有root权限) 格式:...
Linux 特殊权限
YZBTDIY的博客
12-11 425
特殊权限 特殊权限 对文件的影响 对目录的影响 u+s(suid) 以拥有文件的用户身份,而不是以运行文件的用户身份执行文件。 无影响。 g+s(sgid) 已拥有文件的组的身份执行文件。 在目录中最新创建的文件将其组所有者设置为与目录的组所有者相匹配。 o+t(sticky) 无影响。 对目录具有写入权限的用户仅可以删除其所拥有的文件,而无法删除或强制
linux特殊权限
weixin_34358365的博客
02-21 103
1、基本权限:r,w,x2、安全上下文进程和文件一样有属主和属组1、一个可执行程序文件启动为进程,取决于程序发起者对程序文件是否有可执行权2、进程的属主为程序的发起者,进程的属组是进程发起者所在的属组3、进程访问文件时的权限,取决于进程的发起者的权限1、进程发起者和要访问的文件是同属主,则以属主的身份访问2、进程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值