コンフィギュレーション・ファイルのアクセス権
#查看存在哪些chattrは命令 $男-aw chattrは #查看chattrは帮助信息、输出到文本中并 $のman chattrはを| COL -bx> chattr.txt chattrは(1)一般コマンドマニュアルchattrは(1) 名前 chattrは-変更ファイルは、Linuxのファイルシステム上の属性 書式 chattrは[-rvf] [-vバージョン] [モード]ファイル... 説明 chattrは変化しファイルは、Linuxのファイルシステムの属性。 = [acdeijstuACDST] -シンボリックモードの形式は+です。 オペレータは、 `+」を選択したファイルの既存の属性に追加される属性の原因となります。` - 」を使用すると解除されます。そして、 `=」 彼らは、ファイルが持つ属性のみされます。 OPTIONS 文字`acdeijstuACDSTは、」ファイルの新しい属性を選択:のみ(a)は、圧縮された(C)、無ダンプ(D)、エクステントのフォーマット(e)は、追加 不変(I)、データジャーナリング(j)は、セキュアな削除を(複数可)、無尾マージ(t)は、削除不可(U)、ノーのatime更新(A)、書き込みにはコピー(C)、 同期ディレクトリ更新(D)、同期更新(S)、およびディレクトリ階層の最上位( T)。 次の属性は読み取り専用で、そしてたlsattrによって記載されている(1)が、chattrはによって変更されないことができる:巨大ファイル(H)、圧縮誤差(E)、 インデックス付きディレクトリ(I)、圧縮原アクセス(X)、及び圧縮汚れたファイル(Z)。 再帰的にディレクトリとその内容の属性を変更-R。 chattrはの出力を冗長にし、プログラムのバージョンを印刷-V。 -fほとんどのエラーメッセージを抑制します。 -vバージョンでは 、ファイルのバージョン/世代を設定します。 ATTRIBUTES アクセスされた設定「」属性を持つファイルは、そののatimeレコードが変更されていない場合。これは、ラップトップのためのディスクI / Oの一定量回避 システムを。 `」属性が設定されているファイルは、書き込みの際に追加モードでしか開くことができます。スーパーユーザーまたは持つプロセスのみ CAP_LINUX_IMMUTABLE機能は、この属性を設定するか、クリアすることができます。 `C」属性が設定したファイルは、自動的にカーネルによってディスク上で圧縮されています。このファイルからの読み込みは、非圧縮データを返します。 このファイルへの書き込みは、ディスク上に保存する前にデータを圧縮します。注:でバグと制限のセクションを読んで確かめてほしい 、この文書の末尾。 「C」属性が設定されているファイルは、コピーオンライトへのアップデートの対象ではありません。このフラグはのみ実行し、ファイル・システム上でサポートされている コピー・オン・ライトを。(注:それはすでにデータ・ブロックを持つファイルに設定されている場合のbtrfsのために、「C」フラグが新規または空のファイルに設定する必要があり、 ファイルに割り当てられたブロックが完全に安定している時に定義されていない場合。 「C」フラグは、ディレクトリに設定されています 。そのディレクトリで作成したディレクトリが、新しいファイルがNo_COW属性が)う `D」属性が設定されているディレクトリを変更すると、変更内容がディスクに同期書かれています。これは同等です `ディレクトリ同期」ファイルのサブセットに適用されるオプションをマウントします。 ダンプ(8)プログラムが実行されるときに設定され`D」属性を持つファイルがバックアップの候補ではありません。 「E」属性は、圧縮ファイルに圧縮エラーがあることを示すために、実験的な圧縮パッチによって使用されています。それができない場合があり 、それがたlsattrで表示することができるが、chattrは(1)を用いてセットまたはリセット(1)。 「E」属性は、ファイルがディスク上のブロックをマッピングするためのエクステントを使用していることを示しています。これはchattrは(1)を用いて除去されなくてもよいです。 「I」属性は、ディレクトリがハッシュされた木を使用して索引付けされていることを示すために、Hツリーコードで使用されています。これはセットまたはリセットされないことがあり 、それがたlsattr(1)で表示することができるが、chattrは(1)を使用します。 「H」属性は、ファイルがファイルシステムのブロックサイズの代わりにセクタ単位で単位でそのブロックを格納していることを示し、そして意味 2TBよりも大きいファイルである(または、一度あった)こと。それによって表示することができるが、それは、chattrは(1)を用いてセットまたはリセットされなくてもよい たlsattr(1)。 `I」属性を持つファイルが変更することはできません:それは削除することができないか、名前が変更され、何のリンクは、このファイルに作成することができず、何のデータをすることができ ファイルに書き込まれます。スーパーユーザーまたはCAP_LINUX_IMMUTABLE機能を持つプロセスだけが、この属性を設定するか、クリアすることができます。 ファイルシステムがされている場合、 `J」属性を持つファイルは、ファイル自体に書き込まれる前に、ext3のジャーナルに書き込まれたすべてのデータを持っている が搭載された『データ=ライトバック』オプション『データ=注文』または。ファイルシステムは、「データ=ジャーナル」オプションでマウントされている場合、すべてのファイルデータがされ 、既にジャーナルされ、この属性は効果がありません。スーパーユーザーまたはCAP_SYS_RESOURCEケーパビリティを持つプロセスだけを設定したり、することができ 、この属性をオフにします。 `s'は属性が設定されているファイルが削除されると、そのブロックがゼロと戻ってディスクに書き込まれます。注意:必ずお読みください このドキュメントの最後にバグと制限のセクションを。 `S」属性が設定されているファイルを変更すると、変更内容がディスクに同期書かれています。これは`同期と同等である」 ファイルのサブセットに適用されるオプションをマウントします。 「T」属性を持つディレクトリはOrlovブロックアロケータのためのディレクトリ階層の最上位にあるとみなされます。 これは、このディレクトリの下にサブディレクトリが関連していないEXT3とext4のが使用するブロックアロケータへのヒントであるためであるべきです 割り当てのために離れて広がります。例えば、/ homeディレクトリに「T」属性を設定することにより、非常に良いアイデアです し、/ホーム/メリー/ホーム/ジョン別々のブロックのグループに配置されています。この属性が設定されていないディレクトリの場合、オルロフブロックアロケータは 、可能な限り互いに接近してグループのサブディレクトリにしようとします。 「T」属性を持つファイルは、ファイルの末尾部分ブロックの断片を持っていません(これらのファイルシステムの他のファイルにマージ テールマージをサポート)。これは、直接ファイルシステムを読んで、このようなLILOなどのアプリケーションのために必要であり、これを理解していません テールマージされたファイル。注意:本稿執筆時点で、ファイルシステムはext2またはext3は(非常に実験的なパッチを除き、まだ)ないtail-サポートして マージを。 ファイルが`U」属性セットを削除すると、その内容が保存されます。これは、ユーザがファイルを復活させることができます。注:してください 、この文書の最後にあるバグと制限セクションをご覧ください。 、それがたlsattrで表示することができるが、chattrは(1)(1)。 著者 「X」 直接。それたlsattr(1)で表示することができるが、それは、現在、設定またはchattrは(1)を使用してリセットされなくてもよいです。 「Z」属性が汚れている圧縮ファイルを示すために、実験的な圧縮パッチによって使用されています。これは、設定または使用してリセットすることはできません chattrははレミーカード<[email protected]>によって書かれました。これは、現在、セオドア・ツォー<[email protected]>によって維持されています。 バグと制限 `C「『S』、そして` U」は現在のメインラインのLinux ker-で実装されている属性は、EXT2、EXT3、及びext4のファイルシステムで表彰されていません NELS。 `J」オプションは、ファイルシステムはext3ファイルシステムとしてマウントされている場合にのみ有効です。 `D」オプションはLinuxカーネル2.5.19以降でのみ有効です。 入手方法 chattrははe2fsprogsパッケージの一部であり、http://e2fsprogs.sourceforge.netから入手できます。 関連項目 たlsattr(1) のe2fsprogsバージョンを1.42.9 2014年2月chattrは(1)
ソース https://www.runoob.com/linux/linux-comm-chattr.html
Linuxのchattrはコマンドがファイル属性を変更するために使用されます。
命令は、以下の8モードを合計ext2ファイルシステムのファイルまたはディレクトリの属性に保存されて変更される場合があります。
- A:ファイルまたはディレクトリが追加の用途のためにあるしましょう。
- B:ファイルまたはディレクトリの最終アクセス時刻を更新しません。
- C:ファイルまたはディレクトリの圧縮を格納します。
- D:ファイルまたはディレクトリがチルト動作を除外する。
- I:ファイルまたはディレクトリにない変更。
- S:機密ファイルやディレクトリを削除します。
- S:インスタントアップデートファイルまたはディレクトリ。
- U:誤消去を防ぎます。
文法
chattrはの[ - RV ] [ - V <バージョン番号>] [+ / - / = <属性>] [ファイルまたはディレクトリ...]
パラメータ
-R再帰的な処理は、指定されたディレクトリ内のすべてのファイルとサブディレクトリは、一緒に対処しました。
-v <バージョン番号>設定ファイルまたはディレクトリのバージョン。
-V表示処理の実行指示。
+ <プロパティ>プロパティは、ファイルまたはディレクトリを開きます。
- <プロパティ>ファイルまたはディレクトリの属性を閉じます。
=ファイルまたはディレクトリの属性を指定し、<属性>。
例
chattrコマンドをで修飾されている重要なシステムファイルを防ぐために:
chattrは+ I / など/ RESOLV 。confに
たlsattr / など/ RESOLV 。confに
これは、次の属性が表示されます
---- I -------- / など/ RESOLV 。confに
ように、ファイルのみを入力することができ、及び追加データは、しかし、ログファイルの様々なために削除することはできません。
chattrは+ A / VAR / ログ/ メッセージ
ソース https://www.runoob.com/linux/linux-comm-lsattr.html
Linuxのたlsattrコマンドは、ファイルの属性が表示されます。
変更ファイルまたはディレクトリchattrはを実行するための施設がある中で、たlsattr実行可能な命令は、その財産について問い合わせします。
文法
たlsattr [ - adlRvV ] [ファイルまたはディレクトリ...]
パラメータ:
- -aは、「」を含むすべてのファイルとディレクトリを、表示名は、追加のビルトイン、カレントディレクトリの文字で始まるです。 『』と親ディレクトリを「...」
- -d表示、ディレクトリ名ではなく、その内容。
- -lこのパラメータは、現在は効果がありません。
- -R再帰的な処理は、指定されたディレクトリ内のすべてのファイルとサブディレクトリは、一緒に対処しました。
- ファイルやディレクトリの-v表示バージョン。
- -Vバージョン情報を表示します。
例
1は、重要なシステムファイルを防ぐためにchattrはコマンドで変更されます。
#chattrは+私は/etc/resolv.confを
そして、MVファイル操作コマンドには/etc/resolv.conf等は、運用で得られた結果は許可されていません。
W10を求められたら、Vimはファイルを編集することができます。警告:読み取り専用ファイルのエラーを変更します。このファイルを変更するには、私はちょうどプロパティを取り除く必要があります。
chattrは- I / など/ RESOLV 。confに
ファイルの属性を表示するには、lsattrコマンドを使用します。
#たlsattrの/etc/resolv.conf
出力は次のようになります。
---- I -------- / など/ RESOLV 。confに
2、ファイルのみを入力して、追加のデータが、ログファイルのさまざまな削除することができないことができるように:
#1 chattrは+ Aの/ var / log / messagesに
chmod G + S、chmodのO + T、chmodのU + S
ソース https://blog.csdn.net/taiyang1987912/article/details/41121131
3つの権限を設定したuid、gidの、のスティッキービットを説明
ファイルは、ファイルが作成されたことを示す所有者を有すると同時に、ファイルが属するファイルの一般的なグループの所有者に属しているグループを表すファイル番号のグループがあります。
それは、実行可能ファイルがある場合は、実行されると、ユーザーだけで通常のファイルは、ファイルを呼び出すためのアクセス許可を持っている。のsetuid、setgidのは、この設定を変更することができます。
setuidさ:ファイルの所有者のファイルアクセス権を設定している一般的なファイルの実装段階では/ usr / binに/ passwdの平均的なユーザーは、ユーザーが変更できるように実装プロセスでは、ファイルは、root権限を取得することができ、ファイルを実行した場合。パスワード。
setgidさ:ディレクトリは、このビットに設定された後、この許可は、ディレクトリに対してのみ有効で、このディレクトリ内の任意のユーザーが作成したファイルは、ディレクトリを持ち、グループは、同じグループに属しています。
スティッキービット:ユーザーならば、このビットは抗ビットファイルを削除すると解釈することができますが、何の書面による許可がない場合は、ファイルがユーザーに属しているグループが書き込み権限を持っているかどうかに応じて、削除することができ、このディレクトリ内のすべてのファイルがあります。それは削除することはできませんが、新しいファイルを追加することはできません後。あなたは、ユーザーがファイルを追加することができるようにしたいが、ファイルを削除できない場合は、文書のスティッキービットのビットを使用することができます。このビットは、ユーザーがディレクトリへの書き込みアクセス権を持っている場合でも、設定されている、あなたが削除することはできませんファイル。
これらの兆候の操作方法については以下の言いました:
これらの操作は、マークと操作コマンドファイルのパーミッションが同じで、chmodコマンドです。動作させるための2つの方法があり、
1)はchmodのu + sのTEMP - 一時ファイルのsetuidフラグを追加する(ファイルに対してのみ有効setuidを)。
chmod gが+ S TEMPDIR - TEMPDIRディレクトリはsetgidのプラス記号(唯一の有効なディレクトリをsetgidさ)であります
chmodの0 + Tの一時 - (ファイルのスティッキのみ有効)スティッキーフラグを追加するための一時ファイル
2)オクタル実施形態3進フラグによる一般的なファイルカウンタ、等666、777、644、等が挙げられる。これらの特別なフラグの場合、プラスこの数を超えて8進数のセット。として
など4666、2777、数字三つのグループの進意義以下のように、
ABC
A - setuidビットこのビットが1である場合は、そのsetuidさを示しています。
B - setgidビットこのビットが1、セットアップsetgidのであれば。
C - 。スティッキービットこのビットが1である場合には、粘着性を設定します
これらのフラグを設定した後-l LSを表示するために使用することができる。これらのフラグは、元の実行フラグの位置に表示された場合
rwsrw-R-はsetuidのフラグを発現しました
rwxrwsrw-はsetgidのフラグを発現しました
rwxrw-RWTはスティッキーフラグを発現しました
次に、元の実行フラグxが?xビット、小文字(S、S、T)。そうしないと、表示が大文字である特別なフラグにされているならば、システムは、そのような要件である(外出しますS、S、T)
3桁の権限を理解することができます
[ルート@ server3の試験]#1 1 1
[ルート@ server3のテスト]#RWのRWS RWT
[ルート@ server3のテスト]#
[ルート@ server3のテスト]#SUID SGIDスティッキー
そこで、我々は描くことができます
chmodコマンド4777は、SIDが設定されています
chmodコマンド2777は、GID設定されています
chmodの1777年には粘着性が設定されています
共通操作
(ディレクトリは、誰もがスティッキービットがまだ設定されていないディレクトリを読み書きできるセット)すべての危険なディレクトリを指定
/ -perm -0007 -type dを見つけます
すべての設定SUIDファイルを識別
/ -perm -4000型Fを見つけます
補足:(アンジェラス)
SGIDビット、ファイルはまた、実行可能ファイルとして、SGIDに設定することができますがSGIDが与えられ、それはすべてのグループの権限を持って、システムリソースへのアクセスは、コピーを持っているために、すべてのグループで使用することができます
SGIDビットファイルディレクトリには、元のグループ設定を保持するために、場合にのみ、-pパラメータをコピーします
そこスティッキービットの許可が、それは単に他のユーザーが書き込み権限を削除することはできません持っている場合でも、ファイルです。モバイル
など、のみなどのファイルの所有者、運動を、削除することができます
典型的な例では、システムの/ tmp(一時ファイルシステムディレクトリ)は、他のファイルを削除するためにユーザが置かカオス遵守任意のユーザーを避けています
SUID所有者占有X(実行)ビット群は、SGIDがビット、その他によって占有スティッキービットのXビットをxは占め
Sを小文字にビットX許可する場合、資本Sを使用しません
値に特別な権限を設定すると、最初に特別な権限は、3つの基本的なアクセス権を表す示し、進4であります
最初の8進機関の代表と言いました
0:特別な権限が設定されていない
1:スティッキーのみ提供
2:設けのみSGIDを
3:のみ設定SGID及びスティッキー
4:。のみSUID提供する
。5:のみSUIDとスティッキーセット
6:。のみSUIDとSGIDを設定
7:設定権限の3種類
ファイルやディレクトリのパーミッションを変更します。
UNIXシステムファミリでは、ファイルやディレクトリのアクセス権は、読み取り、書き込み、一般的な3を区別するための権限を実行し、使用するために利用できる特別な権限の別の3種類、その後、所有者とそのグループ管理能力とするように制御されています。パーミッションテキストまたは数値コードの使用が可能な方法を設定し、ファイルやディレクトリを変更するには、chmodコマンドを使用することができます。パーミッションのシンボリックリンクを使用すると、シンボルのアクセス許可を変更するために接続した場合、その役割はリンクする元のファイルに変更されます、変更することはできません。範囲表記次のように
U:ユーザーは、それは、ファイルやディレクトリの所有者です。
G:グループ、それは、ファイルやディレクトリの彼らのグループです。
O:その他、ファイルやディレクトリの所有者、またはそのグループを除いて、他の人がこの範囲に属します。
A:すべての、それは、所有者、グループを所有し、他のユーザーを含むすべてのユーザーです。
権利コードのセクションは、以下のリスト:
R:読み取りアクセス許可、デジタルコードネーム「4」
W:書き込みアクセスを、デジタルコードが「2」であります
X:許可またはスイッチ、数値コードを実行し、「1」
- :すべての権利を持っていない、数字コードネーム「0」
S:特別な指示B>ファイルまたはディレクトリを変更する:?許可をいます。
sudoの設定ファイルは/ etc / sudoersファイル
# #このファイルは、rootとして「visudoを」コマンドで編集する必要があります。 # #の代わりに/etc/sudoers.d/でローカルコンテンツを追加することを検討してください #このファイルを直接修正します。 # #sudoersファイルを作成する方法の詳細については、manページを参照してください。 #1 デフォルトenv_reset デフォルトmail_badpass デフォルトSECURE_PATH = "は/ usr / local / sbinに:は/ usr / local / binにします。/ usr / sbinにします。/ usr / binに:/ sbinに:/ binに:/スナップ/ binに" #ホストエイリアス仕様 #ユーザーエイリアス仕様 #Cmndのエイリアス仕様 #ユーザー権限の指定 ルートALL =(ALL:ALL)ALL root権限を得てもよいadminグループのメンバー# %管理ALL =(ALL)をALL #がグループのsudoのメンバーは、任意のコマンドを実行することを許可します %sudoのALL =(ALL:ALL)ALL # "の#include"ディレクティブの詳細については、sudoersファイル(5)を参照してください: #includedirの/etc/sudoers.d
コンテンツの一部を変更します。
%管理ALL =は/ usr / sbinに/ *、/ sbinに/ *は/ usr / binに/ *、!は/ usr / sbinに/ユーザー*!は/ usr / binに/ passwdファイル、!は/ usr / binに/ RM、!は/ usr / binに/ sshを*、!は/ usr / sbinに/ visudoを、!は/ usr / sbinに/ useraddの、!は/ usr / sbinに/ userdelの %はsudo ALL =は/ usr / sbinに/ *、/ sbinに/ *は/ usr / binに/ *、!は/ usr / sbinに/ユーザー*!は/ usr / binに/ passwdファイル、!は/ usr / binに/ RM、!は/ usr / binに/ sshを*、!は/ usr / sbinに/ visudoを、!は/ usr / sbinに/ useraddの、!は/ usr / sbinに/ userdelの
=====================終了