Linuxの著作権管理 - 特別な権限
恩典
1.suid(4000)
setuid(SUID):sが限度に属し主権の実現に権限を書かないだろう
S:そして、制限は主権である場合に執行権限
S:これがNOの場合、その後、制限の主権に実行権限を
認定
chmod u+s filename
chmod 4755 filenamesetuidの概要:
1.通常のユーザーがバイナリファイルを実行可能ファイルにできるように、一時的な所有者が許可バイナリを持っている
バイナリファイルの設定が権限を持っていない場合は、表示はSUIDパーミッションSである2を
唯一のバイナリSUID 3.特別な権限プログラムの効果的な実施は、他のファイルまたはディレクトリが無効です。
2.sgid(2000)
[root@oldboyedu ~]# ll /bin/write
-rwxr-sr-x. 1 root tty 19624 Oct 31 2018 /bin/write setgidの(SGID):Sは属・グループ・パーミッション・ビットに実行権限を書き込みます
グループがある場合は、その後、許可ビット上で実行権限を:S
S:あなたが権利を実行しない場合は、その後、グループの許可ビットに属し
認定
[root@db04 ~]# chmod 2755 /tmp/test/
[root@db04 ~]# chmod g+s /tmp/test/役割:修正するユーザー・グループのアクセス権のための1ビットは、ディレクトリのユーザーによって作成されたディレクトリやファイルの同じセットと所有グループに属しています。
2.ディレクトリがSGIDに設定されている場合は、新しいファイルがそのディレクトリにないが、ファイルのグループ所有デフォルトで作成された
3.のSGIDすると、簡単にすべてのファイルのディレクトリの複数のユーザー間で共有する恐れがあります。
3. SBIT
スティッキービット:
[root@oldboyedu ~]# ll -d /tmp/
drwxrwxrwt. 8 root root 105 Jul 2 10:15 /tmp/T:あなたがして、許可ビット上の他のユーザーに実行権限を持っている場合は
、あなたが他のユーザー権限で実行していない場合は、許可,: Tビット
ライセンス:
[root@db04 ~]# chmod 1755 /opt
[root@db04 ~]# chmod o+t /opt粘着性(SI TI KI)粘度、現在唯一の有効なディレクトリを、次のような役割は次のとおりです。
平均的なユーザーは、ディレクトリWおよびXへのアクセスを持っている、すなわち、平均的なユーザーは、スティッキービットなしで、このディレクトリに書き込み権限を持つことができるので、一般的なワットユーザーが権限を持っている、あなたは他のユーザーが作成したファイルを含めて、このディレクトリ内のすべてのファイルを、削除することができます。しかし、一度スティッキービットを与えられて、あなたがルート以外のすべてのファイルを削除することができ、一般ユーザたとえそこだけあなたが作成したファイルを削除することができますが、ユーザーが作成した他のファイルを削除することはできませんwを許可。
注意:/ tmpディレクトリに既存のシステムには、書き込み権限を持っている古典的なスティッキービットディレクトリ、ですので、セキュリティが問題に、多くの場合、最初の手トロイの木馬踏み台がかかります。
特別な権限の概要
SOUTH
passwdの:主にコマンド、またはファイルのコマンドを実行するには、所有者のためのバイナリファイルのアクセス権をバイナリファイルに
2.SGID
ディレクトリ、共有ディレクトリの主の許可3.SBIT
スティッキービットは、ディレクトリが許可ワットが、ルートに加えて、持っている場合でも、他のユーザーは自分のファイルには、移動操作を削除することができます
通常のユーザー:ZLSがoldboyeduこのグループに属している
ファイルのパーミッション:rwxrw-RX root.oldboyeduファイル名1
ファイルへのZLS権限:rw-
R:読み取り
W:書き込み
X:実行
南:4000
SGID:2000
T:1000
Linuxの権限はchattrは属性概要
chattrはファイルシステムの属性を変更するための許可rootユーザーのみ、rwxの権限以上の権限の基礎を確立します
chattrコマンドをフォーマットします。[root @のdb04〜]#の#chattr [+ - =] [オプション]ファイル名またはディレクトリ名
たlsattr:特別な権限を見ます
chattrは:セットの特殊なアクセス許可
I:ロックされたファイルは、編集することはできません変更することはできません、削除することはできません、動くことができない、あなたが行うことができます
A:あなただけ、動くことができない、あなたが行うことができますすることはできません削除、ファイルは、編集しないで追加することができます
ルートを含むすべてのユーザーに対して設定ファイル属性(パーミッション)
#选项:+增加权限 -减少权限 =等于某个权限
#a:让文件或目录仅可追加内容
#i:不得任意更动文件或目录
#创建文件并设置属性
[root@zls ~]# touch file_a file_i
[root@zls ~]# lsattr file_a file_i
---------------- file_a
---------------- file_i
#设置属性
[root@zls ~]# chattr +a file_a
[root@zls ~]# chattr +i file_i
[root@zls ~]# lsattr file_a file_i
-----a---------- file_a
----i----------- file_i
#a权限, 无法覆盖写入和删除文件
[root@zls ~]# echo "aa" > file_a
bash: file_a: Operation not permitted
[root@zls ~]# rm -f file_a
rm: cannot remove ‘file_a’: Operation not permitted
#a权限, 只能追加, 适用于日志文件
[root@zls ~]# echo "aa" >> file_a
#i权限, 无法写入, 无法删除
[root@zls ~]# echo "i" > file_i
bash: file_i: Permission denied
[root@zls ~]# echo "i" >> file_i
bash: file_i: Permission denied
[root@zls ~]# rm -f file_i
rm: cannot remove ‘file_i’: Operation not permitted
#解除限制
[root@zls ~]# chattr -a file100
[root@zls ~]# chattr -i file200Linuxのプロセスのマスクのumask
新しいファイルのパーミッションを変更する方法のumask
デフォルトのumaskは、我々は、ディレクトリを作成するときに、通常の状況下では、ディレクトリのパーミッションは777である必要があり、022ですが、umaskが減算される値を表し、その新しいディレクトリファイルのパーミッションは= 755 777から022にする必要があります。666から022 = 644:ファイルのパーミッションともそうについて
umaskの設定ファイルに関与
/etc/bashrc
/etc/profile
~/.bashrc
~/.bash_profile注意:
影響力のumaskの範囲
shell (vim,touch) --umask--> 新文件或目录权限
vsftpd --umask--> 新文件或目录权限
samba --umask--> 新文件或目录权限
useradd --umask--> 用户 HOME1、シェルプロセスでファイルを作成します
//查看当前用户的umask权限
[root@zls ~]# umask
0022
[root@zls ~]# touch file0022
[root@zls ~]# mkdir dir0022
[root@zls ~]# ll -d file0022 dir0022/
drwxr-xr-x 2 root root 6 Jan 24 09:02 dir0022/
-rw-r--r-- 1 root root 0 Jan 24 09:02 file0022
図2に示すように、シェルのumask値(力に仮エントリ)を修正します
[root@zls ~]# umask 000
[root@zls ~]# mkdir dir000
[root@zls ~]# touch file000
[root@zls ~]# ll -d dir000 file000
drwxrwxrwx 2 root root 6 Jan 24 09:04 dir000
-rw-rw-rw- 1 root root 0 Jan 24 09:04 file000
3、シェルのumaskを変更(永久、推奨されません)
[root@zls ~]# vim /etc/profile
if [ $UID -gt 199 ] && [ "`id -gn`" = "`id -un`" ]; then
umask 002
else
umask 022
fi
//立即在当前 shell 中生效
[root@zls ~]# source /etc/profil