特殊許可權管理
-
使用者在執行程式命令時,需要呼叫一個屬主和屬組是使用者本身的
bash
程式,同時對應
一個屬主和屬組是root
的檔案,在執行時一其他使用者的身份執行命令;當然這種許可權對於屬主和屬組時root
的檔案;
-
對於這個命令
/bin/ls
,屬主和屬組都是root
,westos
程式在呼叫這個命令時,應用的就是other
的x
許可權,當這個程式執行時ls
程式的屬主和屬組就是westos
,通過這種機制可以防止列出一些westos
不具有許可權的檔案; -
對於
/bin/passwd
這個命令,因為每個使用者具有修改自己密碼的許可權,但是密碼檔案的屬主和屬組都是root
,為了保證安全,這個檔案不具有任何許可權包括root
組使用者,如果隨意的更改這個檔案的許可權,會導致許可權放大;- 先考慮一種方法,如果為了使用者能夠修改密碼,給了
other
使用者讀寫許可權,這就會導致,tom
很有可能就可以修改jerry
的密碼,因為可以通過修改檔案內容,所以這是不安全的; - 如果將使用者加入
root
屬組,那麼這些使用者很有可能具有root
屬組的其他檔案的許可權,這個也是不安全的;
- 先考慮一種方法,如果為了使用者能夠修改密碼,給了
-
SUID
:在執行某個程式時,如果具有這SUID
許可權,那麼這個檔案執行時程式的屬主就是這個檔案本身的屬主,如果這個檔案原來具有執行許可權,顯示為s
,否則為大寫的S
; -
通過給
/bin/passwd
設定SUID
許可權,即使使用者為tom jerry
屬於other
,passwd
程式執行本身的屬主和屬組都是root
,當使用者修改密碼時,通過傳入的引數,passwd
程式通過root
的許可權就可以對/etc/shadow
通過root
的許可權就進行修改,即保證了/etcv/passwd
檔案本身的安全性,有保證了使用者對於修改自己密碼的需求; -
SGID
:啟動程式的程式的屬組不再是使用者的屬組而是程式執行時需要的檔案本身的屬組;在目錄裡面建立的檔案不再是使用者的基本組,而是這個目錄的基本組 -
Sticky
:表示在一個公共目錄每個人都可以建立檔案,刪除自己的檔案,但是不能刪除別人的問檔案;用於目錄設定許可權; -
檔案系統的訪問控制列表:
- 自己建立的檔案的屬主和屬組都是建立檔案使用者,普通使用者是不能改變檔案的屬組的;
FACL
:檔案系統訪問控制列表:利用檔案系統的擴充套件屬性儲存額外的訪問控制許可權,用來定義某個使用者某個組對於檔案有什麼樣的訪問許可權;也就是在許可權的劃分上可以細緻到某個確定的使用者,而不再是使用組這樣的模糊概念; - 系統的安全上下文的過程:程式是以使用者的的基本身份去訪問檔案系統的,先
owner-->group --> other
;的預設流程進行訪問;當許可權有了setfacl
時:owner--> facl
,user-->group-->facl
,group-->other
.; - 在
facl
裡面有一個許可權是mask
,表示的是你所給的使用者或者組的如果沒有設定mask
許可權,mask
許可權是隨著設定的最大許可權改變的,如果已經設定最大許可權mask
,訪問控制許可權是不能超過mask
許可權的,否則以mask
許可權為準; setfacl
:用於設定額外的訪問控制列表;-m
:u:UID:perm
:用於設定給某個使用者;g:GID:perm
:用於設定給某個組;- 如果需要為了目錄設定預設的訪問控制列表:
d:u:UID:perm
或者d:g:GID:perm
;
-x
:u:UID:perm
:用於取消某個使用者;g:GID:perm
:用於取消某個組;
getfacl
:用來獲取檔案的訪問控制列表資訊;
- 自己建立的檔案的屬主和屬組都是建立檔案使用者,普通使用者是不能改變檔案的屬組的;
-
如果檔案有擴充套件屬性時,進行檔案歸檔,或者複製時許可權會被忽略;
-
對於檔案設定的
mask
:
-
對於目錄設定的
mask
相關文章
- Linux 特殊許可權Linux
- 『學了就忘』Linux許可權管理 — 55、檔案特殊許可權Linux
- Linux特殊許可權之suid、sgid、sbit許可權LinuxUI
- Linux 特殊許可權a,i,t,s以及查詢帶有特殊許可權的所有檔案Linux
- 4、許可權管理
- sql許可權管理SQL
- RBAC許可權管理
- MySQL許可權管理MySql
- 許可權管理策略
- PostgreSQL:許可權管理SQL
- Odoo許可權管理Odoo
- django開發之許可權管理(一)——許可權管理詳解(許可權管理原理以及方案)、不使用許可權框架的原始授權方式詳解Django框架
- Security 10:許可權管理
- casbin-許可權管理
- Linux雜記 查詢與特殊許可權位Linux
- Android6.0------許可權申請管理(單個許可權和多個許可權申請)Android
- DRF內建許可權元件之自定義許可權管理類元件
- 賬號和許可權管理
- 關於mysql許可權管理MySql
- Linux 下許可權的管理Linux
- 1.6.1. 管理員許可權
- Linux 中的許可權管理Linux
- ThinkPHP5+許可權管理PHP
- ubuntu 許可權管理設定Ubuntu
- fastadmin的許可權管理authAST
- MySQL許可權管理實戰MySql
- Linux特殊許可權,這一篇就夠了Linux
- Confluence6對比系統管理員許可權和Confluence管理員許可權
- 如何獲取最高管理員許可權 win10教育版最高管理員許可權Win10
- Vue2.0 + ElementUI 手寫許可權管理系統後臺模板(二)——許可權管理VueUI
- 許可權之選單許可權
- SpringSecurity許可權管理系統實戰—九、資料許可權的配置SpringGse
- linux 檔案許可權 s 許可權和 t 許可權解析Linux
- 造輪子之許可權管理
- Linux檔案許可權管理命令Linux
- 【Git】程式碼許可權&分支管理Git
- Linux的檔案許可權管理Linux
- Linux基礎之許可權管理Linux