CentOS系統(tǒng)特殊權(quán)限有哪些-創(chuàng)新互聯(lián)

這篇文章主要講解了“CentOS系統(tǒng)特殊權(quán)限有哪些”，文中的講解內(nèi)容簡單清晰，易于學(xué)習(xí)與理解，下面請大家跟著小編的思路慢慢深入，一起來研究和學(xué)習(xí)“CentOS系統(tǒng)特殊權(quán)限有哪些”吧！

成都創(chuàng)新互聯(lián)從2013年創(chuàng)立，是專業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司，擁有項目成都做網(wǎng)站、網(wǎng)站設(shè)計網(wǎng)站策劃，項目實施與項目整合能力。我們以讓每一個夢想脫穎而出為使命，1280元湞江做網(wǎng)站,已為上家服務(wù),為湞江各地企業(yè)和個人服務(wù),聯(lián)系電話:13518219792

1.什么是特殊權(quán)限？

我們知道權(quán)限有r,w,x。其實除了這三個，還有特殊權(quán)限。比如：

[root@localhost ~]# ls -l /usr/bin/passwd

-rwsr-xr-x 1 root root 22960 Jul 17 2006 /usr/bin/passwd

可以發(fā)現(xiàn)權(quán)限位，有個s。特殊權(quán)限有如下3種：

SUID

SGID

STICKY

2.關(guān)于suid

我們知道linux有一個進程安全模型的概念，比如Tom執(zhí)行passwd來進行修改密碼：

第一，注意到passwd的權(quán)限為：

[hadoop@localhost ~]$ ls -l `which passwd`

-rwsr-xr-x 1 root root 22960 Jul 17 2006 /usr/bin/passwd

第二，注意到Tom不是root用戶，也不屬于root組。

我們先不考慮什么特殊權(quán)限s。很顯然，此時Tom只能以other(r-x)來運行passwd。Tom可以發(fā)起一個進程，這個進程是passwd，想修改自己的密碼。

第三，用戶Tom執(zhí)行完passwd修改密碼，其實就是保存至/etc/shadow中，下面我們看看/etc/shadow文件的權(quán)限情況。

[hadoop@localhost ~]$ ls -l /etc/shadow

-r-------- 1 root root 2713 Jun 13 16:34 /etc/shadow

[hadoop@localhost ~]$

那個屬于Tom的修改密碼的進程應(yīng)該要去修改/etc/shadow文件，但是根據(jù)上面的/etc/shadow的權(quán)限，除了root用戶外，誰都不可以修改的！也就是說，根據(jù)進程安全模型，普通用戶根本無法修改密碼！但事實上，是可以修改的。原因就在于那個特殊權(quán)限s。

也就是說，suid表示運行某程序時，相應(yīng)進程的屬主是程序文件自身的屬主，而不是啟動者。也就是說普通用戶去執(zhí)行passwd修改密碼，其實是發(fā)起了一個進程，這個進程的屬主是root用戶，那么很顯然就可以修改shadow這個影子文件了。

3.關(guān)于sgid

根據(jù)suid的理解，可知sgid表示運行某程序時，相應(yīng)進程的屬組是程序文件自身的屬組，而不是啟動者的基本組?？梢耘e例分析：

第一：root用戶創(chuàng)建了一個項目目錄

[root@localhost /]#

[root@localhost /]# ls -ld /project/cma

drwxrwxr-x 2 root develop 4096 Jun 14 22:14 /project/cma

第二:項目組成員java01,java02,...均屬于develop組（他們的附加組），也就是說他們對/project/cma具有rwx權(quán)限。

[java02@localhost cma]$ ls -l

total 8

-rw-rw-r-- 1 java01 java01 0 Jun 14 22:24 01.java

-rw-rw-r-- 1 java02 java02 0 Jun 14 22:25 02.java

上面看到他們可以在/project/cma中創(chuàng)建文件，根據(jù)以前的理論：【誰創(chuàng)建的文件，文件的屬主就是誰，屬組就是他的基本組】，上面的沒有問題。但是，我們希望這些項目組成員之間可以相互編輯其他人的文件，該如何做呢？

第三:由于項目組成員java02,并不屬于java01的私有組，顯然java02只對01.java具有r--權(quán)限，不可以編輯。此時我們可以使用sgid，來改變默認的這種行為~

[root@localhost cma]# pwd

/project/cma

[root@localhost cma]# chmod -R g+s /project/cma

[root@localhost cma]# ls -ld

drwxrwsr-x 2 root develop 4096 Jun 14 22:25 .

[root@localhost cma]#

注意了，出現(xiàn)了特殊權(quán)限位s，但是有時候可能會顯示S。【如果是s說明這個權(quán)限位上以前是具有x權(quán)限的】

第四:利用sgid后，以后我們的項目組成員便可以在此目錄下編輯其他成員的文件了。

[java02@localhost cma]$ ls -l

total 16

-rw-rwSr-- 1 java01 java01 0 Jun 14 22:24 01.java

-rw-rw-r-- 1 java01 develop 0 Jun 14 22:33 01.txt

-rw-rwSr-- 1 java02 java02 0 Jun 14 22:25 02.java

-rw-rw-r-- 1 java02 develop 0 Jun 14 22:33 02.txt

[java02@localhost cma]$

也就是說利用sgid可以幫我們達到這樣的目的：

在目錄下創(chuàng)建的文件的屬組不在是用戶的基本組，而是目錄的屬組。

4.關(guān)于sticky

此時此刻，我們的項目組成員已經(jīng)可以相互編輯/project/cma下面的文件了，但是有個要求：我們希望用戶只能刪除自己的文件，而不可以刪除別人的文件。這就要使用sticky了。

[root@localhost cma]# chmod -R o+t /project/cma

[java01@localhost cma]$ id

uid=5016(java01) gid=5016(java01) groups=5016(java01),5018(develop) context=root:system_r:unconfined_t:SystemLow-SystemHigh

[java01@localhost cma]$ rm 02.txt

rm: cannot remove `02.txt': Operation not permitted

5.串聯(lián)

還記得umask嗎，umask其實就是一個XYZW，四位數(shù)，其中X表示的就是suid/sgid/striky。

chmod xyzw file，其實同理。

000 nothing

001 only striky

010 only sgid

100 only suid

......

感謝各位的閱讀，以上就是“CentOS系統(tǒng)特殊權(quán)限有哪些”的內(nèi)容了，經(jīng)過本文的學(xué)習(xí)后，相信大家對CentOS系統(tǒng)特殊權(quán)限有哪些這一問題有了更深刻的體會，具體使用情況還需要大家實踐驗證。這里是創(chuàng)新互聯(lián)網(wǎng)站建設(shè)公司，，小編將為大家推送更多相關(guān)知識點的文章，歡迎關(guān)注！

網(wǎng)站名稱：CentOS系統(tǒng)特殊權(quán)限有哪些-創(chuàng)新互聯(lián)
標題網(wǎng)址：http://bm7419.com/article10/hcggo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供響應(yīng)式網(wǎng)站、做網(wǎng)站、網(wǎng)站策劃、品牌網(wǎng)站制作、網(wǎng)站改版、用戶體驗

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源：創(chuàng)新互聯(lián)

猜你還喜歡下面的內(nèi)容