2. 程式人生 > >淺談Linux4:檔案許可權(特殊)

淺談Linux4:檔案許可權(特殊)

阿新 發佈:2018-11-05

系統預設許可權的設定

我們已經學習了檔案許可權的相關基本內容,包括如何檢視,如何修改,以及針對不同使用者主體怎樣修改。

但是,有沒有考慮過,當我們新建一個檔案或者資料夾時,並沒有設定關於許可權的任何引數,那麼它的許可權是多少呢?又是從哪裡來呢?


我們可以很容易的看到,新建檔案的許可權是644,而新建目錄的許可權是755.(喜歡用數字代表權限……)

為什麼會是755而不是其他許可權?這些許可權是從哪裡來的呢?

Linux內有一種機制叫做系統預設許可權,當我們執行新建操作時,檔案許可權就由此獲得。

預設許可權當然能更改,可以臨時修改,也可以永久修改。

先用umask檢視預設許可權

許可權等於022,那麼跟755有什麼關係呢?

檔案滿許可權是rwxrwxrwx,也就是777,777-022=755

這當然不是生掰硬套了……umask代表的值是系統保留許可權,滿許可權去除保留許可權,就是現在新建資料夾時的預設許可權啦。

同樣利用umask命令可以臨時修改保留許可權


永久修改涉及到兩個檔案,/etc/bashrc和/etc/profile,必須兩個檔案同時修改。


修改後,執行source   filename命令重新讀取,就可以永久設定啦。

值得注意的是,雖然可以修改系統預設許可權,但需要根據實際情況調整,畢竟開放權利越大,對系統安全性的挑戰也越大。

檔案的控制訪問(acl列表)

acl = access control

指定特殊使用者對特殊檔案具有特殊許可權

比如,我們之前建立的資料夾,要允許給xiaoxinxin執行和修改許可權,就可以通過acl列表來實現。

常用的命令是getfacl和setfacl

getfacl filename   檢視檔案的訪問列表


檔案許可權資訊可以輕鬆讀取到。

那如何實現剛剛說的那個小需求呢?給xiaoxinxin增加執行和修改許可權?

你也許會說,把檔案所有者改成xiaoxinxin不就行啦,再不濟,給加到檔案所有組也可以啊。

風險點在於:

    1,當檔案所有者更改後,其他使用者讀取這個檔案會有影響。這個資料夾之前的所有者是root,其他普通使用者無法讀取其中的內容,當修改成xiaoxinixn之後,其他普通使用者會有越權風險。

    2,當檔案所有組更改後,想象一下,原本root組的使用者可以看到一些“機密檔案”,執行一些“特殊操作”,把xiaoxinxin加到root組,是否意味著,他也可以進行同樣的操作?

這兩點風險,都是有關乎產品安全性的問題。

而acl列表的方式,相對於普通修改許可權的方式,則解決了這種特殊情況。針對於特定檔案(package)為特定使用者(xiaoxinxin)提供特殊操作(增加執行和修改許可權)

具體的設定方式是:

setfacl -m <u|g>:<username|groupname>:許可權 檔案|目錄
-m #設定
 u #使用者

 g #組


同樣也可以對特定組增加對特定檔案的特定操作,自己試試啦~

刪除列表也是可以的,命令是:

setfacl -x <u|g>:<username|groupname> 檔案|目錄

假如給一個檔案增加了多個acl列表,不想用的時候,難道要一個一個刪麼?

setfacl -b 檔案|目錄    

一條搞定,你值得擁有。


檔案許可權列表中有一個屬性叫做mask,是許可權掩碼,也就是能賦予使用者的最大許可權,這個值當然也是可以改變的,改過之後,再執行setfacl去新增的時候,許可權只能大於等於許可權掩碼。


(effective 代表有效許可權)

acl列表還有一個常用的性質在於,可以設定預設許可權。

也就是說,給了xiaoxinxin對package資料夾的讀寫許可權,當package資料夾中有新建的檔案時,這個屬性也能預設繼承。

setfacl -m d:<u|g>:<username|groupname>:rwx  資料夾


特殊許可權

普通的檔案許可權有三位:u位,g位,o位

特殊的檔案許可權也有三位:suid(冒險位),sgid(強制位),sticky(粘制位)

suid   

運用目標:二進位制可執行檔案

結果:檔案內所記錄的程式產生的程序的所有人為檔案所有人,與程序發起者無關。

設定方式: chmod u+s filename    (又因為suid=4,所以數字修改方式是 chmod 4XXX filename)


sgid

運用目標:二進位制可執行檔案或目錄

結果:

        對二進位制可執行檔案,任何人執行該檔案,程式產生的程序的所有組都是檔案的所有組,和程序發起人的組無關。

        對目錄,目錄中新建的所有檔案的所有組都自動歸屬到目錄的所有組之中,和檔案建立者所在的組無關。

設定方式:chmod g+s filename  (又因為sgid=2,所以數字修改方式是 chmod 2XXX filename)


sticky

運用目標:目錄

結果:當一個目錄上添加了t許可權之後,目錄中的檔案只能被檔案的所有者刪除。

設定方式:chmod o+t directory  (又因為sticky=1,所以數字修改方式是 chmod 1XXX driectory)

相關推薦

Linux4檔案許可權(特殊)

系統預設許可權的設定 我們已經學習了檔案許可權的相關基本內容,包括如何檢視,如何修改,以及針對不同使用者主體怎樣修改。 但是,有沒有考慮過,當我們新建一個檔案或者資料夾時,並沒有設定關於許可權的任何引數,那麼它的許可權是多少呢?又是從哪裡來呢? 我們可以很容易的看到,新建檔案的許可權是64

linux9檔案歸檔與壓縮

檔案歸檔 把多個檔案變成一個歸檔檔案tar c ##建立 f ##指定歸檔檔名稱 t ##顯示歸檔檔案中的內容 r ##向歸檔檔案中新增檔案 --get ##取出單個檔案 --delete ##刪除單個檔案 x ##取

人工智慧現狀、任務、構架與統一 | 正本清源

作者:朱鬆純,加州大學洛杉磯分校(UCLA) 統計學和電腦科學教授 視覺、認知、學習與自主機器人中心主任 2017年11月02日刊登於《視覺求索》微信公眾號 原文連結 目錄 引言 第一節 現狀:正視現實 第二節 未來:一隻烏鴉給我們的啟示 第三節 歷史:

linux8管理網路

配置IP 1,認識IP地址和子網掩碼             172.25.0.10/255.255.255.0     &n

linux7ssh遠端連線

遠端連線是我們最常用的服務之一。 連線時,可以用普通方式,也可以用祕鑰加密的方式。 普通方式:ssh  遠端主機使用者@遠端主機IP 建立驗證關係,輸入遠端主機密碼,即可登入成功。 祕鑰加密方式: 1:ssh-keygen ##生成公鑰私鑰工具 (接下來會要求指定公鑰祕鑰位置

linux6以systemd為例,初探系統服務管理

假如你用的不是很老版本的unix系統,那麼你一定對systemd不甚陌生。 檢視服務:systemctl status servicename 停止服務:systemctl stop  servicename 這些常見操作,基本大家都有涉及。 那麼,systemd到底是何方神聖呢?

Linux1使用者管理

Linux系統的使用者分為最基本的兩類: 1>管理員:root 2>普通使用者     而普通使用者中又分為以下兩種:     系統使用者:執行某些服務及程序的賬號(系統使用者一般不可登入)     登入使用者:一般使

Linux5瞭解程序

程序 百度百科說……程序就是…… 一句話總結:程序就是CPU未完成的工作。 小提綱: 1:ps命令顯示程序資訊並定製顯示格式 2:程序的優先順序 3:程序的前後臺呼叫 4:程序訊號 1:ps命令顯示程序資訊並定製顯示格式 ps a ##關於當前環境的所有程序 x| -A #

原始碼(二)java中的 Integer.parseInt(String str)方法

這個方法是將字串轉換為整型   一、parseInt方法 ,可以看到預設又呼叫了parseInt(s,10) ,  第二個引數為基數,預設10 ,當然也可以自己設定  public static int parseInt(String s)

關於react router 許可權那些事

背景 近期做了一個 spa的單獨專案中,有個需求就是希望根據登入人來看下,這個人是不是有許可權進入當前頁面。雖然服務端做了進行介面的許可權,但是每一個路由載入的時候,都要去請求這個介面太浪費了。 需要考慮的 登入授權,使用者沒有登入只能訪問登入頁面,如果處於登入狀態則跳轉到當前使用者的預設首頁

linux學習筆記(5)檔案許可權

檔案許可權 1.檔案許可權存在的意義 系統最底層安全設定方法之一 保證檔案可以被可用的使用者做相應操作 2.檔案許可權的檢視 ls -l file ls -ld dir ll file ll -d dir 3.檔案許可權的讀取 - |rw-rw-r--|

Android Dex 檔案

概述 為什麼要了解 Dex 檔案 瞭解了 Dex 檔案以後,對日常開發中遇到一些問題能有更深的理解。如:APK 的瘦身、熱修復、外掛化、應用加固、Android 逆向工程、64 K 方法數限制。 什麼是 Dex 檔案 在明白什麼是 Dex 檔案之前,要先了解一下 JVM,Dalvik 和 ART。JV

遊戲音效存在的特殊意義

我們沉浸於遊戲的快感當中,在背景音樂與音效的陪伴下游戲,遊戲音效對於遊戲來說是必不可缺的,無論是打鬥狀態還是做人物狀態,因為有了音效的陪伴而感受到遊戲的真實。今天我們就來聊聊遊戲音效在遊戲內的特殊意義。         1、告知玩家當前狀

檔案(目錄)屬性,檔案許可權,特殊許可權(強制位,冒險位)

1.檔案屬性檢視: ls -l filename - rw-rw-r-- 1 kiosk kiosk 0 Oct 2 17:05 file [1] [2] [3] [4] [5]

Linux檔案許可權

使用較長格式列出檔案:ls -l顯示除了 '.'(當前目錄),'..' 上一級目錄之外的所有包含隱藏檔案(Linux 下以 '.' 開頭的檔案為隱藏檔案): ls -Al檢視某一個目錄的完整屬性,而不是顯示目錄裡面的檔案屬性::ls -dl顯示所有檔案大小,並以普通人類能看懂的方式呈現:ls -AsSh 修

朱鬆純:人工智慧現狀、任務、構架與統一 感悟以及部分內容的概括

原稿:https://mp.weixin.qq.com/s/-wSYLu-XvOrsST8_KEUa-Q 本文是對朱鬆純:淺談人工智慧:現狀、任務、構架與統一一文的感悟以及部分內容的概括,原稿如上。 到底什麼是人工智慧?現在的研究處於什麼階段

Linux入門教程檔案許可權、使用者、使用者組

單個檔名或目錄名長度不超過255字元;檔案或目錄的絕對路徑長度不超過4096字元。 一、檔案所有者與使用者組 一個檔案有很多屬性,包括檔案型別、檔案許可權、檔案隱藏許可權、檔案所有者、使用者組、檔案大小、建立日期、修改日期、訪問日期等。 1.檔案型別 (1)d:目錄;find / -type d 查詢;

k8sk8s部署架構以及工作原理

uber blog net clust RoCE manage service pro cto 對於每個想落地kubernetes應用的工程師來說,熟悉kubernetes的架構和工作原理是必經之路,也是必須知道的知識,只有了解kubernetes的架構和工作原理才能更好的

kubernetesmaster節點和node節點

探測 pre 記錄 是否 extern 啟動 運行時 刪除 參考 kubernetes 整個架構分為master節點和node節點,其中master節點負責pod的調度,pod的replication的數量node,endpoint以及服務賬戶以及令牌的管理等等;而node

Linux檔案特殊許可權SUID,SGID,SBIT

SUID 具有該許可權的檔案的所有者的x標誌會被s標誌取代。 該許可權僅對二進位制可執行檔案有效。 執行該檔案的使用者(當然這個使用者必須具有對該檔案的可執行許可權)將會暫時獲得該檔案所有者的許可權,這種效果僅在執行該檔案的過程中有效。 例項: 當普通使用者使用命令p