• Linux文件/目录高级管理三

    一.Linux文件/目录setuid和setgid

    相关知识

    Linux中文件/目录除了有可读、可写和可执行这三种权限外,还存在比较特殊的权限,这些特殊权限就包括setuidsetgid这两种。

    setuidsetgid位是让普通用户可以以root用户的角色运行只有root帐号才能运行的程序或命令。例如我们用普通用户运行passwd命令来更改自己的口令,实际上最终更改的是/etc/passwd文件,我们知道/etc/passwd文件是用户管理的 配置文件,只有root权限的用户才能更改,正是因为passwd命令被设置了setuid权限才能使得普通用户也可以修改其配置文件的内容。

    Linux文件/目录权限是使用常见的八进制权限掩码来表示的,通常都是用三位数表示,但确切地说,它是用四位数表示的,因为除了读、写和执行权限以外还有特殊的权限。

    • setuid的八进制表示为4000

    • setgid的八进制表示为2000

    同样setuidsetgid也可以使用字母s表示。

    如果文件/目录的拥有者的可执行位是s,则表示该文件/目录被设置了setuid权限。同样,如果同组用户的可执行为是s,则表示该文件/目录被设置了setgid权限。

    接下让我们详细的学习setuidsetgid的使用方法。

    setuid

    setuid的作用是让执行该命令的用户以该命令拥有者的权限去执行。

    例如:普通用户执行passwd时会拥有root的权限,这样就可以修改/etc/passwd这个文件,正是因为passwd命令被设置了setuid权限,passwd命令的详细权限如下所示:

     

    可以看到passwd命令的拥有者的可执行位是s,则说明passwd命令被设置了setuid权限。

    设置setuid命令有两种方法,一种是数字设置,另一种是通过助记语法。(建议使用助记语法设置)

    • 数字设置命令: 
      chmod 4xxx 文件/目录

    其中xxx表示文件/目录的所有者、同组用户和其他用户的权限(读写执行)。

    • 助记语法设置命令: 
      chmod u [+|-] s 文件/目录

    1. + 添加setuid权限;
    2. - 取消setuid权限;

    注意:chmod命令的其他参数都可以与setuid权限设置结合使用。
    在设置setuid前必须保证文件/目录的所有者具有可执行权限,否则设置则无效。

    执行权限:chmod必须以root权限才能执行,如果是普通用户想执行chmod时,需要在命令前加sudo命令来提升权限为root权限。

    案例演示1

    创建一个新文件testFile,使用数字设置方法为文件testFile添加setuid权限,具体使用如下命令:

    1. touch testFile
    2. ls -l testFile
    3. sudo chmod 4764 testFile
    4. ls -l testFile

     

    第一条命令是创建新文件testFile; 第二条命令是查看testFile现有的权限;
    第三条命令是在保证testFile原有权限的情况下为其添加setuid权限;
    第四条命令是查看是否添加成功;

    案例演示2

    创建一个新目录testDir,使用助记语法设置方法为目录testDir添加setuid权限,具体使用如下命令:

    1. mkdir testDir
    2. sudo chmod u+s testDir
    3. ls -l .

     

    案例演示3

    创建一个新文件testFile,使用助记语法为文件testFile添加setuid权限,具体使用如下命令:

    1. touch testFile
    2. sudo chmod u+x,u+s testFile
    3. ls -l testFile

     

    第一条命令是创建新文件testFile; 第二条命令是在设置testFile为可执行权限并为其添加setuid权限;
    第三条命令是查看是否添加成功;

    如果不给文件testFile设置可执行权限直接设置setuid权限后,标记为是S而不是s,详细结果如下图所示:

     

    setgid

    setgid的作用是让执行该命令的用户以该命令所有者的同组用户的权限去执行。

    设置setgid命令有两种方法,一种是数字设置,另一种是通过助记语法。建议使用助记语法设置setgid权限。

    数字设置命令:

    chmod 2xxx 文件/目录

    其中xxx表示文件/目录的所有者、同组用户和其他用户的权限(读写执行)。

    助记语法设置命令:

    chmod g [+|-] s 文件/目录
    1. + 添加setgid权限;
    2. - 取消setgid权限;

    注意:chmod命令的其他参数都可以与setgid权限设置结合使用。
    在设置setgid前必须保证文件/目录的同组用户具有可执行权限,否则设置则无效。

    执行权限:chmod必须以root权限才能执行,如果是普通用户想执行chmod时,需要在命令前加sudo命令来提升权限为root权限。

    案例演示1

    创建一个新文件testFile,使用数字设置方法为文件testFile添加setgid权限,具体使用如下命令:

    1. touch testFile
    2. ls -l testFile
    3. sudo chmod 2674 testFile
    4. ls -l testFile

     

    第一条命令是创建新文件testFile; 第二条命令是查看testFile现有的权限;
    第三条命令是在保证testFile原有权限的情况下为其添加setgid权限;
    第四条命令是查看是否添加成功;

    案例演示2

    创建一个新目录testDir,使用助记语法设置方法为目录testDir添加setgid权限,具体使用如下命令:

    1. mkdir testDir
    2. sudo chmod g+s testDir
    3. ls -l .

     

    编程要求

    在右侧编辑器中补充代码,具体编程要求如下:

    • 使用助记语法为系统已存在文件oldFile1(默认权限为:rw_rw_r__)设置setuid权限;

    • 使用助记语法为系统已存在目录oldDir1(默认权限为:rwxrwxrwx)设置setgid权限;

    • 使用助记语法为系统已存在文件oldFile2取消setuid权限;

    • 使用助记语法为系统已存在目录oldDir2取消setgid权限。

    1. #!/bin/bash
    2.  
    3. #在以下部分写出完成任务的命令
    4. #***********begin*************#
    5.  
    6. #使用助记语法为系统已存在文件oldFile1(默认权限为:rw_rw_r__)设置setuid权限;
    7. chmod 4764 oldFile1
    8. #使用助记语法为系统已存在目录oldDir1(默认权限为:rwxrwxrwx)设置setgid权限;
    9. chmod 2777 oldDir1
    10. #使用助记语法为系统已存在文件oldFile2取消setuid权限;
    11. chmod u -s oldFile2
    12. #使用助记语法为系统已存在目录oldDir2取消setgid权限。
    13. chmod g -s oldDir2
    14.  
    15. #************end**************#

    二.Linux目录stick bit

    相关知识

    Linux中目录除了有可读、可写和可执行这三种权限外,还存在比较特殊的权限,这些特殊权限包括上一关卡讲解的setuidsetgid这两种,还有一种就是本关讲解的**粘滞位sticky bit**。

    我们知道Linux/tmp目录是系统的临时文件目录,所有的用户在该目录下拥有所有的权限,也就是说在该目录下可以任意创建、修改、删除文件,那如果用户A在该目录下创建了一个文件,用户B将该文件删除了,这种情况我们是不能允许的。为了达到该目的,就出现了stick bit(粘滞位)的概念。它是针对目录来说的,如果该目录设置了stick bit(粘滞位),则该目录下的文件除了该文件的创建者和root用户可以删除和修改,别的用户均不能删除和修改,这就是粘滞位的作用。

    Linux目录权限使用常见的八进制权限掩码来表示的,通常都是用三位数表示,但确切地说,它是用四位数表示的,因为除了读、写和执行权限以外还有特殊的权限。

    • sticky bit的八进制表示为1000

    同样sticky bit也可以使用字母表示,使用t表示。

    如果目录的其他用户的可执行位是t,则表示该目录被设置了sticky bit权限。

    接下让我们详细的学习目录的sticky bit的使用方法。

    stick bit

    stick bit的作用是让具有stick bit位的目录下的所有文件/目录只有创建者和root才能对其删除和修改,其他用户一律不能删除和修改。

    例如:Linux/tmp目录就具有stick bit权限,详细权限如下所示:

     

    可以看到/tmp目录的其他用户的可执行位是t,则说明/tmp目录被设置了stick bit权限。

    设置stick bit命令有两种方法,一种是数字设置,另一种是通过助记语法。建议使用助记语法设置stick bit权限。

    数字设置命令:

    chmod 1xxx 目录

    其中xxx表示目录的所有者、同组用户和其他用户的权限(读写执行)。

    助记语法设置命令:

    chmod o [+|-] t 目录
    1. + 添加stick bit权限;
    2. - 取消stick bit权限;

    注意:

    1. chmod命令的其他参数都可以与stick bit权限设置结合使用。
    2. 在设置stick bit前必须保证目录的其他用户具有可执行权限,否则设置则无效。
    3. stick bit权限只能用于设置目录,不能用于设置文件。

    执行权限:

    chmod必须以root权限才能执行,如果是普通用户想执行chmod时,需要在命令前加sudo命令来提升权限为root权限。

    案例演示

    创建一个新目录testDir,使用助记语法设置方法为目录testDir添加stick bit权限,具体使用如下命令:

    1. mkdir testDir
    2. sudo chmod o+t testDir
    3. ls -l .

     

    如果不给目录testDir设置可执行权限直接设置stick bit权限后,标记为是T而不是t,详细结果如下图所示:

     

    案例演示

    创建一个新目录testDir,使用数字设置方法为目录testDir添加stick bit权限,具体使用如下命令:

    1. mkdir testDir
    2. ls -l ./
    3. sudo chmod 1775 testDir
    4. ls -l ./

     

    第一条命令是创建新目录testDir; 第二条命令是查看testDir现有的权限;
    第三条命令是在保证testDir原有权限的情况下为其添加stick bit权限;
    第四条命令是查看是否添加成功;

    案例演示

    将目录testDir取消stick bit权限,具体使用如下命令:

    1. sudo chmod o-t testDir
    2. ls -l .

     

    编程要求

    在右侧编辑器中补充代码,完成对目录设置stick bit权限,具体编程要求如下:

    • 使用助记语法为系统已存在目录oldDir1(默认权限为:rwxrwxrwx)设置stick bit权限;

    • 使用助记语法为系统已存在目录oldDir2取消stick bit权限。

    1. #!/bin/bash
    2.  
    3. #在以下部分写出完成任务的命令
    4. #***********begin*************#
    5.  
    6. #使用助记语法为系统已存在目录oldDir1(默认权限为:rwxrwxrwx)设置stick bit权限;
    7. chmod o+t oldDir1
    8. #使用助记语法为系统已存在目录oldDir2取消stick  bit权限
    9. chmod o-t oldDir2
    10.  
    11. #************end**************#

    三.Linux文件/目录特殊属性

    相关知识

    Linux中文件/目录常见的属性的所属者、所属组、创建时间和最新修改时间等外,还存在些隐藏属性,这些隐藏属性在保护系统文件的安全性上非常重要。

    Linux使用lsattrchattr两个命令查看和修改文件/目录的特殊属性。

    接下让我们详细的学习lsattrchattr的使用方法。

    chattr 命令

    chattr的作用是修改文件/目录的特殊属性。

    具体命令如下:

    chattr [+|-|=] 属性标示符 命令参数 文件/目录

    常用命令参数如下:

    1. -R:递归处理,将指令目录下的所有文件及子目录一并处理;
    2. -V:显示指令执行过程;
    3. +<属性标示符>:开启文件或目录的该项属性;
    4. -<属性标示符>:关闭文件或目录的该项属性;
    5. =<属性标示符>:指定文件或目录的该项属性。

    常用属性标示符:

    1. a:让文件或目录仅供附加用途;
    2. A:不更新文件或目录的最后存取时间;
    3. c:将文件或目录压缩后存放;
    4. d:将文件或目录排除在倾倒操作之外;
    5. i:不得任意更动文件或目录;
    6. s:保密性删除文件或目录;
    7. S:即时更新文件或目录;
    8. u:预防意外删除。

    执行权限:chattr必须以root权限才能执行,如果是普通用户想执行chattr时,需要在命令前加sudo命令来提升权限为root权限。

    案例演示1

    为文件testFile设置为不得任意更动,具体使用如下命令:

    sudo chattr +i testFile

     

    将文件testFile设置为i隐藏属性后,试图删除,可以看到无法对其进行删除操作。

    案例演示

    将目录testDir以及目录下所有内容一并设置为不得任意更动,具体使用如下命令:

    sudo chattr +i -R testDir

     

    试图删除testDir目录下的file1文件,可以看到无法删除。

    案例演示

    testFile文件的i属性取消,具体使用如下命令:

    sudo chattr -i testFile

     

    可以看到删除i属性后,既可以删除该文件。

    lsattr命令

    lsattr的作用查看文件/目录的特殊属性设置情况。

    具体命令如下:

    lsattr 命令参数 文件/目录

    常用参数如下:

    1. -R:递归的操作方式;
    2. -V:显示指令的版本信息;
    3. -a:列出目录中的所有文件,包括隐藏文件。

    案例演示1

    查看目录testDir下所有内容的特殊属性,具体使用如下命令:

    lsattr -Ra testFile

     

    编程要求

    在右侧编辑器中补充代码,具体编程要求如下:

    • 为系统已存在文件/root/oldFile1添加i属性;

    • 查看系统已存在文件/root/oldFile2的特殊属性;

    • 为系统已存在文件/root/oldFile3取消i属性。

    1. #!/bin/bash
    2.  
    3. #在以下部分写出完成任务的命令
    4. #***********begin*************#
    5.  
    6. #为系统已存在文件/root/oldFile1添加i属性;
    7. chattr +i /root/oldFile1
    8. #查看系统已存在文件/root/oldFile2的特殊属性;
    9. lsattr -Ra /root/oldFile2
    10. #为系统已存在文件/root/oldFile3取消i属性
    11. chattr -i /root/oldFile3
    12.  
    13. #************end**************#

  • 相关阅读:
    spring cloud之配置中心
    【原创工具】自定义系统右键菜单工具CustomContextMenu使用说明
    疫情之下的裁员浪潮,7点建议帮你斩获心仪offer
    华为云云耀云服务器L实例评测|centos系统搭建git私服
    CSAPP Lab08——Proxy Lab完成思路
    计算机网络复习04——网络层
    樱花飘落
    链表---OJ题
    浅谈数据结构之链表
    2022谷粒商城学习笔记(十三)ElasticSearch安装和商品上架功能
  • 原文地址:https://blog.csdn.net/qq_61604164/article/details/126154457