1.suid(set uid)特殊權(quán)限

set uid   簡稱suid
當(dāng)我們?yōu)槟硞€命令設(shè)定suid取劫，無論誰使用該命令都會使用該命令的“屬主”運行該命令
給權(quán)限：suid==4000
       chmod u+s   /usr/bin/passwd
       chmod 4755 /usr/bin/passwd
去掉權(quán)限：chmod u-s

• suid優(yōu)點：可以讓普通用戶執(zhí)行無法執(zhí)行的命令

• suid缺點：如果rm為suid珍手，無論誰執(zhí)行該命令壤巷，都能刪除系統(tǒng)的任何資源

  
  
  image.png

ps(重點)：進程能夠以何種身份查看一個文件贯钩，取決于運行這個進程的用戶對這個文件有沒有權(quán)限

比如：cat是一個進程选浑，當(dāng)使用jacky用戶運行cat查看/etc/shadow文件時杖玲，進程是jacky運行顿仇，jacky對/etc/shadow沒有讀取的權(quán)限，表示權(quán)限拒絕。

image.png

2.sgid (set gid) 特殊權(quán)限 (RHCE考試)

[root@bj-qing-10 ~]# groupadd devops 
[root@bj-qing-10 ~]# useradd zhangsan -G devops 
[root@bj-qing-10 ~]# useradd lisi -G devops
[root@bj-qing-10 ~]# mkdir /opt/share 
[root@bj-qing-10 ~]# chmod 2777 share/ 
[root@bj-qing-10 ~]# chown .devops share/
測試不同的用戶在該目錄下創(chuàng)建文件,檢查屬主和屬組 
使用sgid可以使得多個用戶之間共享一個目錄的所有文件變得簡單

3.sbit

如果一個目錄設(shè)定了粘滯位, 那么誰都可以在該目錄下創(chuàng)建文件
刪除文件只能是誰創(chuàng)建的誰刪除. 除此以外root和/tmp/的所屬主都能刪除該目錄下的內(nèi)容
設(shè)定粘滯位  1000
chmod o+t  /tmp 
chmod 1777 /tmp

image.png

image.png

4.特殊屬性 chattr lsattr

• -a 只能追加,無其他操作
• -i 鎖定文件,不能刪除,不能追加,不能移動

1.希望任何人都不能創(chuàng)建用戶夺欲，應(yīng)該給/etc/passwd添加什么特殊屬 性跪帝？

[root@oldboyedu ~]# chattr +i /etc/passwd 
[root@oldboyedu ~]# lsattr /etc/passwd 
----i----------- /etc/passwd 
不得任意更動文件或目

[root@oldboyedu ~]# chattr -i /etc/passwd 
[root@oldboyedu ~]# lsattr /etc/passwd 
---------------- /etc/passwd 
[root@oldboyedu ~]# useradd test123

2.日志文件，希望能往里面追加內(nèi)容些阅，但不允許刪除伞剑，應(yīng)該添加什么 特殊屬性?

[root@oldboyedu ~]# chattr +a /var/log/secure 
[root@oldboyedu ~]# lsattr /var/log/secure 
-----a---------- /var/log/secure

5.umask 默認權(quán)限

• umask是用來控制默認創(chuàng)建文件或目錄的權(quán)限
• umask設(shè)定為022,表示要減去的權(quán)限
  目錄 777 -022 =755
  文件 666 -022 =644
• umask 設(shè)定為奇數(shù) 偶數(shù) 對文件和目錄有什么影響?
  文件: 如果umask出現(xiàn)了奇數(shù), 要在奇數(shù)位+1
  目錄: 對目錄毫無影響
• 設(shè)定umask
  umask number 臨時 (當(dāng)前bash窗口有效,會隨著bash的關(guān)閉一 起結(jié)束)
  vim /etc/profile /etc/login.defs # 如果修改則都為永久.
• PS: umask 知道就行, 不要調(diào)整,默認就是安全的權(quán)限.