Linux特殊权限

Linux引入suid、sgid、sticky这三种特殊权限，能够更加方便、有效和安全地控制文件。

    当在一个目录或文件上加入suid特殊权限时，如过原来目录或文件的属主具有x（执行）权限，就会用小写的s来替代x;如果原来文件或目录不具有x（执行）权限，就会用大写的S来代替x。

同样，sgid和suid相同，如过原来目录或文件的属组具有x（执行）权限，就会用小写的s来替代x;如果原来文件或目录不具有x（执行）权限，就会用大写的S来代替X。

    同样，如果在一个文件或目录上加入sticky权限时，若原文件或目录的其他用户有x（可执行）权限时，就用小写t代替x；如果原文件或目录没有x权限时，就用大写T替代x权限

getfacl 文件名 查看ACL权限  （ACL权限是为了防止权限不够用的情况）
setfacl 选项 文件名 -m设定ACL权限 -x删除指定的ACL权限 -b删除所有ACL权限
-d设置默认的ACL权限 -k删除默认ACL权限 -R 递归设定ACL权限
setfacl -m u:用户名:rx [文件名] g组 setfacl -x g:txt 删除TXT组的ACL权限
mask最大权限 赋予权限与最大权限才是用户的真权限 setfacl -m m:rx 最大权限读执行
setfacl -m u:用户名:权限 -R 目录 递归目录下所有文件linux目录也是文件
setfacl -m d:u:用户名:权限 -R 文件 d默认 default 之后创建文件都有此权限
默认权限 递归都赋予目录的
SETUID 让普通用户暂时变成超级用户，执行完变回普通用户 u用户(必须二进制文件，不针对目录） 例usr/bin/passwd
chmod 4755 4 代表的是SUID 
SetGID 例/usr/bin/locate chmod 2777 2代表SGID 针对目录文件，针对目录普通必须有xr权限
Sticky BIT SBIT chmod 1777 针对目录 普通用户必须有xr权限 目的，有粘着位，普通用户只能删除自己的文件，不能删除其他用户原件 例子 ll -d /temp
chattr 文件系统属性权限 chattr [-RVf][+-=] 文件或目录 
-R 递归处理，将指定目录下的所有文件及子目录一并处理。
-V 显示指令执行过程。
-f 显示错误信息。
1、i 针对文件任何用户不能修改删除添加（包过ROOT），针对目录，可以修改目录下已有文件的数据，但不能新建或删除 目录下的子目录下可以操作。echo 123 >>/tmp/game/a1 往A1添加123 echo >/game/a1 用空白覆盖(1字节） cat /dev/null > a1(0字节） chattr +i /etc/resolv.conf

2、a （锁定现有文件）针对文件只可以用echo增加，针对目录可以新建和修改文件，但不能删除
lsattr -a 文件名 查看文件系统属性 -d 只列出目录，不列出子文件
sudo 赋予普通用户root 权限
visudo 相当于修改/etc/sudoers文件
linux ALL=(ALL) /sbin/shuadown -r now
用户 IP或主机=身份用户 重启的权限
查看sudo权限 sudo -l
执行的时候 sudo /sbin/shuadown -r now

可以chmod的字符或数字的方式修改特殊权限，下例以数字方式实现。

 # -rw-r--r-- 1 root root 0 Nov  6 07:40 test1  ugo都没执行权限 
# chmod 7644 test1                            原权限是644，都加上特殊权限 
# -rwSr-Sr-T 1 root root 0 Nov  6 07:43 test1  属主、属组、其他用户执行权限变为S、S、T. 
  
# -rwxr-xr-x 1 root root 0 Nov  6 07:43 test2  ugo都有执行权限 
# chmod 7755 test2                            原权限是655，都加上特殊权限 
# -rwsr-sr-t 1 root root 0 Nov  6 07:49 test2  属主、属组、其他用户执行权限变为s、s、t. 
  
特殊权限对可执行文件的作用： 
suid特殊权限是以可执行文件的所有者的权限来运行这一文件，不是以执行者的权限运行该命令。 
sgid特殊权限是以可执行文件的群组的权限来运行这一文件。下例说明： 
ls -l /bin/ping
-rwsr-xr-x 1 root root 35832 Apr 24  2009 /bin/ping
可见ping命令有suid特殊权限。ping可以测试网络是否连通。切换到yaoyao用户，ping一下可见网络确实连通。 
[yaoyao@localhost test2]# ping www.baidu.com -c4 
PING www.linuxidc.com (61.135.169.121) 56(84) bytes of data. 
64 bytes from 61.135.169.121: icmp_seq=1 ttl=47 time=10.0 ms 
64 bytes from 61.135.169.121: icmp_seq=2 ttl=46 time=14.3 ms 
64 bytes from 61.135.169.121: icmp_seq=3 ttl=46 time=17.7 ms 
64 bytes from 61.135.169.121: icmp_seq=4 ttl=46 time=23.9 ms 
  
--- www.linuxidc.com ping statistics --- 
4 packets transmitted, 4 received, 0% packet loss, time 3000ms 
rtt min/avg/max/mdev = 10.090/16.539/23.938/5.067 ms 
切换到root用户，用chmod命令去掉ping命令的suid权限，再切换到yaoyao用户，测试一下是否能ping通。 
# chmod u-s /bin/ping 
# ls -l /bin/ping 
# -rwxr-xr-x 1 root root 35832 Apr 24  2009 /bin/ping 
$ $ ping www.baidu.com 
  ping: icmp open socket: Operation not permitted 
这次就无法ping通，由此可见，suid特殊权限是以可执行文件的所有者的权限来运行这一文件，不是以执行者的权限运行该命令。 
  
特殊权限对目录的作用： 
在一个目录上设置了sticky特殊权限，只有文件的所有者和用户才能删除该目录的文件，而不理会属组和其他用户的写权限。 
在一个目录上设置sgid特殊权限，则只要是同组成员，都可以在此目录查看、创建、删除文件。 
经常会对目录设置sticky和suid权限以方便管理。即同组成员可以查看和写入本目录下的各个文件，却不能删除。如下： 
首先创建两个用户xiaoyao和linuxidc用于测试，再创建一个house目录。创建一个love分组，于是xiaoyao和linuxidc便相爱了...将这对恋人xiaoyao和linuxidc加入love分组，house目录属组设置为love，再给house目录设置sgid和sticky这两个特殊权限。 
  
# useradd xiaoyao 
# useradd linuxidc 
# mkdir house 
# groupadd love 
  
将xiaoyao和linuxidc加入love组内。 
# usermod -G love xiaoyao 
# usermod -G love linuxidc 
  
#id xiaoyao;id linuxidc 
 uid=503(xiaoyao) gid=504(xiaoyao) groups=504(xiaoyao),506(love) context=root:system_r:unco nfined_t:SystemLow-SystemHigh 
 uid=504(linuxidc) gid=505(linuxidc) groups=505(linuxidc),506(love) context=root:system_r:u nconfined_t:SystemLow-SystemHigh    可以看到用户xiaoyao和linuxidc都在love组内。 
  
将house目录属组改为love组 
# chown :love house 
# ls -l 
  drwxr-xr-x 2 root love 4096 Nov  6 09:34 house 
  
添加sgid和sticky特殊权限，并且属组具有写权限（属组内用户可以创建文件，否则不能）。 
# chmod 3775 house 
  drwxr-sr-t 2 root love 4096 Nov  6 09:34 house 
  
切换到用户linuxidc，并创建文件xiaoming，写入一句话"I love you"
$ echo "I love you xiaoyao." > linuxidc 
  
切换到用户xiaoyao,创建文件xiaoyao，且写入"Me too."
$ echo "Me too" > xiaoyao 
  
查看house目录内容,可发现所创建文件属组都是love。 
ls -l 
 -rw-rw-r-- 1 linuxidc love 19 Nov  6 09:40 linuxidc 
 -rw-rw-r-- 1 xiaoyao  love  6 Nov  6 09:41 xiaoyao 
  
用户xiaoyao尝试删除house目录下的linuxidc，这时提示不允许，但可以写入，这就是共享信息吧。 
[xiaoyao@localhost house]$ rm linuxidc 
rm: cannot remove `linuxidc': Operation not permitted 
$ echo "Baby." >> linuxidc 
$ cat linuxidc 
  Me too. 
  Baby.

facl

 facl基于文件的访问控制列表 优先级比ugo高

想要使用fac首先需要检测文件系统（分区）是否支持facl
tune2fs -l /dev/sda3 | grep acl
Default mount options:    user_xattr acl

让不支持acl的分区支持
mount -o remount,acl /boot/

查看文件是否设置有facl
ll
总用量 16
-rw-rw-rw-+ 1 user1 user1 4 11月  4 16:54 1.txt

上例中如果有+号表示设置了facl

查看文件是否设置了facl
getfacl  a.txt
# file: a.txt
# owner: root
# group: root
user::rw-
group::r--
other::r--

setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ...
        -m 修改facl
        -x 删除某条facl
        -b 删除所有的facl
        -d 设置目录默认的facl
        -R 表示递归设置

设置facl 针对a.txt文件为redhat用户设置特殊的权限
setfacl  -m u:redhat:rwx a.txt

getfacl  a.txt
# file: a.txt
# owner: root
# group: root
user::rw-
user:redhat:rwx
group::r--
mask::rwx
other::r--

setfacl  -m u:user1:r-x a.txt

取消user1的facl
setfacl  -x u:user1 a.txt

取消所有用户的facl
setfacl -b  a.txt

基于组的设置
setfacl  -m g:IT:rwx a.txt

目录的facl
目录的default facl针对目录有效  此设置对目录本身无意义  其它人在此目录下创建的文
件都继承用户对目录设置的facl

设置目录的facl
setfacl  -m d:u:redhat:rwx  test/

effective 最终效果

设置掩码
setfac -m m::rw  /tmp/test/1.txt