Linux特殊權(quán)限 SUID、SGID、Sticky

文件的特殊權(quán)限有三種：1、suid;2、sgid;3、sticky，其中，suid和sgid用于累加提升權(quán)限，簡單來說就是如果原來的用戶可以訪問，反而切換到的用戶或者組不能訪問，這時候照樣是可以訪問的，下面介紹下這三種權(quán)限。

讓客戶滿意是我們工作的目標(biāo)，不斷超越客戶的期望值來自于我們對這個行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡單的方式提供給客戶，將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價值的長期合作伙伴，公司提供的服務(wù)項目有：域名申請、雅安服務(wù)器托管、營銷軟件、網(wǎng)站建設(shè)、金寨網(wǎng)站維護、網(wǎng)站推廣。

SUID：

1、需要注意的是，只對二進(jìn)制可執(zhí)行程序有效，不能為普通文件;

2、發(fā)起者對程序文件必須擁有執(zhí)行權(quán)限;

3、啟動為進(jìn)程之后，其進(jìn)程的宿主為原程序文件的宿主;

4、SUID設(shè)置在目錄上毫無意義。

SGID：

可以應(yīng)用在二進(jìn)制文件和作用在文件夾下，當(dāng)作用在二進(jìn)制文件下時，作用和SUID相似，只不過SUID是把發(fā)起者臨時變?yōu)槲募乃姓撸鳶GID是把進(jìn)程的發(fā)起者變成源程序文件的屬組，默認(rèn)情況下，用戶創(chuàng)建文件時，其屬組為此用戶所屬的主組，當(dāng)SGID作用在目錄下時，則對此目錄有寫權(quán)限的用戶在此目錄中創(chuàng)建的文件所屬的組為此目錄的屬組，通常用于創(chuàng)建一個協(xié)作目錄。

Sticky：

默認(rèn)情況下用戶可以刪除具有寫權(quán)限的目錄中的任何文件，無論該文件的權(quán)限或擁有權(quán)，如果在目錄設(shè)置Sticky位，只有文件的所有者或root**可以刪除該文件，Sticky位是作用在文件夾的，設(shè)置在文件上毫無意義。

Linux命令

快照功能：記錄當(dāng)前的硬盤的狀態(tài)。剛建快照時快照占用內(nèi)存為0，標(biāo)記了當(dāng)前硬盤的存儲狀態(tài)。當(dāng)虛擬機對快照標(biāo)記的內(nèi)容改寫時，會將改寫的內(nèi)容存儲進(jìn)快照，與未改寫的部分整合得到完整的快照。當(dāng)快照標(biāo)記的部分被完全改寫，那么快照存儲空間完整記錄了當(dāng)時拍攝時的內(nèi)存狀態(tài)。

參數(shù)形式

第一種：參數(shù)用一橫的說明后面的參數(shù)是字符形式。

第二種：參數(shù)用兩橫的說明后面的參數(shù)是單詞形式。

第三種：參數(shù)前有橫的是 System V風(fēng)格。

第四種：參數(shù)前沒有橫的是 BSD風(fēng)格。

cat、more、less、head、tail命令的比較：

cat命令可以一次顯示整個文件，如果文件比較大，使用不是很方便；

more命令可以讓屏幕在顯示滿一屏幕時暫停，按空格往前翻頁，按b往后翻頁。

less命令也可以分頁顯示文件，和more命令的區(qū)別就在于： 支持上下鍵卷動屏幕、查找；不需要在一開始就讀取整個文件，打開大文件時比more、vim更快。

head命令用于查看文件的前n行。

tail命令用于查看文件的后n行，加上-f命令，查看在線日志非常方便，可以打印最新增加的日志。

一般模式：

編輯模式：

命令模式：

編碼

多行操作(列編輯模式)

插入：ctrl+v進(jìn)入列編輯模式，上下移動光標(biāo)選擇需要插入的位置，然后輸入大寫I，輸入需要文本，最后按esc鍵退出，就會發(fā)現(xiàn)文本會在選擇的多行中插入。

刪除：ctrl+v進(jìn)入列編輯模式，上下移動光標(biāo)選中需要刪除的部分，然后按d，就會刪除選中的內(nèi)容。

①head：顯示文件頭部內(nèi)容

②tail：輸出文件尾部內(nèi)容

注意：用vim和vi修改內(nèi)容會刪除源文件并生成新文件，所以tail -f會失效。需要用到

追加和覆蓋語句（或），才能被tail -f監(jiān)視到。

一般用于查看小文件

查看壓縮文件中的文本內(nèi)容

例：

①more：文件內(nèi)容分屏查看器

②less：分屏顯示文件內(nèi)容，效率比more高

1、簡單讀取

運行腳本如下

測試結(jié)果為：

2、-p 參數(shù)，允許在 read 命令行中直接指定一個提示。

運行腳本如下

測試結(jié)果為：

echo [選項] [輸出內(nèi)容] （輸出內(nèi)容到控制臺）

輸出給定文本的sha256加密后的內(nèi)容

①顯示當(dāng)前時間信息

②顯示當(dāng)前時間年月日

③顯示當(dāng)前時間年月日時分秒

④顯示昨天

⑤顯示明天時間

⑥顯示上個月時間

需要注意的是取下個月的命令存在bug，執(zhí)行如下命令會得到21-10，但是正常應(yīng)該得到21-09，需要注意

date -d "2021-08-31 +1 month" +%y-%m

⑦修改系統(tǒng)時間

⑧獲取當(dāng)前時間戳

獲取秒時間戳： date +%s

獲取毫秒時間戳：$[ (date +%s%N) /1000000]

查看日歷

（1）查看當(dāng)前月的日歷

（2）查看2017年的日歷

例：

對比gzip/gunzip，zip/unzip可以壓縮文件和目錄且保留源文件。

①zip：壓縮

②unzip：解壓縮

只能壓縮文件不能壓縮目錄，不保留原來的文件。

gzip 文件 （只能將文件壓縮為*.gz文件）

gunzip 文件.gz （解壓縮文件命令）

例： crontab -e

（1）進(jìn)入crontab編輯界面。會打開vim編輯你的工作。

（2）每隔1分鐘，向/root/bailongma.txt文件中添加一個11的數(shù)字

*/1 * * * * /bin/echo ”11” /root/bailongma.txt

（3）可以用tail -f 目標(biāo)文件來實施監(jiān)控追加的內(nèi)容

查看日志

可以用tail -f /var/log/cron.log觀察

Cron表達(dá)式見文章：

ls [選項] [目錄或是文件]

cd [參數(shù)]

例： cd -P $(dirname $p1) ； pwd 先跳轉(zhuǎn)到文件的所在目錄，再打印$p1文件的實際路徑

概述

①cp（copy）：只能在本機中復(fù)制

②scp（secure copy）：可以復(fù)制文件給遠(yuǎn)程主機

scp -r test.sh hxr@hadoop102:/root

③rsync（remote sync）：功能與scp相同，但是不會改文件屬性

rsync -av test.sh test.sh hxr@hadoop102:/root

④nc（netcat）：監(jiān)聽端口，可以實現(xiàn)機器之間傳輸文件。

nc -lk 7777 (-l表示listen，-k表示keep)

強制覆蓋不提示的方法：\cp

例：scp -r test.sh hxr@bigdata1:/root

例：rsync -av test.sh hxr@bigdata1:/root

例：

nc -lp 10000 nc_test.txt

nc -w 1 hadoop102 nc_test.txt

遠(yuǎn)程登錄時默認(rèn)使用的私鑰為~/.ssh/id_rsa

生成密鑰對

將公鑰發(fā)送到本機

將密鑰發(fā)送到需要登錄到本機的服務(wù)器上

修改密鑰的權(quán)限

遠(yuǎn)程登陸

如果有多個節(jié)點需要遠(yuǎn)程登陸，可以在.ssh下創(chuàng)建config并輸入

再次登陸

①正向代理：

②反向代理：

所謂“反向代理”就是讓遠(yuǎn)端啟動端口，把遠(yuǎn)端端口數(shù)據(jù)轉(zhuǎn)發(fā)到本地。

HostA 將自己可以訪問的 HostB:PortB 暴露給外網(wǎng)服務(wù)器 HostC:PortC，在 HostA 上運行：

那么鏈接 HostC:PortC 就相當(dāng)于鏈接 HostB:PortB。

使用時需修改 HostC 的 /etc/ssh/sshd_config 的一條配置如下，不然啟動的進(jìn)程監(jiān)聽的ip地址為127.0.0.1，即只有本機可以訪問該端口。

相當(dāng)于內(nèi)網(wǎng)穿透，比如 HostA 和 HostB 是同一個內(nèi)網(wǎng)下的兩臺可以互相訪問的機器，HostC是外網(wǎng)跳板機，HostC不能訪問 HostA，但是 HostA 可以訪問 HostC。

那么通過在內(nèi)網(wǎng) HostA 上運行 ssh -R 告訴 HostC，創(chuàng)建 PortC 端口監(jiān)聽，把該端口所有數(shù)據(jù)轉(zhuǎn)發(fā)給我（HostA），我會再轉(zhuǎn)發(fā)給同一個內(nèi)網(wǎng)下的 HostB:PortB。

同內(nèi)網(wǎng)下的 HostA/HostB 也可以是同一臺機器，換句話說就是 內(nèi)網(wǎng) HostA 把自己可以訪問的端口暴露給了外網(wǎng) HostC。

例： 比如在我的內(nèi)網(wǎng)機192.168.32.244上有一個RabbitMQ的客戶端，端口號為15672。現(xiàn)在我希望在外網(wǎng)上訪問固定ip的云服務(wù)器chenjie.asia的6009端口，通過跳板機192.168.32.243來轉(zhuǎn)發(fā)請求到192.168.32.244:15672，從而實現(xiàn)在外網(wǎng)訪問內(nèi)網(wǎng)服務(wù)的功能，即內(nèi)網(wǎng)穿透。

①在192.168.32.244上啟動RabbitMQ服務(wù)

②將chenjie.asia云服務(wù)器的私鑰復(fù)制到跳板機192.168.32.243的~/.ssh下，并重命名為id_rsa。通過如下命令看是否可以遠(yuǎn)程登陸到云服務(wù)，可以登陸則進(jìn)行下一步。

③修改chenjie.asia服務(wù)器的ssh配置文件 /etc/ssh/sshd_config ，允許其他節(jié)點訪問

然后重啟sshd服務(wù)

④在跳板機192.168.32.243啟動ssh反向代理

這個進(jìn)程在關(guān)閉session時會停止，可以添加啟動參數(shù) -CPfN

例：

以 root 身份執(zhí)行的程序有了所有特權(quán)，這會帶來安全風(fēng)險。Kernel 從 2.2 版本開始，提供了 Capabilities 功能，它把特權(quán)劃分成不同單元，可以只授權(quán)程序所需的權(quán)限，而非所有特權(quán)。

例如：linux不允許非root賬號只用1024以下的端口，使用root啟動命令nginx，會導(dǎo)致nginx權(quán)限過高太危險。所以用setcap命令

sudo setcap cap_net_bind_service=+eip /bigdata/nginx/sbin/nginx

正確的關(guān)機流程為 ：sync shutdown reboot halt

（1）sync （功能描述：將數(shù)據(jù)由內(nèi)存同步到硬盤中）

（2）halt （功能描述：關(guān)閉系統(tǒng)，等同于shutdown -h now 和 poweroff）

（3）reboot （功能描述：就是重啟，等同于 shutdown -r now）

（4）shutdown [選項] [時間]

安裝

yum install -y telnet-server telnet

ls -i 顯示文件的節(jié)點號

find -inum 節(jié)點號 -delete 刪除指定的節(jié)點即可刪除對應(yīng)的文件

啟動一個服務(wù)： systemctl start postfix.service

關(guān)閉一個服務(wù)： systemctl stop postfix.service

重啟一個服務(wù)： systemctl restart postfix.service

顯示一個服務(wù)的狀態(tài)： systemctl status postfix.service

在開機時啟用一個服務(wù)： systemctl enable postfix.service

在開機時禁用一個服務(wù)： systemctl disable postfix.service

注：在enable的時候會打印出來該啟動文件的位置

列出所有已經(jīng)安裝的服務(wù)及狀態(tài)：

systemctl list-units

systemctl list-unit-files

查看服務(wù)列表狀態(tài):

systemctl list-units --type=service

查看服務(wù)是否開機啟動： systemctl is-enabled postfix.service

查看已啟動的服務(wù)列表： systemctl list-unit-files | grep enabled

查看啟動失敗的服務(wù)列表： systemctl --failed

查看服務(wù)日志： journalctl -u postfix -n 10 -f

命令類似systemctl，用于操作native service。

添加腳本為服務(wù)(需要指定啟動級別和優(yōu)先級)： chkconfig --add [腳本]

刪除服務(wù)： chkconfig --del [腳本]

單獨查看某一服務(wù)是否開機啟動的命令 ： chkconfig --list [服務(wù)名]

單獨開啟某一服務(wù)的命令 ： chkconfig [服務(wù)名] on

單獨關(guān)閉某一服務(wù)的命令： chkconfig [服務(wù)名] off

查看某一服務(wù)的狀態(tài)： /etc/intd.d/[服務(wù)名] status

啟用服務(wù)就是在當(dāng)前"runlevel"的配置文件目錄 /etc/systemd/system/multi-user.target.wants 里，建立 /usr/lib/systemd/system 里面對應(yīng)服務(wù)配置文件的軟鏈接；禁用服務(wù)就是刪除此軟鏈接，添加服務(wù)就是添加軟連接。

su 用戶名稱 （切換用戶，只能獲得用戶的執(zhí)行權(quán)限，不能獲得環(huán)境變量）

su - 用戶名稱 （切換到用戶并獲得該用戶的環(huán)境變量及執(zhí)行權(quán)限）

echo $PATH 打印環(huán)境變量

設(shè)置普通用戶具有root權(quán)限

修改 /etc/sudoers 文件，找到下面一行(91行)，在root下面添加一行，如下 所示：

或者配置成采用sudo命令時，不需要輸入密碼

修改完畢，現(xiàn)在可以用hxr 帳號登錄，然后用命令 sudo ，即可獲得root權(quán)限進(jìn)行操作。

以azkaban用戶執(zhí)行引號中的命令

gpasswd -d [username] [groupname] 將用戶從組中刪除

gpasswd -a [username] [groupname] 將用戶加入到組中

用戶組的管理涉及用戶組的添加、刪除和修改。組的增加、刪除和修改實際上就是對 /etc/group文件的更新。

0首位表示類型 - 代表文件 d 代表目錄 l 鏈接文檔(link file)

三種特殊權(quán)限suid、sgid、sticky

例子:

變更文件權(quán)限方式一

例：chmod u-x,o+x houge.txt

變更文件權(quán)限方式二

例：chmod -R 777 /mnt/ 修改整個文件夾的文件權(quán)限

在linux中創(chuàng)建文件或者目錄會有一個默認(rèn)權(quán)限的，這個默認(rèn)權(quán)限是由umask決定的（默認(rèn)為0022）。umask設(shè)置的是權(quán)限的“補碼”，而我們常用chmod設(shè)置的是文件權(quán)限碼。一般在/etc/profile 、~/.bashprofile 或者 ~/.profile中設(shè)置umask值。

umask計算

如root用戶的默認(rèn)umask為0022(第一個0 代表特殊權(quán)限位，這里先不考慮)，創(chuàng)建的文件默認(rèn)權(quán)限是644(即默認(rèn)666掩上umask的022)，創(chuàng)建的目錄是755(即默認(rèn)777掩上umask的022)。

對于root用戶的umask=022這個來說，777權(quán)限二進(jìn)制碼就是（111）（111）（111），022權(quán)限二進(jìn)制碼為（000）（010）（010）。

上面就是一個umask的正常計算過程，但是這樣實在是太麻煩了。我們使用如下的簡單的方法快速計算。

上面的這個方法計算是非常方便的， 為何得到奇數(shù)要+1呢？

文件的最大權(quán)限是666，都是偶數(shù)，你得到奇數(shù)，說明你的umask有奇數(shù)啊，讀為4，寫為2，都是偶數(shù)，說明你有執(zhí)行權(quán)限的。

就按照上面的umask=023為例，在計算其他用戶權(quán)限的時候6-3=3 ，6是讀寫，3是寫和執(zhí)行，其實應(yīng)該是讀寫權(quán)限減去讀權(quán)限的得到寫權(quán)限的，相當(dāng)于我們多減去了一個執(zhí)行權(quán)限。所以結(jié)果加1。

umask修改

如果想單獨修改某個文件夾的新建文件的權(quán)限，可以使用setfacl命令。

例：遞歸改變文件所有者和所有組 chown -R hxr:hxr /mnt

例：

Linux權(quán)限詳解（chmod、600、644、666、700、711、755、777、4755、6755、7755）

權(quán)限簡介

Linux系統(tǒng)上對文件的權(quán)限有著嚴(yán)格的控制，用于如果相對某個文件執(zhí)行某種操作，必須具有對應(yīng)的權(quán)限方可執(zhí)行成功。

Linux下文件的權(quán)限類型一般包括讀，寫，執(zhí)行。對應(yīng)字母為 r、w、x。

Linux下權(quán)限的粒度有

擁有者 、群組 、其它組 三種。每個文件都可以針對三個粒度，設(shè)置不同的rwx(讀寫執(zhí)行)權(quán)限。通常情況下，一個文件只能歸屬于一個用戶和組，

如果其它的用戶想有這個文件的權(quán)限，則可以將該用戶加入具備權(quán)限的群組，一個用戶可以同時歸屬于多個組。

Linux上通常使用chmod命令對文件的權(quán)限進(jìn)行設(shè)置和更改。

一、快速入門

更改文件權(quán)限 （chmod命令）

一般使用格式

chmod [可選項]

可選項：? -c, --changes? ? ? ? ? like verbose but report onlywhena change is made (若該檔案權(quán)限確實已經(jīng)更改，才顯示其更改動作)? -f, --silent, --quiet? suppress most error messages（若該檔案權(quán)限無法被更改也不要顯示錯誤訊息）? -v, --verbose? ? ? ? ? output a diagnosticforevery file processed（顯示權(quán)限變更的詳細(xì)資料）? ? ? --no-preserve-rootdonottreat'/'specially (the default)? ? ? --preserve-root? ? fail to operate recursively on'/'? ? ? --reference=RFILE? use RFILE's mode instead of MODE values-R, --recursive? ? ? ? change files and directories recursively（以遞歸的方式對目前目錄下的所有檔案與子目錄進(jìn)行相同的權(quán)限變更)--help顯示此幫助信息--version顯示版本信息mode ：權(quán)限設(shè)定字串，詳細(xì)格式如下 ：[ugoa...][[+-=][rwxX]...][,...]，其中[ugoa...]

u 表示該檔案的擁有者，g 表示與該檔案的擁有者屬于同一個群體(group)者，o 表示其他以外的人，a 表示所有（包含上面三者）。[+-=]

+ 表示增加權(quán)限，- 表示取消權(quán)限，= 表示唯一設(shè)定權(quán)限。[rwxX]

r 表示可讀取，w 表示可寫入，x 表示可執(zhí)行，X 表示只有當(dāng)該檔案是個子目錄或者該檔案已經(jīng)被設(shè)定過為可執(zhí)行。

file...文件列表（單個或者多個文件、文件夾）

范例：

設(shè)置所有用戶可讀取文件 a.conf

設(shè)置 c.sh 只有 擁有者可以讀寫及執(zhí)行

設(shè)置文件 a.conf 與 b.xml 權(quán)限為擁有者與其所屬同一個群組 可讀寫，其它組可讀不可寫

設(shè)置當(dāng)前目錄下的所有檔案與子目錄皆設(shè)為任何人可讀寫

數(shù)字權(quán)限使用格式

在這種使用方式中，首先我們需要了解數(shù)字如何表示權(quán)限。

首先，我們規(guī)定 數(shù)字 4 、2 和 1表示讀、寫、執(zhí)行權(quán)限（具體原因可見下節(jié)權(quán)限詳解內(nèi)容），即 r=4，w=2，x=1

。此時其他的權(quán)限組合也可以用其他的八進(jìn)制數(shù)字表示出來，如： rwx = 4 + 2 + 1 = 7 rw = 4 + 2 = 6 rx = 4

+1 = 5 即

若要同時設(shè)置

rwx (可讀寫運行） 權(quán)限則將該權(quán)限位 設(shè)置 為 4 + 2 + 1 = 7 若要同時設(shè)置 rw- （可讀寫不可運行）權(quán)限則將該權(quán)限位 設(shè)置

為 4 + 2 = 6 若要同時設(shè)置 r-x （可讀可運行不可寫）權(quán)限則將該權(quán)限位 設(shè)置 為 4 +1 = 5

上面我們提到，每個文件都可以針對三個粒度，設(shè)置不同的rwx(讀寫執(zhí)行)權(quán)限。即我們可以用用三個8進(jìn)制數(shù)字分別表示 擁有者 、群組 、其它組( u、 g 、o)的權(quán)限詳情，并用chmod直接加三個8進(jìn)制數(shù)字的方式直接改變文件權(quán)限。語法格式為 ：

chmod file...

其中a,b,c各為一個數(shù)字，分別代表User、Group、及Other的權(quán)限。相當(dāng)于簡化版的chmod u=權(quán)限,g=權(quán)限,o=權(quán)限file...而此處的權(quán)限將用8進(jìn)制的數(shù)字來表示User、Group、及Other的讀、寫、執(zhí)行權(quán)限

范例：

設(shè)置所有人可以讀寫及執(zhí)行

設(shè)置擁有者可讀寫，其他人不可讀寫執(zhí)行

更改文件擁有者（chown命令）

linux/Unix 是多人多工作業(yè)系統(tǒng)，每個的文件都有擁有者（所有者），如果我們想變更文件的擁有者（利用 chown 將文件擁有者加以改變），一般只有系統(tǒng)管理員(root)擁有此操作權(quán)限，而普通用戶則沒有權(quán)限將自己或者別人的文件的擁有者設(shè)置為別人。

語法格式：

chown [可選項] user[:group] file...

使用權(quán)限：root說明：[可選項] :同上文chmoduser :新的文件擁有者的使用者group :新的文件擁有者的使用者群體(group)

范例：

設(shè)置文件 d.key、e.scrt的擁有者設(shè)為 users 群體的 tom

設(shè)置當(dāng)前目錄下與子目錄下的所有文件的擁有者為 users 群體的 James

二、Linux權(quán)限詳解

Linux系統(tǒng)上對文件的權(quán)限有著嚴(yán)格的控制，用于如果相對某個文件執(zhí)行某種操作，必須具有對應(yīng)的權(quán)限方可執(zhí)行成功。這也是Linux有別于Windows的機制，也是基于這個權(quán)限機智，Linux可以有效防止病毒自我運行，因為運行的條件是必須要有運行的權(quán)限，而這個權(quán)限在Linux是用戶所賦予的。

Linux的文件權(quán)限有以下設(shè)定：

Linux下文件的權(quán)限類型一般包括讀，寫，執(zhí)行。對應(yīng)字母為 r、w、x。

Linux下權(quán)限的屬組有 擁有者 、群組 、其它組 三種。每個文件都可以針對這三個屬組（粒度），設(shè)置不同的rwx(讀寫執(zhí)行)權(quán)限。

通常情況下，一個文件只能歸屬于一個用戶和組， 如果其它的用戶想有這個文件的權(quán)限，則可以將該用戶加入具備權(quán)限的群組，一個用戶可以同時歸屬于多個組。

如果我們要表示一個文件的所有權(quán)限詳情，有兩種方式：

第一種是十位二進(jìn)制表示法，(三個屬組每個使用二進(jìn)制位，再加一個最高位共十位)，可簡化為三位八進(jìn)制形式

另外一種十二位二進(jìn)制表示法(十二個二進(jìn)制位)，可簡化為四位八進(jìn)制形式

十位權(quán)限表示

常見的權(quán)限表示形式有：

-rw------- (600)只有擁有者有讀寫權(quán)限。-rw-r--r-- (644)只有擁有者有讀寫權(quán)限；而屬組用戶和其他用戶只有讀權(quán)限。-rwx------ (700)只有擁有者有讀、寫、執(zhí)行權(quán)限。-rwxr-xr-x (755)擁有者有讀、寫、執(zhí)行權(quán)限；而屬組用戶和其他用戶只有讀、執(zhí)行權(quán)限。-rwx--x--x (711)擁有者有讀、寫、執(zhí)行權(quán)限；而屬組用戶和其他用戶只有執(zhí)行權(quán)限。-rw-rw-rw- (666)所有用戶都有文件讀、寫權(quán)限。-rwxrwxrwx (777)所有用戶都有讀、寫、執(zhí)行權(quán)限。

后九位解析：我們知道Linux權(quán)限總共有三個屬組，這里我們給每個屬組使用三個位置來定義三種操作（讀、寫、執(zhí)行）權(quán)限，合起來則是權(quán)限的后九位。 上面我們用字符表示權(quán)限，其中 -代表無權(quán)限，r代表讀權(quán)限，w代表寫權(quán)限，x代表執(zhí)行權(quán)限。

實際上，后九位每個位置的意義（代表某個屬組的某個權(quán)限）都是固定的，如果我們將各個位置權(quán)限的有無用二進(jìn)制數(shù) 1和 0來代替，則只讀、只寫、只執(zhí)行權(quán)限，可以用三位二進(jìn)制數(shù)表示為

r--=100-w-=010--x=001---=000

轉(zhuǎn)換成八進(jìn)制數(shù)，則為 r=4, w=2, x=1, -=0（這也就是用數(shù)字設(shè)置權(quán)限時為何是4代表讀，2代表寫，1代表執(zhí)行）

實際上，我們可以將所有的權(quán)限用二進(jìn)制形式表現(xiàn)出來，并進(jìn)一步轉(zhuǎn)變成八進(jìn)制數(shù)字：

rwx=111=7rw-=110=6r-x=101=5r--=100=4-wx=011=3-w-=010=2--x=001=1---=000=0

由上可以得出，每個屬組的所有的權(quán)限都可以用一位八進(jìn)制數(shù)表示，每個數(shù)字都代表了不同的權(quán)限（權(quán)值）。如 最高的權(quán)限為是7，代表可讀，可寫，可執(zhí)行。

故 如果我們將每個屬組的權(quán)限都用八進(jìn)制數(shù)表示，則文件的權(quán)限可以表示為三位八進(jìn)制數(shù)

-rw------- =600-rw-rw-rw- =666-rwxrwxrwx =777

關(guān)于第一位最高位的解釋：上面我們說到了權(quán)限表示中后九位的含義，剩下的第一位代表的是文件的類型，類型可以是下面幾個中的一個：

d代表的是目錄(directroy)-代表的是文件(regular file)s代表的是套字文件(socket)p代表的管道文件(pipe)或命名管道文件(named pipe)l代表的是符號鏈接文件(symbolic link)b代表的是該文件是面向塊的設(shè)備文件(block-oriented device file)c代表的是該文件是面向字符的設(shè)備文件(charcter-oriented device file)

十二位權(quán)限（Linux附加權(quán)限）

附加權(quán)限相關(guān)概念

linux除了設(shè)置正常的讀寫操作權(quán)限外，還有關(guān)于一類設(shè)置也是涉及到權(quán)限，叫做Linxu附加權(quán)限。包括 SET位權(quán)限（suid，sgid）和粘滯位權(quán)限（sticky）。

SET位權(quán)限：

suid/sgid是為了使“沒有取得特權(quán)用戶要完成一項必須要有特權(quán)才可以執(zhí)行的任務(wù)”而產(chǎn)生的。

一般用于給可執(zhí)行的程序或腳本文件進(jìn)行設(shè)置，其中SUID表示對屬主用戶增加SET位權(quán)限，SGID表示對屬組內(nèi)用戶增加SET位權(quán)限。執(zhí)行文件被設(shè)置了SUID、SGID權(quán)限后，任何用戶執(zhí)行該文件時，將獲得該文件屬主、屬組賬號對應(yīng)的身份。在許多環(huán)境中，suid

和 sgid 很管用，但是不恰當(dāng)?shù)厥褂眠@些位可能使系統(tǒng)的安全遭到破壞。所以應(yīng)該盡量避免使用SET位權(quán)限程序。（passwd

命令是為數(shù)不多的必須使用“suid”的命令之一）。

suid(set User ID,set UID)的意思是進(jìn)程執(zhí)行一個文件時通常保持進(jìn)程擁有者的UID。然而，如果設(shè)置了可執(zhí)行文件的suid位，進(jìn)程就獲得了該文件擁有者的UID。

sgid(set Group ID,set GID)意思也是一樣，只是把上面的進(jìn)程擁有者改成進(jìn)程組就好了。

SET位權(quán)限表示形式（10位權(quán)限）：

如果一個文件被設(shè)置了suid或sgid位，會分別表現(xiàn)在所有者或同組用戶的權(quán)限的可執(zhí)行位上；如果文件設(shè)置了suid還設(shè)置了x（執(zhí)行）位，則相應(yīng)的執(zhí)行位表示為s(小寫)。但是，如果沒有設(shè)置x位，它將表示為S(大寫)。如：

1、-rwsr-xr-x表示設(shè)置了suid，且擁有者有可執(zhí)行權(quán)限2、-rwSr--r--表示suid被設(shè)置，但擁有者沒有可執(zhí)行權(quán)限3、-rwxr-sr-x表示sgid被設(shè)置，且群組用戶有可執(zhí)行權(quán)限4、-rw-r-Sr--表示sgid被設(shè)置，但群組用戶沒有可執(zhí)行權(quán)限

設(shè)置方式：

SET位權(quán)限可以通過chmod命令設(shè)置，給文件加suid和sgid的命令如下(類似于上面chmod賦予一般權(quán)限的命令)：

chmodu+sfilename設(shè)置suid位chmodu-sfilename去掉suid設(shè)置chmodg+sfilename設(shè)置sgid位chmodg-sfilename去掉sgid設(shè)置

粘滯位權(quán)限：

粘滯位權(quán)限即sticky。一般用于為目錄設(shè)置特殊的附加權(quán)限，當(dāng)目錄被設(shè)置了粘滯位權(quán)限后，即便用戶對該目錄有寫的權(quán)限，也不能刪除該目錄中其他用戶的文件數(shù)據(jù)。設(shè)置了粘滯位權(quán)限的目錄，是用ls查看其屬性時，其他用戶權(quán)限處的x將變?yōu)閠。

使用chmod命令設(shè)置目錄權(quán)限時，+t、-t權(quán)限模式可分別用于添加、移除粘滯位權(quán)限。

粘滯位權(quán)限表示形式（10位權(quán)限）：

一個文件或目錄被設(shè)置了粘滯位權(quán)限，會表現(xiàn)在其他組用戶的權(quán)限的可執(zhí)行位上。如果文件設(shè)置了sticky還設(shè)置了x（執(zhí)行）位，其他組用戶的權(quán)限的可執(zhí)行位為t(小寫)。但是，如果沒有設(shè)置x位，它將表示為T(大寫)。如：

1、-rwsr-xr-t表示設(shè)置了粘滯位且其他用戶組有可執(zhí)行權(quán)限2、-rwSr--r-T表示設(shè)置了粘滯位但其他用戶組沒有可執(zhí)行權(quán)限

設(shè)置方式：

sticky權(quán)限同樣可以通過chmod命令設(shè)置：

chmod +t 文件列表..

十二位的權(quán)限表示方法

附加權(quán)限除了用十位權(quán)限形式表示外，還可以用用十二位字符表示。

11109876543210S? G? T r w x r w x r w x

SGT分別表示SUID權(quán)限、SGID權(quán)限、和 粘滯位權(quán)限，這十二位分別對應(yīng)關(guān)系如下：

第11位為SUID位，第10位為SGID位，第9位為sticky位，第8-0位對應(yīng)于上面的三組rwx位（后九位）。

在這十二位的每一位上都置值。如果有相應(yīng)的權(quán)限則為1， 沒有此權(quán)限則為0。

-rw-r-sr--的值為：010110100100-rwsr-xr-x的值為：100111101101-rwsr-sr-x的值為：110111101101-rwsr-sr-t的值為：111111101101

如果將則前三位SGT也轉(zhuǎn)換成一個二進(jìn)制數(shù)，則

suid 的八進(jìn)制數(shù)字是4

sgid 的代表數(shù)字是 2

sticky 位代表數(shù)字是1

這樣我們就可以將十二位權(quán)限三位三位的轉(zhuǎn)化為4個八進(jìn)制數(shù)。其中

最高的一位八進(jìn)制數(shù)就是suid，sgdi，sticky的權(quán)值。

第二位為 擁有者的權(quán)值

第三位為 所屬組的權(quán)值

最后一位為 其他組的權(quán)值

附加權(quán)限的八進(jìn)制形式

通過上面，我們知道，正常權(quán)限和附加權(quán)限可以用4位八進(jìn)制數(shù)表示。類似于正常權(quán)限的數(shù)字權(quán)限賦值模式（使用三位八進(jìn)制數(shù)字賦值）

chmod file...

我們可以進(jìn)一步使用4位八進(jìn)制數(shù)字同時賦值正常權(quán)限和附加權(quán)限。

chmod file...

其中s是表示附加權(quán)限的把八進(jìn)制數(shù)字，abc與之前一致，分別是對應(yīng)User、Group、及Other（擁有者、群組、其他組）的權(quán)限。因為SUID對應(yīng)八進(jìn)制數(shù)字是4，SGID對于八進(jìn)制數(shù)字是2，則“4755”表示設(shè)置SUID權(quán)限，“6755”表示同時設(shè)置SUID、SGID權(quán)限。

我們進(jìn)一步將上小節(jié)的例子中的二進(jìn)制數(shù)轉(zhuǎn)變?yōu)榘诉M(jìn)制表示形式，則

-rw-r-sr-- =010110100100=2644-rwsr-xr-x =100111101101=4755-rwsr-sr-x =110111101101=6755-rwsr-sr-t =111111101101=7755

對比范例：

設(shè)置 netlogin 的權(quán)限為擁有者可讀寫執(zhí)行，群組和其他權(quán)限為可讀可執(zhí)行

設(shè)置 netlogin 的權(quán)限為擁有者可讀寫執(zhí)行，群組和其他權(quán)限為可讀可執(zhí)行，并且設(shè)置suid

chmod 4755與chmod 755對比多了附加權(quán)限值4，這個4表示其他用戶執(zhí)行文件時，具有與所有者同樣的權(quán)限（設(shè)置了SUID）。

為什么要設(shè)置4755 而不是 755？

假設(shè)netlogin是root用戶創(chuàng)建的一個上網(wǎng)認(rèn)證程序，如果其他用戶要上網(wǎng)也要用到這個程序，那就需要root用戶運行chmod 755 netlogin命令使其他用戶也能運行netlogin。但假如netlogin執(zhí)行時需要訪問一些只有root用戶才有權(quán)訪問的文件，那么其他用戶執(zhí)行netlogin時可能因為權(quán)限不夠還是不能上網(wǎng)。這種情況下，就可以用 chmod 4755 netlogin 設(shè)置其他用戶在執(zhí)行netlogin也有root用戶的權(quán)限，從而順利上網(wǎng)。

Linux系統(tǒng)下用戶以及權(quán)限管理

一、操作系統(tǒng)中的用戶管理 相關(guān)配置文件解讀

Linux用戶在操作系統(tǒng)可以進(jìn)行日常管理和維護，涉及到的相關(guān)配置文件如下：

/etc/passwd 保存操作系統(tǒng)中的所有用戶信息

root : x : 0 : 0 : root : /root : /bin/bash

name:password:UID:GID:GECOS:directory:shell

用戶名 ：密碼占位符 ：uid ：基本組的gid ：用戶信息記錄字段：用戶的家目錄：用戶登錄系統(tǒng)后使用的命令解析器

————————————————

字段1：用戶名

字段2：密碼占位符

字段3：用戶的UID 0 表示超級用戶 ， 500-60000 普通用戶 ， 1-499 程序用戶

字段4：基本組的GID 先有組才有用戶

字段5：用戶信息記錄字段

字段6：用戶的家目錄

字段7：用戶登錄系統(tǒng)后使用的命令解釋器

————————————————

UID：0表示超級用戶， 程序用戶 （1-499），普通用戶 （500以上60000以下），根據(jù)uid將用戶分為以上三類用戶。

/etc/shdaow 保存用戶密碼（以加密形式保存）

[root@xing /]# cat /etc/shadow

root : $6$Jw5XsDvvNBH5Xoq. : 19180 : 0 : 99999 : 7 : : :

用戶名：密碼（加密后的字符串）：最近一次的修改時間【距離1970年1月1日的距離】：密碼的最短有效期：密碼的最長有效期：密碼過期前7天警告：密碼的不活躍期：用戶的失效時間： 保留字段

————————————————

字段1：用戶名

*字段2：用戶的密碼加密后的字符串（sha）

字段3：距離1970/1/1密碼最近一次修改的時間

字段4：密碼的最短有效期

*字段5：密碼的最長有效期（建議時間 90）

字段6：密碼過期前7天警告

字段7：密碼的不活躍期

字段8：用戶的失效時間

字段9：保留字段

這個字段目前沒有使用，等待新功能的加入。

————————————————

/etc/group 保存組信息

————————————————

root:x:0:

bin:x:1:bin,daemon

組名：組的密碼占位符：gid：附加組成員

————————————————

/etc/login.defs 用戶屬性限制,密碼過期時間,密碼最大長度等限制

/etc/default/useradd 顯示或更改默認(rèn)的useradd配置文件

二、文件及目錄權(quán)限

文件與權(quán)限： 即文件或者目錄屬于哪個用戶，屬于哪個組，不同的用戶能對該文件進(jìn)行何種操作。

————————————————

注：

查看文件權(quán)限： ls -l 文件

查看目錄權(quán)限 ： ls -ld 目錄

————————————————

[root@xing Desktop]# ls -l /root/Desktop/

total 70584

lrwxrwxrwx. 1 root root 18 Jul 14 14:32 123.txt - /root/Desktop/ming

-rw-r--r--. （文件屬性） 1 （鏈接個數(shù)： 表示指向它的鏈接文件的個數(shù) ） root （所屬者） root （所屬組） 0（文件大小：單位byte） Jul 14 14:14（最后一次修改時間） 2.txt（文件名）

drwx------.（文件屬性） 7 （目錄中的子目錄數(shù)： 此處看到的值要減2才等于該目錄下的子目錄的實際個數(shù)。 ） root （所屬者） root （所屬組） 4096 （文件大小：單位byte）Jul 13 16:56（最后一次修改時間） vmware-tools-distrib（目錄名）

[root@xing Desktop]# ls -ld /root/Desktop/

drwxr-xr-x. 3 root root 4096 Jul 14 14:44 /root/Desktop/

————————————————

文件屬性解釋：

- rw- r-- r-- .

d rwx r-x r-x .

字段1：文件類型 【- 普通文件 d目錄 l符號鏈接 b塊設(shè)備】

字段2：文件所有者對該文件的權(quán)限

字段3：文件所屬組的權(quán)限

字段4：其他用戶的權(quán)限（既不是文件所有者也不是文件所屬組的用戶）

字段5：表示文件受 selinux 的程序管理

8進(jìn)制賦權(quán)法： r 【100】4； w【010】2； x【001】1

————————————————

三、用戶以及權(quán)限管理命令匯總：

————————————————

用戶增刪改命令

useradd

userdel

usermod

————————————————

用戶組增刪改命令

groupadd

groupdel

groupmod

————————————————

passwd

change

————————————————

文件權(quán)限修改: chmod命令

chmod 對象 算數(shù)運算符 權(quán)限 文件

[root@xing tmp]# ls -ld ming

drwxr-xr-x. 2 root root 4096 Jul 16 10:27 ming

[root@xing tmp]# chmod o-x ming

[root@xing tmp]# ls -ld ming

drwxr-xr--. 2 root root 4096 Jul 16 10:27 ming

————————————————

文件所屬者修改：

chown 用戶 文件

[root@xing tmp]# chown ming ming

[root@xing tmp]# ls -ld ming

drwxr-xr--. 2 ming root 4096 Jul 16 10:27 ming

————————————————

文件所屬組修改：

chgrp 組 文件

[root@xing tmp]# chgrp ming ming

[root@xing tmp]# ls -ld ming

drwxr-xr--. 2 ming ming 4096 Jul 16 10:27 ming

————————————————

8進(jìn)制賦權(quán)法

[root@xing ~]# chmod 644 /tmp/ming

[root@xing ~]# ls -ld /tmp/ming

drw-r--r--. 2 ming ming 4096 Jul 16 10:27 /tmp/ming

————————————————

linux下命令“l(fā)l”是“l(fā)s -l"的別名。

————————————————

粘滯位：賦權(quán)后的文件 只有建立者可以刪除

chmod o+t 文件

[root@xing ~]# chmod o+t /tmp/ming

[root@xing ~]# ll -d /tmp/ming

drw-r--r-T . 2 ming ming 4096 Jul 16 10:27 /tmp/ming

————————————————

sgid ： 賦權(quán)后的目錄，新建立的文件或者子目錄的所屬組繼承父目錄的所屬組

chmod g+s 目錄

[root@xing ming]# chmod g+s /tmp/ming

[root@xing tmp]# ll

drw-r-Sr-T. 2 ming ming 4096 Jul 16 11:29 ming

[root@xing ming]# touch 20.txt

[root@xing ming]# ll

-rw-r--r--. 1 root ming 0 Jul 16 11:33 20.txt

[root@xing ming]# mkdir 60

[root@xing ming]# ll

drwxr-sr-x. 2 root ming 4096 Jul 16 11:34 60

————————————————

suid ：允許誰運行該文件具有該文件所屬者的權(quán)限

chmod u+s 文件

[root@xing Desktop]# ll /usr/bin/vim

-rwxr-xr-x. 1 root root 2324712 Dec 22 2016 /usr/bin/vim

[root@xing Desktop]# chmod u+s /usr/bin/vim

[root@xing Desktop]# ll /usr/bin/vim

-rwsr-xr-x. 1 root root 2324712 Dec 22 2016 /usr/bin/vim

備注：linux 紅底白字代表警告！

————————————————

[root@xing Desktop]# echo $PATH

/usr/lib64/qt-3.3/bin:/usr/local/sbin:/usr/sbin:/sbin:/usr/local/bin:/usr/bin:/bin:/root/bin

suid：4 sgid：2 粘滯位：1

[root@xing Desktop]# find /usr/bin -perm 4 755

/usr/bin/at

/usr/bin/chage

/usr/bin/pkexec

/usr/bin/Xorg

/usr/bin/crontab

/usr/bin/newgrp

/usr/bin/vim

/usr/bin/gpasswd

/usr/bin/passwd

/usr/bin/ksu

————————————————

1、不再允許添加新用戶的請求

chattr命令 ：用于改變文件屬性

chattr +i 文件

lsttr命令 ：查看文件屬性

lsattr 文件

[root@xing Desktop]# lsattr /etc/passwd /etc/shadow

-------------e- /etc/passwd

-------------e- /etc/shadow

[root@xing Desktop]# chattr +i /etc/passwd /etc/shadow

[root@xing Desktop]# lsattr /etc/passwd /etc/shadow

----i--------e- /etc/passwd

----i--------e- /etc/shadow

[root@xing Desktop]# useradd kk

useradd: cannot open /etc/passwd

2、umask

root用戶的umask默認(rèn)值是0022，一般用戶默認(rèn)是0002

目錄的最高權(quán)限 0777-0022=0755

文件的最高權(quán)限 0666-0022=644

一般服務(wù)器配置umask的值配置為027最好；需要去修改兩處文件中的umask值。

/etc/profile

/etc/bashrc

3、修改默認(rèn)的密碼最長有效期：修改以下配置文件

/etc/login.defs

linux中SUID,SGID的應(yīng)用舉例

suid和sgid無非就是一個進(jìn)程繼承的問題，帶有這個標(biāo)識符的命令，在某些用戶登錄時，自動繼承，也就是可以使用那些進(jìn)程!

一般系統(tǒng)的umask=0022(那個第一位就是suid的設(shè)置位置，suid:6,sgid:4,sbit:2)

你可以查找/bin下?lián)碛衧uid的命令

[root@localhost ~]# cd /bin/

[root@localhost bin]# find -perm +6000

./umount

./mount

./su

./ping6

./ping

你是不是發(fā)現(xiàn)，上述這些命令，任何登錄用戶都可以用呢？

passwd可以修改其他用戶需要設(shè)置-G 為wheel的用戶組，

#visudo(在其中把wheel的注釋拿掉,再添加一行:user ALL=(root) /usr/bin/passwd)

#usermod -a -G wheel user

#sudo passwd user1(這里是用上邊的那個用戶登錄的)

你不編譯內(nèi)核，普通用戶怎么可能可以添加用戶？

網(wǎng)頁名稱：linuxsgid命令的簡單介紹
本文網(wǎng)址：http://chinadenli.net/article28/hhgpjp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供移動網(wǎng)站建設(shè)、域名注冊、網(wǎng)站設(shè)計公司、定制網(wǎng)站、微信公眾號、Google

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)