文件特殊权限

SetUID（SUID）

SetUID的说明

1）只有可执行的二进制程序才能设定SetUID权限，对其他文件也可以设定，但是没有实际意义

2）命令执行者要对文件拥有x权限，SetUID权限才会生效

3）命令执行者在执行程序时获得该文件所有者的身份

4）SetUID权限只在该程序执行过程中有效，即用户身份的改变只在程序执行过程中有效

示例：passwd命令具有SetUID权限

所有者的权限为rws，表明该文件设定了SUID权限

我们知道，修改密码实际上改变的是/etc/shadow文件中的内容，但是该文件对所有用户的权限为---------，只有root有修改权限；但实际上普通用户也可以修改自己的密码，这是因为为passwd命令设定了SUID权限，普通用户在执行该命令时就会暂时变为root身份，修改密码后，命令结束，又恢复了普通用户身份

设定SUID权限

chmod 4755 文件名　　在普通权限之前加上4，就代表了SUID权限

chmod u+s   文件名

取消SUID权限

chmod 755 文件名

chmod u-s  文件名

如果查看文件的SUID权限，SUID标志位S，说明SUID权限无效，如下图的文件所有用户都没有x权限（违背了说明的第二条）

SetGID（SGID）

SGID可以作用于文件和目录，但是作用效果不同

针对文件的作用

1）只有可执行二进制程序才能设置SGID权限

2）命令执行者要对程序拥有x权限

3）命令执行者在执行程序时，执行者的组身份变为该程序文件的属组

4）SGID权限同样只在程序执行中生效，即组身份改变只在程序执行中有效

针对目录的作用

1）普通用户必须对目录拥有r、x权限，才能进入该目录

2）普通用户在此目录中的有效组会变成此目录的属组

3）若普通用户对此目录拥有w权限，新建的文件的默认属组就是这个目录的属组

设定SGID权限

chmod 2755 文件名

chmod g+s   文件名

取消SGID权限

chmod 755 文件名

chmod g-s  文件名

Sticky BIT（SBIT、黏着位权限）

SBIT的说明

1）黏着位只对目录有效

2）普通用户对该目录拥有w、x权限

3）如果没有黏着位，因为普通用户拥有w权限，所以可以删除此目录下的所有文件，包含其他用户建立的文件；一旦赋予了黏着位，除了root可以删除所有文件，普通用户就算拥有w权限，也只能删除自己建立的文件，但是不能删除其他用户建立的文件

ll -d /tmp

设定SBIT权限

chmod 1755 目录名

chmod o+t   目录名

取消SBIT权限

chmod 755 目录名

chmod o-t  目录名

文件系统属性权限chattr

chattr命令格式

chattr +-= 选项 文件/目录

+　　增加权限；-　　减少权限；=　　赋予权限

选项：

i：如果对文件设置i属性，那么不允许对文件进行删除改名，也不能添加和修改数据；如果对目录设置i属性，那么只能修改目录下文件的数据，但不允许建立和删除文件

a:如果对文件设置a属性，那么不允许对文件进行删除改名，只能在文件中添加数据（只能使用echo的方式追加内容，使用vim编辑器添加数据不被允许），但是不能删除和修改数据；如果对目录设置a属性，那么只能允许在目录中建立和修改文件，但是不允许删除文件

查看文件系统的属性

lsattr 选项 文件名

-a　　显示所有文件和目录属性

-d　　若目标为目录，仅列出目录本身的属性，不列出子文件的属性

 

最后需要注意的是，SUID、SGID、SBIT权限对root用户无效，但是chattr权限对root也生效

sudo权限

sudo的说明

1）sudo的操作对象是系统命令

2）root把本只能超级用户执行的命令赋予普通用户执行

sudo使用

visudo

用户名 被管理主机的地址=（可使用的身份） 授权的命令

说明：

visudo命令等价于 vi /etc/sudoers,该文件内容中有一行显示：

这句话使得root用户可以在本网段的任何主机上执行任何命令

各字段的对应含义

root　　　　  用户名；如果是用户组，那么前面应该加上%

第一个ALL　　被管理主机的地址，如果需要管理所有主机就用ALL

第二个ALL　　可使用的身份，ALL表示可以使用任意身份，这里主要指root，也可以不写

第三个ALL　　授权的命令，ALL代表所有命令

如果给普通用户授予某个命令的执行权，可以仿照这种格式，vi /etc/sudoers或visudo命令