Linux加强篇-文件权限

缺乏、安全感 2024-04-25 08:39 8阅读 0赞

**目录**

⛳️推荐

文件权限与归属

文件的特殊权限

--------------------

### ⛳️推荐 ###

> 前些天发现了一个巨牛的人工智能学习网站，通俗易懂，风趣幽默，忍不住分享一下给大家。[点击跳转到网站][Link 1]

### 文件权限与归属 ###

文件权限解析可读（r）、可写（w）、可执行（x）：可读”表示能够读取文件的实际内容；“可写”表示能够编辑、新增、修改、删除文件的实际内容；“可执行”则表示能够运行一个脚本程序。

读写执行权限对于文件与目录可执行命令的区别

![image][]

文件的可读、可写、可执行权限的英文全称分别是read、write、execute，可以简写为r、w、x，亦可分别用数字4、2、1来表示，文件所有者、文件所属组及其他用户权限之间无关联

![image][image 1]

减号是占位符，代表这里没有权限，在数字表示法中用0表示

![image][image 2]

文件的类型、访问权限、所有者（属主）、所属组（属组）、占用的磁盘大小、最后修改时间和文件名称等信息。通过分析可知，该文件的类型为普通文件，所有者权限为可读、可写（rw-），所属组权限为可读（r--），除此以外的其他人也只有可读权限（r--），文件的磁盘占用大小是34298字节，最近一次的修改时间为4月2日的0:23，文件的名称为install.log

![image][image 3]

普通文件（-）和目录文件（d）的身影。块设备文件（b）和字符设备文件（c）一般是指硬件设备，比如鼠标、键盘、光驱、硬盘等，在/dev/目录中最为常见

### 文件的特殊权限 ###

**1. SUID**

SUID是一种对二进制程序进行设置的特殊权限，能够让二进制程序的执行者临时拥有所有者的权限（仅对拥有执行权限的二进制程序有效）在使用命令时如果加上SUID特殊权限位，就可让普通用户临时获得程序所有者的身份。

`[root@localhost home]# ll /etc/shadow`

`----------. 1 root root 1686 Nov 17 16:39 /etc/shadow`

`[root@localhost home]# ll /bin/passwd`

`-rw``s``r-xr-x. 1 root root 33600 Apr 7 2020 /bin/passwd`

加粗显示的字体用来告诫用户一定要小心这个权限，因为一旦某个命令文件被设置了SUID权限，就意味着凡是执行该文件的人都可以临时获取到文件所有者所对应的更高权限。因此，千万不要将SUID权限设置到vim、cat、rm等命令上

**2. SGID**

SGID特殊权限有两种应用场景：当对二进制程序进行设置时，能够让执行者临时获取文件所属组的权限；当对目录进行设置时，则是让目录内新创建的文件自动继承该目录原有用户组的名称。

`[root@localhost home]# mkdir test`

`[root@localhost home]# ll test/`

`[root@localhost home]# ls -ald test/`

`drwxr-xr-x. 2 root root 6 Nov 17 16:54 test/`

`[root@localhost home]# chmod -R 777 test/`

`[root@localhost home]# ls -ald test/`

`drwxrwxrwx. 2 root root 6 Nov 17 16:54 test/`

`[root@localhost home]# chmod -R g+s test/`

`[root@localhost home]# ls -ald test/`

`drwxrwsrwx. 2 root root 6 Nov 17 16:54 test/`

`[root@localhost home]# mkdir -p test/123`

`[root@localhost home]# ls -ald test/123/`

`drwxr-sr-x. 2 root root 6 Nov 17 16:55 test/123/`

chmod命令用于设置文件的一般权限及特殊权限，语法格式为“chmod \[参数\] 文件名”

文件的权限设置成其所有者可读可写可执行、所属组可读可写、其他人没有任何权限，则相应的字符法表示为rwxrw----，其对应的数字法表示为760。

`[root@localhost ~]# ll anaconda-ks.cfg`

`-rw-------. 1 root root 2788 Nov 9 15:44 anaconda-ks.cfg`

`[root@localhost ~]# chmod 760 anaconda-ks.cfg`

`[root@localhost ~]# ll anaconda-ks.cfg`

`-rwxrw----. 1 root root 2788 Nov 9 15:44 anaconda-ks.cfg`

chown命令用于设置文件的所有者和所有组，语法格式为“chown所有者:所有组 文件名”

“所有者:所有组”的格式把前面那个文件的所属信息修改，变更后的效果如下：

`[root@localhost ~]# chown weihongbin02:weihongbin02 anaconda-ks.cfg`

`[root@localhost ~]# ll anaconda-ks.cfg`

`-rwxrw----. 1 weihongbin02 weihongbin02 2788 Nov 9 15:44 anaconda-ks.cfg`

**3. SBIT**

SBIT特殊权限位可确保用户只能删除自己的文件，而不能删除其他用户的文件。文件的其他用户权限部分的x执行权限就会被替换成t或者T—原本有x执行权限则会写成t，原本没有x执行权限则会被写成T。

/tmp目录上的SBIT权限默认已经存在，这体现为“其他用户”权限字段的权限变为rwt：

`[root@localhost ~]# ls -ald /tmp`

`drwxrwxrwt. 32 root root 4096 Nov 17 17:01 /tmp`

赋予test文件最大的777权限（rwxrwxrwx）切换到一个普通用户身份下，尝试删除这个由其他人创建的文件，这时就会发现，即便读、写、执行权限全开，但是由于SBIT特殊权限位的缘故，依然无法删除该文件：

`[root@localhost ~]# echo "123" > /tmp/test`

`[root@localhost ~]# chmod 777 /tmp/test`

`[root@localhost ~]# ls -al /tmp/test`

`-rwxrwxrwx. 1 root root 4 Nov 17 17:03 /tmp/test`

`[root@localhost ~]# su - weihongbin02`

`[weihongbin02@localhost ~]$ rm -rf /tmp/test`

`rm: cannot remove '/tmp/test': Operation not permitted`

使用特殊权限，就能实现很多巧妙的功能。使用chmod命令设置特殊权限

SUID、SGID、SBIT特殊权限设置参数

<table> 
 <tbody> 
  <tr> 
   <td>参数</td> 
   <td>作用</td> 
  </tr> 
  <tr> 
   <td>u+s</td> 
   <td>设置SUID权限</td> 
  </tr> 
  <tr> 
   <td>u-s</td> 
   <td>取消SUID权限</td> 
  </tr> 
  <tr> 
   <td>g+s</td> 
   <td>设置SGID权限</td> 
  </tr> 
  <tr> 
   <td>g-s</td> 
   <td>取消SGID权限</td> 
  </tr> 
  <tr> 
   <td>o+t</td> 
   <td>设置SBIT权限</td> 
  </tr> 
  <tr> 
   <td>o-t</td> 
   <td>取消SBIT权限</td> 
  </tr> 
 </tbody> 
</table>

在家目录中创建一个名为linux的新目录，随后为其设置SBIT权限：

`[root@localhost ~]# mkdir linux`

`[root@localhost ~]# chmod -R o+t linux/`

`[root@localhost ~]# ls -ld linux/`

`drwxr-xr-t. 2 root root 6 Nov 17 17:05 linux/`

SUID、SGID与SBIT也有对应的数字表示法，分别为4、2、1。也就是说777还不是最大权限，最大权限应该是7777，其中第1个数字代表的是特殊权限位。既然知道了数字表示法是由“特殊权限+一般权限”构成的，现在就以上面linux目录的权限为例，为大家梳理一下计算方法

在rwxr-xr-t权限中，最后一位是t，这说明该文件的一般权限为rwxr-xr-x，并带有SBIT特殊权限。对于可读（r）、可写（w）、可执行（x）权限的数字计算方法大家应该很熟悉了—rwxr-xr-x即755，而SBIT特殊权限位是1，则合并后的结果为1755。

权限是“rwsrwSr--”大写S表示原先没有执行权限，因此一般权限为rwxrw-r--，将其转换为数字表示法后结果是764。带有的SUID和SGID特殊权限的数字法表示是4和2，心算得出结果是6，合并后的结果为6764。

![image][image 4]

特殊权限的5是由4+1组成的，意味着有SUID和SBIT。SUID和SGID的写法是，原先有执行权限则是小写s，如果没有执行权限则是大写S；而SBIT的写法则是，原先有执行权限是小写t，没有执行权限是大写T。一般权限的537进行字符转换后应为r-x-wxrwx，然后在此基础上增加SUID和SBIT特殊权限，合并后的结果是r-s-wxrwt。

![image][image 5]

UID占位是4，GID占位是2，BID占位是1，先占为小写，后占为大写，U和G的为s，B的为t

[Link 1]: https://www.captainbed.cn/wxz
[image]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/25/1dd8fce142e34f1398e140d9a384c7e2.png
[image 1]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/25/4991743f3ea849c2af7084c0b425aab1.png
[image 2]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/25/f691c2da1c584c50bcbceb66534e0edf.jpeg
[image 3]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/25/10d4fd133f7b4a0c96b5ee7364d4a6f1.png
[image 4]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/25/5d9c2f376f274301b56e4f8d2c507f0c.jpeg
[image 5]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/25/aafc4413026046f68b44367c7b850c01.jpeg