-
为了完善SBIT权限的缺陷 1.不可改变位权限:chattr 命令格式 charrt[+-=][选项] 文件名/目录名 +:增加权限 -:删除权限 =:等于某权限 [选项]: i:将此文件锁定 如果对文件设置i属性,那么不允许对文件进行删除,改名也不能添加和修改数据; 如果对目录设置i属性,那么只能修改目录下文件的数据,但不能建立和删除文件。 a:冻结此文件 如果对文件设置a属性,那么只能在文件中增加数据,但不能删除也不能修改数据; 如果对目录设置a属性,那么只允许在目录中建立和修改文件,但不允许删除。 (添加内容只能用 echo >>输出重定向到文件中;vi不行,因为不能判断是修改还是增删内容) 2.查看文件系统属性:lsattr 选项 文件名 选项 -a 显示所有文件和目录 -d 仅列出目录本身的属性,而不是子文件的查看全部
-
总结: SUID:针对二进制执行文件,普通用户在执行这个命令的时候,他的身份会暂时切换成命令的所有者 SGID: 针对执行文件和目录 针对文件的作用:普通用户在执行这个命令的时候,他的身份会暂时切换成命令的所属组 针对目录的作用:任何一个用户在这个目录当中新建的 文件所有者是当前这个目录所属组 SBIT:只针对目录,要求目录有w和x权限,任何一个用户在这个目录当中 新建的文件,都只能删除自己的文件,而不能删除其他用户的文件查看全部
-
粘着位表示 t 1.SBIT粘着位作用 ①粘着位目前只针对目录有效 ②普通用户对该用户拥有w和x权限,即写入权限 ③如果没有粘着位,因为普通用户拥有w权限,所有可以删除此目录下所有文件,包括其他用户建立的文件。一旦赋予了粘着位,除了root可以删除所有文件,普通用户即使拥有了w权限,也只能删除自己建立的文件,不能删除其他用户创建的文件。 白话版: av目录的权限为777,user1进去建立了一个cangls,user2进去建立了bols,由于user2拥有w权限,所以他可以删除user1辛苦找到的cangls,为了防止悲剧发生,赋予粘着位,user2只能删除自己建立的文件,不能删除其他用户建立的文件。 2.设置粘着位 chmod 1755 目录名 chmod o+s 目录名 3.取消粘着位 chmod 0755 目录名 chmod o-s 目录名查看全部
-
1.SetGID针对文件的作用 只有可执行二进制程序才能设定SGID权限 命令执行者要对该程序拥有x(执行)权限 命令执行执行程序时,组身份升级为该程序文件的属组 SetGID权限只在程序执行过程中有效 例子 、usr/bin/locate具有SetGID身份 2.SetGID针对目录的作用 普通用户必须对此目录必须拥有r和x权限,才能进入此目录 普通用户在此目录中的有效组会变成此目录的属组 若普通用户对此目录拥有w权限,新建的文件的默认属组是这个目录的属组 3.设定SetGID chmod g+s 文件名 chmod 2755 文件名 4.取消SetGID chmod g-s 文件名 chmod 0755 文件名查看全部
-
设定SetUID的方法<br> chmod 4755 abc, 这个4即表示SUID chmod u+s 文件名 u+s =SUID(所有者) g+s=SGID(所属组) o+s=SBIT(其他人) 取消方法 chmod 0755 文件名 chmod u-s 文件名 定期检查suid的程序如下 #!/bin/bash find / -perm -4000 -o -perm -2000> /tmp/setuid.check for i in $(cat /tmp/setuid.check) do grep $i /home/suid.log> /dev/null if [ "$?" != "0" ] then echo "$i isn't in listfile!">>/home/suid_log_$(date +%F) fi done rm -rf /tmp/setuid.check查看全部
-
(1)设定SetUID方法 4代表SUID chmod 4755 文件名 chmod u+s 文件名 (2)SetUID功能 1.只有可执行二进制程序才能设定SUID权限 2.命令执行者要对该程序拥有x(执行)权限(如果当前文件没有执行权限,着会出现大S权限,大S权限是无效的,s=S+x,s才是超级权限。) 3.命令执行者在执行该程序时获得该程序文件属主身份 4.SetUID权限只在程序执行过程中有效 passwd拥有SetUID权限,所以普通用户可以修改自己密码 cat命令没有SetUID权限,所以普通用户不能查看/etc/shadow文件内容查看全部
-
sudo操作对象是系统命令,与其他修改 文件 的权限的命令不同查看全部
-
user1 ALL=/usr/sbin/useradd #赋予user1添加用户的权限 user1 ALL=/usr/bin/passwd #赋予user1更改密码的权限 user1 ALL=/bin/vi #赋予user1使用vi更改任意文件的权限(包括/etc/shadow阔怕!) (会造成严重后果, 在运行该权限时,是root身份,甚至能更改root密码) 加强版 user1 ALL=/usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd "", !/usr/bin/passwd root 可以更改任意字母的用户密码, 用户名不能为空(如果空,则代表更改当前用户密码,而此时身份为root),用户名不能为root查看全部
-
普通用户可以执行sudo赋予的命令 3.sudo -l 查看可用的sudo的命令 4.普通用户执行超级命令的时候必须要加 sudo 命令的绝对路径 例如 sudo /sbin/shutdown -r now查看全部
-
授权普通用户可以重启服务器查看全部
-
1.切换用户命令 su 用户<br> 2.赋予普通用户以root权限执行某些系统命令 :以root身份 visudo 后, 添加一行 user all=(all) 命令的绝对路径 注释:第一个all 指管理者的主机的IP地址,意思是,只有在指定的IP地址下才有sudo这个权限,第二个all指,可以切换成任意身份,这个可以直接省略 例如 user1 all=(all) /sbin/shutdown -r now 也可以是 user1 all=/sbin/shutdown -r now<br> 如果为用户组添加权限的话 %组名 all=(all) /sbin/shutdown -r now查看全部
-
2.默认acl权限:把这个目录下以后所创建的所有文件都赋予某些权限。 setfacl -m d(default的缩写):用户名:权限 目录名 只能给目录设定以上两种权限查看全部
-
尽量少用acl权限,因为可能会权限溢出。 1.递归权限:在赋予目录权限的同时将权限赋予此文件夹下面的子文件权限 setfacl -m u:用户名:权限 -R 目录名查看全部
-
最大有效权限mask(使用命令getfacl 文件名显示的结果中倒数第二排会出现mask这个词)mask是用来指定最大有效权限的。如果我给用户赋予了acl权限,是需要和mask的权限“相与”才能得到用户的真正权限。相与是计算机中的术语,皆真方为真,有假便为假。 1.修改mask值的命令 setfacl -m m:rx 文件 2.删除acl权限的命令 setfacl -x u:用户名 文件 (删除指定用户的acl权限) setfacl -x g:组名 文件 (删除指定用户的acl权限) setfacl -b 文件 (删除所有的acl权限)查看全部
-
3.给用户组设定ACL权限 setfacl -m g:组名:权限 文件名查看全部
举报
0/150
提交
取消