1.suid(set uid)特殊权限

set uid   简称suid
当我们为某个命令设定suid，无论谁使用该命令都会使用该命令的“属主”运行该命令
给权限：suid==4000
       chmod u+s   /usr/bin/passwd
       chmod 4755 /usr/bin/passwd
去掉权限：chmod u-s

• suid优点：可以让普通用户执行无法执行的命令

• suid缺点：如果rm为suid，无论谁执行该命令，都能删除系统的任何资源

  
  
  image.png

ps(重点)：进程能够以何种身份查看一个文件，取决于运行这个进程的用户对这个文件有没有权限

比如：cat是一个进程，当使用jacky用户运行cat查看/etc/shadow文件时，进程是jacky运行，jacky对/etc/shadow没有读取的权限，表示权限拒绝。

image.png

2.sgid (set gid) 特殊权限 (RHCE考试)

[root@bj-qing-10 ~]# groupadd devops 
[root@bj-qing-10 ~]# useradd zhangsan -G devops 
[root@bj-qing-10 ~]# useradd lisi -G devops
[root@bj-qing-10 ~]# mkdir /opt/share 
[root@bj-qing-10 ~]# chmod 2777 share/ 
[root@bj-qing-10 ~]# chown .devops share/
测试不同的用户在该目录下创建文件,检查属主和属组 
使用sgid可以使得多个用户之间共享一个目录的所有文件变得简单

3.sbit

如果一个目录设定了粘滞位, 那么谁都可以在该目录下创建文件
删除文件只能是谁创建的谁删除. 除此以外root和/tmp/的所属主都能删除该目录下的内容
设定粘滞位  1000
chmod o+t  /tmp 
chmod 1777 /tmp

image.png

image.png

4.特殊属性 chattr lsattr

• -a 只能追加,无其他操作
• -i 锁定文件,不能删除,不能追加,不能移动

1.希望任何人都不能创建用户，应该给/etc/passwd添加什么特殊属 性？

[root@oldboyedu ~]# chattr +i /etc/passwd 
[root@oldboyedu ~]# lsattr /etc/passwd 
----i----------- /etc/passwd 
不得任意更动文件或目

[root@oldboyedu ~]# chattr -i /etc/passwd 
[root@oldboyedu ~]# lsattr /etc/passwd 
---------------- /etc/passwd 
[root@oldboyedu ~]# useradd test123

2.日志文件，希望能往里面追加内容，但不允许删除，应该添加什么 特殊属性?

[root@oldboyedu ~]# chattr +a /var/log/secure 
[root@oldboyedu ~]# lsattr /var/log/secure 
-----a---------- /var/log/secure

5.umask 默认权限

• umask是用来控制默认创建文件或目录的权限
• umask设定为022,表示要减去的权限
  目录 777 -022 =755
  文件 666 -022 =644
• umask 设定为奇数 偶数 对文件和目录有什么影响?
  文件: 如果umask出现了奇数, 要在奇数位+1
  目录: 对目录毫无影响
• 设定umask
  umask number 临时 (当前bash窗口有效,会随着bash的关闭一 起结束)
  vim /etc/profile /etc/login.defs # 如果修改则都为永久.
• PS: umask 知道就行, 不要调整,默认就是安全的权限.