摘要:给目录添加属性,验证普通用户是否可以删除属主为其他用户的文件当目录添加了权限后,用户只能删除在该文件下属主为自身的文件。
安全上下文
1、进程以某用户的身份运行,进程是发起此进程用户的代理,因此以此用户的身份和权限完成操作;
2、权限匹配模型:
(1) 判断进程的属主,是否为被访问的文件属主;如果是,则应用属主的权限;否则进入第2步;
(2) 判断进程的属组,是否属于被访问的文件属组;如果是,则应用属组的权限;否则进入第3步;
(3) 应用other的权限;
默认情况下,当一个用户发起一个进程去访问一个文件,那么该进程就是以发起这个进程的用户的身份运行的,同样也是以该用户的权限完成操作的。
SUID的作用:用户运行某程序时,如果此程序文件拥有SUID,那么该进程将以此文件属主的身份运行程序;
管理文件的SUID:
chmod u+|-s FILE... 展示位置:属主的执行权限位 如果属主原有执行权限,则显示为小写s; 否则,为大写S;SGID
默认情况下,用户在一个目录下创建文件的属组为用户的私有组或者基本组;
SGID的功能:用户在具有SGID目录下创建的文件或目录的属组为该目录的属组;
管理文件的SGID权限:
chmod g+|-s FILE... 展示位置:属组的执行权限位 如果属组原有执行权限,则显示为小写s; 否则,为大写S;Sticky
默认情况下,当一个目录属组具有写权限时,如果用户的属组为该目录属组,那么该用户就可以删除在该目录下的所有文件;
Sticky的功用:同组用户或系统上的所有用户在具有Sticky权限的目录下只能删除属主为自身的文件,不能删除同属组的其他文件;
管理文件的SUID权限:
chmod o+|-t FILE… 展示位置:其他用户的执行权限位 如果其他用户原本有执行权限,显示为小写t; 否则,为大写T;
系统上的/tmp和/var/tmp目录默认均有sticky权限;
管理特殊权限的另一种方式
suid sgid sticky 八进制权限 0 0 0 0 0 1 0 1 0 0 1 1 1 0 0 1 0 1 1 1 0 1 1 1 基于八进制方式赋权时,可用于默认的三位八进制数字左侧再加一位八进制数字; 例如: chmod 1777文件访问控制列表
facl: file access control lists文件的额外赋权机制:在原来的u,g,o之外,另一层让普通用户能控制赋权给另外的用户或组的赋权机制;相当于文件的一个隐藏属性。
getfacl命令查看某文件的隐藏属性
getfacl FILE…
user:USERNAME:MODE
group:GROUPNAME:MODE
setfacl命令
1、赋权给用户:
setfacl -m u:USERNAME:MODE FILE…
2、赋权给组:
setfacl -m g:GROUPNAME:MODE FILE…
3、撤销赋权:
setfacl -x u:USERNAME FILE… setfacl -x g:GROUPNAME FILE…练习
1、让普通用户能使用/tmp/cat去查看/etc/shadow文件;
(1) 将/usr/bin/cat复制到/tmp目录下 # cp /usr/bin/cat /tmp (2) 给/tmp/cat文件赋予SUID权限 # chmod u+s /tmp/cat
(3) 利用centos用户登录系统,执行/tmp/cat程序来查看/etc/shadow文件 # /tmp/cat /etc/shadown
2、创建目录/test/data,让某组内普通用户对其有写权限,且创建的所有文件的属组为目录所属的组;此外,每个用户仅能删除自己的文件;
(1) 创建目录/test/data,然后将目录的属组改为centos,并且给该目录的属组添加写权限 注:没有centos组,首先先创建centos组 # mkdir -pv /test/data # chown :centos /test/data # chmod g+w /test/data
(2) 分别创建user1, user2, user3三个用户,将centos作为三个用户的附加组 # useradd user1 # useradd user2 # useradd user3 # usermod -aG centos user1 # usermod -aG centos user2 # usermod -aG centos user3
(3) 分别切换三个用户,在/test/data/目录下创建一个文件
此时每个用户创建的文件的属主和属组都是自身的用户名;
(4) 给/test/data目录添加SGID属性,然后再执行第(4)步骤 # chmod g+s /test/data
在给该目录添加了SGID权限位后,用户在该目录下创建的文件的属组都为该目录的属组;此时因为该目录具有写权限权限,而且三个用户的附加组都为该目录的属组。所以,此时,对于这三个用户中的任意用户,甚至是说,附加组或基本组为该目录的属组的用户,对于该目录下的所有文件都可以进行删除。
(5) 给/test/data目录添加Sticky属性,验证普通用户是否可以删除属主为其他用户的文件 # chmod o+t /test/data
当目录添加了Sticky权限后,用户只能删除在该文件下属主为自身的文件。
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/33497.html
一、前言昨天一个朋友问:我的工作只有vue、react,了解其他的好像没有太大作用。其实不然,前端要考虑的内容其实很多,不光是完成业务代码。我司的一个控制台前端维护人数在20+,如果每个人都在一个项目中开发,那么每天就等着构建了,不仅容易出错,而且浪费时间,这对于线上项目是不可容忍的。前端项目有大有小,这里假设我们面对的是一个相对复杂的中台系统,那么要考虑的东西是很多的。下面我列举了大部分,如果有...
背景 在项目中要求在后台系统控制管理权限。在之前做过的后台管理系统权限控制是用Vue,这样的话就可以用路由钩子里做权限比对和拦截处理。但这次我们说的是在一个后台系统需要加入权限管理控制,技术栈是React。现在我们就看看实现过程吧。 原代码基于 react 16.x、dva 2.4.1 实现,所以本文是参考了ant-design-pro v1内部对权限管理的实现 所谓的权限控制是什么?...
摘要:但是,在使用命令时如果加上特殊权限位,就可让普通用户临时获得程序所有者的身份,把变更的密码信息写入到文件中。当用户在终端运行任何命令时,它向发出请求,在环境变量的帮助下搜索可执行文件以响应用户执行的命令。 ...
摘要:今天这篇文章,我们会介绍几种常见的方法和其中存在的问题,并提出如何基于请求拦截,快速解决跨域和代理问题的方案。因为没有修改该请求,只是延迟发送,这样就保持了原请求与业务服务器之间的所有鉴权等相关信息,由此解决了跨域访问无法携带的问题。 近几年,随着 Web 开发逐渐成熟,前后端分离的架构设计越来越被众多开发者认可,使得前端和后端可以专注各自的职能,降低沟通成本,提高开发效率。 在前后端...
在平时的撰写Python脚本制作的过程当中,我们通常需要根据查询参数传到某些自变量基本参数,使新项目应用更加灵便便捷。本文列举了搭建Python查询参数的4种普遍方法,所需要的可以了解一下小伙伴们好,在平时的撰写Python脚本制作的过程当中,我们通常需要根据查询参数传到某些自变量基本参数,使新项目应用更加灵便便捷 本文我们将列举出搭建Python查询参数的4种普遍方法 分别是: 内嵌s...
阅读 1705·2021-11-23 09:51
阅读 585·2021-11-19 09:40
阅读 657·2021-10-27 14:20
阅读 4451·2021-10-09 09:52
阅读 3080·2021-10-09 09:44
阅读 1496·2021-10-08 10:05
阅读 4251·2021-09-09 11:47
阅读 3331·2019-08-30 12:47
