好程序員云計算學習路線之高級權限

好程序員云計算學習路線之高級權限，suid,sgid,sticky
文件權限管理之：高級權限

問題1： 為什么會失敗！
[root@tianyun ~]# ll /root/file1.txt
-rw-r--r-- 1 root root 4 7月 27 14:14 /root/file1.txt
[alice@tianyun ~]$ cat /root/file1.txt 分層驗證看，ll-d / ll-d /root （root禁地進不去）
cat: /root/file1.txt: 權限不夠

分析：
root /usr/bin/cat (root) （進程所有者） /root/file1.txt OK
alice /usr/bin/cat (alice) /root/file1.txt

普通用戶修改密碼：
alice /usr/bin/passwd (root) /etc/shadow

高級權限的類型
suid 4
sgid 2
sticky 1 粘滯位

設置特殊權限
a、字符
chmod u+s file
chmod g+s file
chmod g+s dir
chmod o+t dir

b、數字
chmod 4777 file
chmod 7777 file
chmod 2770 dir
chmod 3770 dir

示例1：suid 普通用戶通過suid提權 <針對文件>
在進程文件（二進制，可執行）上增加suid權限
[root@tianyun ~]# chmod u+s /usr/bin/cat
[root@tianyun ~]# chmod u+s /usr/bin/rm
[alice@tianyun ~]$ cat /root/file1.txt

普通用戶可以修改密碼：
alice /usr/bin/passwd /etc/shadow

[alice@tianyun ~]$ ll /etc/shadow
---------- 1 root root 1487 6月 4 13:43 /etc/shadow

[alice@tianyun ~]$ ll /usr/bin/passwd
-rwsr-xr-x. 1 root root 30768 2月 17 2012 /usr/bin/passwd

[alice@tianyun ~]$ passwd
更改用戶 alice 的密碼 。
為 alice 更改 STRESS 密碼。
（當前）UNIX 密碼：

[root@tianyun ~]# ps aux |grep passwd
root 3674 0.0 0.0 165764 1884 pts/1 S+ 14:34 0:00 passwd

-rwsr-xr-x. 1 root root 27832 Jun 10 2014 /usr/bin/passwd
無論任何人都已ROOT用戶執行 這 就是SUID

目前兩種給普通用戶提權手段：

sudo: 了解，有針對性，例如針對某個用戶以能夠以root的身份執行某些命令。

ll /usr/bin/passwd
suid: 基本針對所有用戶，任何用戶在執行有suid權限的程序時（例如/usr/bin/rm），都是以root身份在執行。

示例2：sticky 用戶只能刪除自己的文件 <針對目錄>
[root@tianyun ~]# mkdir /home/dir1
[root@tianyun ~]# chmod 777 /home/dir1
測試：user1在/home/dir1建立文件, user2嘗試刪除！

[root@tianyun ~]# chmod o+t /home/dir1
[root@tianyun ~]# ll -d /home/dir1
rwxrwxrwt 2 root root 4096 09-02 02:26 /home/dir1
誰可以刪除：
root
文件的所有者
目錄的所有者

示例3：sgid 新建文件繼承目錄屬組 <針對目錄>
[root@tianyun ~]# mkdir /home/hr
[root@tianyun ~]# chgrp hr /home/hr/
[root@tianyun ~]# chmod g+s /home/hr
[root@tianyun ~]# ll -d /home/hr/
drwxr-sr-x. 2 root hr 4096 Dec 5 16:03 /home/hr/

[root@tianyun ~]# touch /home/hr/file9
[root@tianyun ~]# ll /home/hr/
-rw-r--r--. 1 root hr 0 Dec 5 16:03 file9

=================================================================
小知識：注意以下目錄的正確權限，否則會導致程序不能正常運行
[root@wangcy ~]# ll -d /tmp /var/tmp/
drwxrwxrwt 14 root root 4096 07-26 10:15 /tmp
drwxrwxrwt 2 root root 4096 07-24 19:02 /var/tmp/

拓展

網卡配置文件
[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
TYPE=Ethernet
BOOTPROTO=none|static|dhcp ------設置ip獲取方式
HWADDR=00:0c:29:5e:13:12
NM_CONTROLLED=no ----是否開啟NetworkManager
ONBOOT=yes|no ----------網卡是否激活
IPADDR=172.16.110.1
NETMASK=255.255.255.0
GATEWAY=172.16.110.254