2018-1-13Linux基礎知識(21)特殊權限

  在前一章當中咱們講述了文件的查找命令，分別是locate和find命令，兩者的區別很大，前者依賴於索引數據庫，查找速度很快，模糊性匹配，意思是隻要該路徑中符合查找字段，其結果也會顯示，後者則是實時性的查找工具，且並不依賴於索引數據庫，只不過查找速度與前者相比略慢一些，並且查找精確。那麼在這一章當中，咱們來說述Linux上的特殊權限。

1、特殊權限

  咱們首先查看一下passwd命令。

   # ls -l /bin/passwd
   -rwsr-xr-x. 1 root root 27832 Jun 10  2014 /bin/passwd

  再看一下/tmp命令。

   # ll -d /tmp/
   drwxrwxrwt. 13 root root 4096 Jan 13 15:44 /tmp/

  以上前幾個字段和咱們以前所看到的權限位的字符有些不一樣，那麼以上咱們所看到的就是特殊權限，咱們以前看到的不管是屬主仍是屬組以及其它人，都是由rwx組成的，那麼如今看到的是由特殊權限組成的。
  特殊權限一共有三個：SUID、SGID和STICKY。咱們以前講過安全上下文的概念，一個進程是否能夠訪問該文件，取決於用戶的發起者是否有該權限來進行訪問的應用機制，而應用機制是首先去判斷該用戶的發起者是否是屬於該文件的屬主，若是是就應用屬主的權限；不然，就去檢查該用戶的發起者是否是屬於該文件的屬組，若是是則應用屬主的權限；不然，該用戶的發起者既不是屬主也不是屬組主，則就應用於其它人的權限。

   特殊權限：SUID, SGID, STICKY

   安全上下文：
     一、進程以某個用戶的身份運行；進程是發起此進程用戶的代理，所以以此用戶的身份和權限完成全部操做；
     二、權限匹配類型：
         (1) 判斷進程的屬主，是否被訪問的文件屬主；若是是，則應用屬主的權限；不然就進入第二步；
         (2) 判斷進程的屬主，是否屬於被訪問的文件屬組；若是是，則應用屬組的權限；不然進入第三步；
         (3) 應用other權限；

  可是，發起該命令的用戶是否可以發起該命令，這要取決於該命令的文件是否該有用戶的執行權限；
  以上就是正常的匹配模型，那麼如今咱們就介紹其特殊模型。

1.1 SUID

  咱們查看一個命令文件，例如爲ls命令文件。

   # ls -l /bin/ls
   -rwxr-xr-x. 1 root root 117656 Nov  6  2016 /bin/ls

  若是是以一個普通用戶的身份去運行該命令的話，能夠看出，則執行的是其餘人的權限，不過被某個用戶啓動以後，該進程的屬主就是當前用戶。由此進行總結爲：

   默認的狀況下：用戶發起的進程，進程的屬主是其發起者；所以，其以發起者的身份運行；

  可是，若是擁有SUID權限的文件，這個用戶的運行者身份，並非該發起者，而是變成了該文件的屬主；因此，咱們來總結它的功能做用。

   SUID的功用：用戶運行某程序時，若是此用戶擁有SUID權限，那麼程序運行爲進程時，進程的屬主不是發起者，而是文件本身的屬主；

  須要注意的是，除了passwd等命令之外，全部命令若是都加上該特殊權限的話，都會有意想不到的後果，例如：cat或vim等，若是加上特殊權限，則敏感文件均可以進行查看及編輯。
那麼管理文件的SUID權限命令的格式以下：

   chmod u+|-s FILE...

  那麼對此它的顯示方式以及其特性在這裏咱們來總結一下：

   顯示位置：屬主的執行權限位；
       若是屬主本來有執行權限，顯示爲小寫s；
       不然，顯示爲大寫S；

1.2 SGID

  SGID最多見的用法在修改目錄的屬組權限上，一般應用在目錄上，任何在此目錄下建立文件的用戶，在該目錄下，不管是目錄及文件，其屬組不會是該用戶的基本組，而是這個目錄的基本組。
  操做試題：

   一、在/tmp目錄中建立目錄爲test；
   二、新建用戶：centos、fedora、gentoo、archlinux；
   三、新建組爲mygrp，講以上新建的用戶附加到這個組中；
   四、將tests的屬組改成mygrp；
   五、將該目錄加上SGID，使用建立的用戶建立a, b, c, d這四個文件，每一個文件的後面都跟上本身的用戶名；

  這樣作的結果是，但凡該用戶是該目錄的屬組，那麼是這個屬組a用戶建立的該文件，屬組b用戶也能夠更改，須要注意的是，只能是同一個組內能夠修改編輯，組之外或其它人無權修改。
  好的，以上這就是SGID的介紹及功能特性，那麼咱們來總結一下SGID的功能做用：

   SGID：
     功用：當目錄屬組有寫權限，且有SGID權限時，那麼全部屬於此目錄的屬組，且以屬組身份再次目錄中新建文件或目錄時，新文件的屬組不是用戶的基本組，而是此目錄的屬組；

  那麼管理文件的SGID權限命令格式以下：

   chmod g+|-s FILE...

  那麼對此它的顯示方式以及特性總結以下：

   顯示位置：屬組的執行權限位；
       若是屬組本來有執行權限，顯示爲小寫t；
       不然，則爲大寫T；

1.三、STICKY

  以上的擁有SGID的用戶，或者說附加該組的既能夠該本身的文件，又能夠該其餘人的文件，但即便能更改，同時也能夠刪除，由於該目錄屬組的有寫權限的話，該目錄下面的全部文件均可以刪除，不論是否爲該用戶創立，只要擁有屬組的權限，則能夠進行修改並刪除，爲了不這樣的操做，就有了Sticky的權限。
  只要某個目錄擁有了該Sticky權限，在組內的任何人建立的文件，除了本身能夠刪除，其餘人則刪除不了。那麼咱們總結一下SGID的功能其做用。

   Sticky：
     功用：對於屬組或全局可寫的目錄，組內的全部用戶或系統上的全部用戶對在此目錄中都能建立新文件或刪除已有的文件；若是爲此類目錄設置爲Sticky權限，則每一個用戶都能建立新文件，且只能刪除本身的新文件；

  管理文件的Sticky權限命令格式以下：

   chmod o+|-t FILE...

  對此，它的顯示方式以及功能特性總結以下：

   顯示位置：屬組的執行權限位；
       若是屬組本來有執行權限，顯示爲小寫t；
       不然，顯示爲大寫T；

  須要注意的是，系統上的/tmp和/var/tmp目錄默認均有sticky權限。
  操做試題：

   一、在以上的SGID的題目中，往test目錄中設置Sticky，看看有什麼結果發生。

2、管理特殊權限的另外一種方式

  所謂的另外一種特殊權限的方式爲以數字來進行表示，和以前權限複製要差很少，suid、sgid和sticky，有恰好組成三位一組，示例以下：

   suid sgid Sticky  八進制權限
    0   0   0         0
    0   0   1         1
    0   1   0         2
    0   1   1         3
    1   0   0         4
    1   0   1         5
    1   1   0         6
    1   1   1         7

  那麼咱們能夠用以上的八進制的權限位來進行表示，好比：

   # chmod 1777

  這表示那個1爲特殊權限，777屬於正常權限，至關於賦予Sticky權限，由於該權限顯示在執行權限位。
  因此，基於八進制方式賦權時，可於默認的三位八進制數字左側再加一位八進制數字便可。

3、facl

  facl的名稱爲訪問權限控制列表，每個用戶都沒辦法修改該文件的屬主屬組，做爲一個普通用戶，想讓某一個用戶對該文件擁有寫權限時，正常來講只能修改other權限，可是這是很是危險的操做，由於該用戶可讀寫，說明其餘的用戶也能夠讀寫，那麼facl的做用在因而一個額外新增的權限機制，在原有的權限以內，能夠額外賦權機制。

   文件的額外賦權機制：
       在原有的u, g, o以外，另外一層讓普通用戶能控制給另外的用戶或組的賦權機制；

  getfacl命令是查看該文件中是否有額外權限，命令格式以下：

   getfacl命令：
       getfacl FILE...
          user:USERNAME:MODE
          group:GROUPNAME:MODE

  setfacl命令爲賦予額外權限給用戶或組，如何進行賦權及撤銷的使用方法及命令格式以下：

   setfacl命令：
       賦權給用戶：
          setfacl -m u:USERNAME:MODE FILE...
       賦權給組：
          setfacl -m g:GROUPNAME:MODE FILE...
    
       撤銷賦權：
          setfacl -x u:USERNAME FILE...
          setfacl -x g:GROUPNAME FILE...

  不過，一旦有了該訪問控制列表以後，那麼其權限模型就會改變，那麼對於新的安全上下文咱們來總結一下：

   總結新的安全上下文：
     用戶發的命令進程去訪問該文件時，首先檢查該進程是否爲文件的屬主，若是是，則應用屬主權限，不然就檢查額外專門給這個用戶的訪問控制列表，若是有該權限，則應用特殊的訪問控制列表權限；
    
     若是不是，則檢查該進程的屬主是否爲該文件的屬組，若是是，則應用屬組權限；不是，則檢查該用戶組是否爲訪問控制列表的權限，若是有該權限則應用訪問控制列表中的權限。
    
     不是則爲other。