特殊权限

文件特殊权限

一、SUID（4）

SUID：当s这个标志出现在文件所有者的x权限上时，就被称作SUID。
SUID的功能和限制：1、仅仅对二进制程序有效； 
2、执行者对程序需要X的执行权限； 
3、本权限仅仅在执行该程序的过程中有效； 
4、执行者将具有该程序所有者的权限。 
5、SUID仅仅可以用在二进制程序上，不能用在shell脚本上，不能设置在目录上面 
6、若原来的权限有X执行权限，则是s权限，没有X执行权限则是S权限。

[root@localhost ~]# ll /bin/vi
-rwxr-xr-x. 1 root root 907248 Jul 23  2015 /bin/vi
[root@localhost ~]# chmod u+s /bin/vi 
[root@localhost ~]# ll /bin/vi
-rwsr-xr-x. 1 root root 907248 Jul 23  2015 /bin/vi


[root@localhost ~]# ll  /bin/vi
----r-xr-x. 1 root root 907248 Jul 23  2015 /bin/vi
[root@localhost ~]# chmod u+s /bin/vi
[root@localhost ~]# ll /bin/vi
---Sr-xr-x. 1 root root 907248 Jul 23  2015 /bin/vi

二、SGID（2）

SGID：当s这个标志出现在文件所属组的x权限上时，就被称作SGID。 
SGID的权限和功能：SGID对目录和二进制程序都有效 ，有来所属组有x权限是则是s，没有x权限则是S。 
1）当使用在二进制程序时 
1.程序执行者来说对该程序来说，具备x权限 2.执行者在执行过程中将会收获得该程序用户组的支持，
2）当使用在目录上面的时 1.用户若对与此目录具有rx全显示能够进入 2.用户在此目录下的有效用户组将变成该目录的用户组 
3.若用户在此目录下具有w权限，则用户在此目录下创建文件的用户组与此目录一样。

root@localhost mail]# chmod 2770 /tmp/testdir/
[root@localhost mail]# ll /tmp/testdir/ -d
drwxrws---. 2 gentoo gentoo 4096 Aug  3 09:17 /tmp/testdir/
[root@localhost mail]# su - gentoo
[gentoo@localhost ~]$ cd /tmp/testdir/
[root@localhost mail]# su - redhat
[redhat@localhost ~]$ cd /tmp/testdir/
[redhat@localhost testdir]$ touch 1.txt

三、SBIT（1）

SBIT只对目录有效，对文件没有效果。若原来的其他人有x权限则为s，没有x权限则为S。 
对目录的效果有： 
1.当用户对此目录具有w、x权限，即具有写入权限时；
2.当用户在该目录下创建文件或者目录，仅有自己和root才有权利修改该文件。 
3.配合SGID一起使用时，在目录所属组的用户只能修改该文件，不能删除该文件。

SUID为4，SGID为2，SBIT为1.

四、umask

为什么我们创建文件或者目录时，权限会不同了。就是因为这个umask影响的。

[root@localhost mail]# umask
0022

在linux系统上，系统默认文件是存储数据地方，所以不需要执行权限。因此最大权限为rw-rw-rw-（666），若是目录因为x权限影响用户是否能进入该目录，所以默认为rwxrwxrwx（777）。那为什么新创建的文件和目录不是666和777呢？

这就是因为umask存在，刚刚执行umask命令可以看见当前系统的umask为0022，最前面的0指的是特殊权限，暂时不考虑。那这时候

新建文件就为：（rw-rw-rw-）-（—-w–w-）==>rw-r–r—

[root@localhost ~]#  touch 1.txtr
[root@localhost ~]# ll
total 20
-rw-r--r--. 1 root root    0 Aug  3 09:35 1.txtr

和我们上面算的一样。

新建目录：（rwxrwxrwx）-（—-w–w-）==>rwxr-xr-x

[root@localhost ~]# mkdir testdir
[root@localhost ~]# ll
drwxr-xr-x. 2 root root 4096 Aug  3 09:36 testdir

ACL(Access Control List实现灵活的权限管理)

主要目的：是提供传统的owner、group、other的r、w、x权限之外的具体权限。 
除了文件的所有者，所属组和其它人，可以对更多的用户设置权限。ACL可以针对单一用户、单一文件或目录进行r、w、x的权限设置，对需要特殊权限的使用情况非常有帮助。 
主要针对以下项目： 
用户(user):可以针对用户来设置权限； 
用户组（group）：针对用户组来设置其权限； 
默认属性（mask）：在该目录下新建文件/目录时设置新数据的默认权限。 
CentOS7.0默认创建的xfs和ext4文件系统有ACL功能。 CentOS7.X之前版本，默认手工创建的ext4文件系统无ACL 功能。需手动增加: 
tune2fs –o acl /dev/sdb1 
mount –o acl /dev/sdb1 /mnt

ACL设置方式：

就两个命令： 
setfacl 设置ACL权限 
getfacl 查看ACL权限

setfacl

-b,--remove-all：删除所有扩展的acl规则，基本的acl规则(所有者，群组，其他）将被保留。 
-k,--remove-default：删除缺省的acl规则。如果没有缺省规则，将不提示。 
-n，--no-mask：不要重新计算有效权限。setfacl默认会重新计算ACL mask，除非mask被明确的制定。 
--mask：重新计算有效权限，即使ACL mask被明确指定。 
-d，--default：设定默认的acl规则。 
--restore=file：从文件恢复备份的acl规则（这些文件可由getfacl -R产生）。通过这种机制可以恢复整个目录树的acl规则。此参数不能和除--test以外的任何参数一同执行。 
--test：测试模式，不会改变任何文件的acl规则，操作后的acl规格将被列出。 
-R，--recursive：递归的对所有文件及目录进行操作。

设置规则 setfacl命令可以识别以下的规则格式： [d[efault]:] [u[ser]:]uid [:perms] 指定用户的权限，文件所有者的权限（如果uid没有指定）。 [d[efault]:] g[roup]:gid [:perms] 指定群组的权限，文件所有群组的权限（如果gid未指定） [d[efault]:] m[ask][:] [:perms] 有效权限掩码 [d[efault]:] o[ther] [:perms] 其他的权限

例子：

[root@localhost ~]# getfacl ./test.txt # file: test.txt 
# owner: root
# group: admin 
user::rw- 
user:john:rw- 
group::rw- 
group:dev:r-- 
mask::rw- 
other::r--

MASK和Effective 权限

如果文件有ACL_MASK值，那么当中那个rw-代表的就是mask值而不再是group 权限了。 
让我们来看下面这个例子：

[root@localhost ~]# ls -l 
-rwxrw-r-- 1 root admin 0 Jul 3 23:10 test.sh

[root@localhost ~]# ls -l 
-rwxrwxr--+ 1 root admin 0 Jul 3 23:10 test.sh

那么如果现在admin组的用户想要执行test.sh的程序会发生什么情况呢？它会被拒绝。原因在于实际上admin组的用户只有rw权限，这里当中显示的rwx是ACMASK的值而不是group的权限。 所以从这里我们就可以知道，如果一个文件后面有+标记，我们都需要用getfacl来确认它的权限，以免发生混淆。 下面我们看一个例子，假如现在我们设置test.sh的mask为r，那么admin组的用户还会有w权限吗？

[root@localhost ~]# setfacl -m mask::r-- ./test.sh 
[root@localhost ~]# getfacl  ./test.sh 
user::rwx 
user:john:rwx  
group::rw- #effective:r-- 
mask::r-- 
other::r--

Default ACL

Default ACL是指对于一个目录进行Default ACL设置，并且在此目录下建立的文件都将继承此目录的ACL。 同样我们来做一个试验说明，比如现在root用户建立了一个dir目录：

[root@localhost ~]# mkdir dir

他希望所有在此目录下建立的文件都可以被john用户所访问，那么我们就应该对dir目录设置Default ACL。

 [root@localhost ~]# setfacl -d -m user:john:rw ./dir [root@localhost ~]# getfacl  ./dir 
    user::rwx 
    group::rwx 
    other::r-x 
    default:user::rwx 
    default:user:john:rwx 
    default:group::rwx 
    default:mask::rwx

default: other::r-x 这里我们可以看到ACL定义了default选项，john用户拥有了default的rwx。所有没有定义的default都将从这里copy过来，现在root用户在dir下建立一个test.txt文件。

[root@localhost ~]# touch ./dir/test.txt
[root@localhost ~]# ls -l ./dir/test.txt 
-rw-rw-r--+ 1 root root 0 Jul 3 23:46 ./dir/test.txt
[root@localhost ~]# getfacl - ./dir/test.txt 
user::rw- user:john:rw- 
group::rwx #effective:rw- 
mask::rw- 
other::r--

这里我们看到在dir下建立的文件john用户自动就有了rwx权限

关于umask和mask 的区别

umask 是目前用户在新建文件或者目录时候的权限的默认值，他影响的owner、group、other三者的普通权限。而且是用最大权限去减去umask得到文件或者目录的权限。 
mask 是ACL权限中group的最大控制权限，任何group 成员的权限不能超过 mask权限，超过的权限没有效应。 
两者都是设置后默认生效，不影响创建的文件。都是我们进行权限管理过程中的有效方式。