特殊权限&&文件系统访问控制列表

安全上下文

1、进程以某用户的身份运行，进程是发起此进程用户的代理，因此以此用户的身份和权限完成操作；

2、权限匹配模型：
(1) 判断进程的属主，是否为被访问的文件属主；如果是，则应用属主的权限；否则进入第2步；
(2) 判断进程的属组，是否属于被访问的文件属组；如果是，则应用属组的权限；否则进入第3步；
(3) 应用other的权限；

SUID

默认情况下，当一个用户发起一个进程去访问一个文件，那么该进程就是以发起这个进程的用户的身份运行的，同样也是以该用户的权限完成操作的。

SUID的作用：用户运行某程序时，如果此程序文件拥有SUID，那么该进程将以此文件属主的身份运行程序；

管理文件的SUID：

chmod u+|-s FILE...
展示位置：属主的执行权限位
如果属主原有执行权限，则显示为小写s；
否则，为大写S；

SGID

默认情况下，用户在一个目录下创建文件的属组为用户的私有组或者基本组；
SGID的功能：用户在具有SGID目录下创建的文件或目录的属组为该目录的属组；

管理文件的SGID权限：

chmod g+|-s FILE...
展示位置：属组的执行权限位
如果属组原有执行权限，则显示为小写s；
否则，为大写S；

Sticky

默认情况下，当一个目录属组具有写权限时，如果用户的属组为该目录属组，那么该用户就可以删除在该目录下的所有文件；

Sticky的功用：同组用户或系统上的所有用户在具有Sticky权限的目录下只能删除属主为自身的文件，不能删除同属组的其他文件；

管理文件的SUID权限：

chmod o+|-t FILE…
展示位置：其他用户的执行权限位
如果其他用户原本有执行权限，显示为小写t；
否则，为大写T；

系统上的/tmp和/var/tmp目录默认均有sticky权限；

管理特殊权限的另一种方式

suid   sgid      sticky    八进制权限
0        0        0
0        0        1
0        1        0
0        1        1
1        0        0
1        0        1
1        1        0
1        1        1
基于八进制方式赋权时，可用于默认的三位八进制数字左侧再加一位八进制数字；
例如: chmod 1777

文件访问控制列表

facl: file access control lists文件的额外赋权机制：在原来的u,g,o之外，另一层让普通用户能控制赋权给另外的用户或组的赋权机制；相当于文件的一个隐藏属性。

getfacl命令

查看某文件的隐藏属性

getfacl FILE…
    user:USERNAME:MODE
    group:GROUPNAME:MODE

setfacl命令

1、赋权给用户：

setfacl -m u:USERNAME:MODE FILE…

2、赋权给组：

setfacl -m g:GROUPNAME:MODE FILE…

3、撤销赋权：

setfacl -x u:USERNAME FILE…
setfacl -x g:GROUPNAME FILE…

练习

1、让普通用户能使用/tmp/cat去查看/etc/shadow文件；

(1) 将/usr/bin/cat复制到/tmp目录下
# cp /usr/bin/cat /tmp
(2) 给/tmp/cat文件赋予SUID权限
# chmod u+s /tmp/cat

(3) 利用centos用户登录系统，执行/tmp/cat程序来查看/etc/shadow文件
# /tmp/cat /etc/shadown

2、创建目录/test/data，让某组内普通用户对其有写权限，且创建的所有文件的属组为目录所属的组；此外，每个用户仅能删除自己的文件；

(1) 创建目录/test/data，然后将目录的属组改为centos，并且给该目录的属组添加写权限 注：没有centos组，首先先创建centos组
# mkdir -pv /test/data
# chown :centos /test/data
# chmod g+w /test/data

(2) 分别创建user1, user2, user3三个用户，将centos作为三个用户的附加组
# useradd user1
# useradd user2
# useradd user3
# usermod -aG centos user1
# usermod -aG centos user2
# usermod -aG centos user3

(3) 分别切换三个用户，在/test/data/目录下创建一个文件

此时每个用户创建的文件的属主和属组都是自身的用户名；

(4) 给/test/data目录添加SGID属性，然后再执行第(4)步骤
# chmod g+s /test/data

在给该目录添加了SGID权限位后，用户在该目录下创建的文件的属组都为该目录的属组；此时因为该目录具有写权限权限，而且三个用户的附加组都为该目录的属组。所以，此时，对于这三个用户中的任意用户，甚至是说，附加组或基本组为该目录的属组的用户，对于该目录下的所有文件都可以进行删除。

(5) 给/test/data目录添加Sticky属性，验证普通用户是否可以删除属主为其他用户的文件
# chmod o+t /test/data

当目录添加了Sticky权限后，用户只能删除在该文件下属主为自身的文件。