- 2.18 特殊权限set_uid
- 2.19 特殊权限set_gid
- 2.20 特殊权限stick_bit
- 2.21 软链接文件
- 2.22 硬连接文件
特殊权限set_uid(s权限用户user权限)
[[email protected]_1 ~]# ls -l /usr/bin/passwd
-rwsr-xr-x. 1 root root 27832 6月 10 2014 /usr/bin/passwd
权限中的s 就是特殊权限 set_uid
psswd 命令支持普通用户改自己的密码
[[email protected]_1 ~]# ls /etc/shadow
/etc/shadow
[[email protected]_1 ~]# ls -l !$
ls -l /etc/shadow
---------- 1 root root 642 11月 20 20:50 /etc/shadow
/etc/shadow 是没有权限的
psswd有set_uid权限,当普通用户执行passwd的时候临时有root身份的权限;
给文件设置set_uid前提文件是二进制可执行文件
切换用户
[[email protected]_1 ~]# su - xiaobo
[[email protected]_1 ~]$
给ls设置set_uid权限(s权限):
root用户下
chmod u+s /usr/bin/ls
ls -l /usr/bin/ls
[[email protected]_1 xiaobo]# ls -l /usr/bin/ls
-rwxr-xr-x. 1 root root 117656 11月 6 2016 /usr/bin/ls
[[email protected]_1 xiaobo]# chmod u+s /usr/bin/ls
[[email protected]_1 xiaobo]# ls -l !$
ls -l /usr/bin/ls
-rwSr-xr-x. 1 root root 117656 11月 6 2016 /usr/bin/ls
现在ls有s权限了
切换到xiaobo用户
su - xiaobo
ls /root
[[email protected]_1 ~]# su - xiaobo
上一次登录:一 11月 20 23:04:33 CST 2017pts/0 上
[[email protected]_1 ~]$ whoami
xiaobo
在没有给ls设置s权限之前,普通用户是不能查看root用户下面的文件的
[[email protected]_1 ~]$ ls /root
ls: 无法打开目录/root: 权限不够
给ls设置s权限后是可以临时查看root用户下的文件:
[[email protected]_1 ~]$ ls /root
11 anaconda-ks.cfg.1
[[email protected]_1 ~]$ ls -l /usr/bin/ls
-rwSr-xr-x. 1 root root 117656 11月 6 2016 /usr/bin/ls
取消set_uid(s)权限:
chmod u-s /usr/bin/ls
[email protected]_1 xiaobo]# chmod u-s !$ (其中!$的意思是上一次的路径,这里为了方面而省略)
chmod u-s /usr/bin/ls
[[email protected]_1 xiaobo]# ls -l !$
ls -l /usr/bin/ls
-rw-r-xr-x. 1 root root 117656 11月 6 2016 /usr/bin/ls
如果没有x执行权限就是大写的S
-rwSr-xr-x. 1 root root 117656 11月 6 2016 /usr/bin/ls
如果有x权限就是小写的s
-rwsr-xr-x. 1 root root 117656 11月 6 2016 /usr/bin/ls
其实有没有x权限效果都是一样的,因为s权限包含x权限。
s权限也是能给目录设置权限的,但是没有意义。
特殊权限set_gid(group所属主权限g)
给ls设置g权限
[[email protected]_1 xiaobo]# chmod g+s /usr/bin/ls
[[email protected]_1 xiaobo]# ls -l !$
ls -l /usr/bin/ls
-rwxr-sr-x. 1 root root 117656 11月 6 2016 /usr/bin/ls
set_gid跟set_uid权限是一样的,只不过换了一个角色,这里s权限的位置放到了所属组。
这样普通用户临时有了所属主的身份。
这样xiaobo用户也可以查看root目录下的内容了。
[[email protected]_1 ~]$ ls -ld /root/
dr-xr-x---. 4 root root 175 11月 20 22:21 /root/
给目录设置set_gid权限:
[[email protected]_1 ~]# chmod g+s 234
[[email protected]_1 ~]# ls -ld 234
drwxr-sr-x 2 root root 6 11月 20 23:45 234
更改目录234的所属组:
chown :xiaobo 234
[[email protected]_1 ~]# chgrp xiaobo 234
[[email protected]_1 ~]# ls -ld 234
drwxrwsr-x 2 root xiaobo 6 11月 20 23:49 234
在234目录下创建文件和目录之后,所属组跟目录保持一致都是xiaobo
[[email protected]_1 ~]# touch 234/file
[[email protected]_1 ~]# mkdir 234/xiaobo
[[email protected]_1 ~]# ls -l 234/
总用量 0
-rw-r--r-- 1 root xiaobo 0 11月 20 23:52 file
drwxr-sr-x 2 root xiaobo 6 11月 20 23:57 xiaobo
取消234目录set_gid权限后,在目录下创建文件,文件所属组变回root
[[email protected]_1 ~]# chmod g-s 234/
[[email protected]_1 ~]# touch 234/xiao
[[email protected]_1 ~]# ls -l 234/
-rw-r--r-- 1 root root 0 11月 21 00:00 xiao
总结:
set_gid 不仅作用在文件上,也作用在目录上。
作用在文件上跟set_uid作用一样,让普通用户临时拥有所属组的身份的权限。
当作用在目录上,在目录下创建的子目录和文件的所属组跟该目录的所属组一样。
特殊权限stick_bit(防删除位)
权限位中有一个t权限 就是tick_bit权限(防删除位t)
777权限。
t权限:谁的文件谁做主;
靠父级目录决定。
用户xiaobo 在 /tmp/下创建myfile文件
[[email protected]_1 tmp]$ touch myfile
[[email protected]_1 tmp]$ vi myfile
[[email protected]_1 tmp]$ chmod 777 myfile
[[email protected]_1 tmp]$ ls -l myfile
-rwxrwxrwx 1 xiaobo xiaobo 25 11月 21 01:27 myfile
用户user1可以编辑/tmp/下的myfile但是不能删除:
[[email protected]_1 tmp]$ vi myfile
[[email protected]_1 tmp]$ rm -rf myfile
rm: 无法删除"myfile": 不允许的操作
这是因为 myfile 中t权限依赖于父级目录/tmp/决定
总结:
stick_bit 作用是防止别人删除自己的文件,但是root用户可以删除。
user1用户在/tmp/下创建目录user1
[[email protected]_1 tmp]$ mkdir user1
[[email protected]_1 tmp]$ chmod 777 user1/
[[email protected]_1 tmp]$ ls -ld user1/
drwxrwxrwx 2 user1 user1 6 11月 21 01:34 user1/
touch user1/1
mkdir user1/11
因为user1目录没有写权限位t,所有user1目录下的文件都可以删除修改。
软链接
ls -l /lib64/下面有很多类似的软链接文件,两者是相互依赖的,是一个文件。
lrwxrwxrwx. 1 root root 13 11月 9 15:58 p11-kit-trust.so -> libnssckbi.so
创建一个软链接:左边是一个原文件,右边是链接文件
[[email protected]_1 ~]# ln -s /tmp/yum.log /root/234/lianjie
查看创建的软链接
[[email protected]_1 ~]# ls -l !$
[[email protected]_1 ~]# ls -l 234/lianjie
lrwxrwxrwx 1 root root 12 11月 21 01:59 234/lianjie -> /tmp/yum.log
软链接闪烁,说明链接的文件不存在
lrwxrwxrwx 1 root root 12 11月 21 02:14 yum.log -> /tmp/yum.log
可以touch 创建一个yum.log
上面的都是绝对路径,那么相对路径是在当前目录下创建软连接:
[[email protected]_1 tmp]# ln -s 1.txt 11.txt
[[email protected]_1 tmp]# ls -l
lrwxrwxrwx 1 root root 5 11月 21 02:08 11.txt -> 1.txt
使用相对路径创建软链接是有弊端的,当拷贝到其他机器上去,文件就链接不到了。所以不建议使用相对路径。
工作实例:
当 /boot/分区下有一个xiaobo.log文件,文件不断的写日志,快把boot分填满了,这时候可以做一个软链接,
将/boot/xiaobo.log链接到/根目录下
这样操作:
1.先拷贝一份/boot/xiaobo.log到根目录下:cp /boot/xiaobo.log /xiaobo.log
2.删除/boot/下的xiaobo.log : rm -f /boot/xiaobo.log
3.赶快做一个软链接到跟目录: ln -s /xiaobo.log /boot/xiaobo.log
这样就是可以了。左边是实际存在的原文件,右边是不存在的链接文件。
链接路径是/boot/xiaobo.log ,实际写入的路径是/xiaobo.log
总结:
软链接就是一个快捷方式,不仅可以链接文件,也可以链接目录,更可以跨分区链接。
硬链接
硬链接只支持对文件做,不支持对目录做硬链接;
-rw-------. 1 xiaobo xiaobo 3360 11月 17 08:43 anaconda-ks.cfg.1
其中的1表示inode号,表示没有相同的文件使用inode号(inode作用:记录文件的属性)
drwxr-xr-x 2 root root 6 11月 21 04:46 test
对于目录,2表示有两个文件使用了inode号,就是目录下的.和..
[[email protected]_1 ~]# ls -la test/
总用量 0
drwxr-xr-x 2 root root 6 11月 21 04:46 .
dr-xr-x---. 5 root root 201 11月 21 04:46 ..
给文件做一个硬链接:文件大小、时间、inode号跟原文件一样(就是有两个文件使用了相同的inode号)
[[email protected]_1 ~]# ln 1.txt 1_hard.txt
-rw-r--r-- 2 root root 103 11月 21 04:51 1_hard.txt
-rw-r--r-- 2 root root 103 11月 21 04:51 1.txt
硬链接使用了相同的inode号:
[[email protected]_1 ~]# ls -i
67246931 1_hard.txt 67246931 1.txt
删除原文件,硬链接后的文件保持不变,软连接就会显示原文件不见了。
不能对目录做硬链接:因为目录是靠.和..串起来,如果做了硬链接这样会乱套
[[email protected]_1 ~]# ln 111/ xiaobo/
ln: "111/": 不允许将硬链接指向目录
硬链接不占空间大小,可以对文件做多个硬链接。
不能跨分区做硬链接: 因为分区之间有独立的inode号,boot/下有一个inode号,/根目录下也有跟/boot分区下
相同的inode号,所以不能跨分区做硬链接。
[[email protected]_1 ~]# ln /boot/symvers-3.10.0-693.el7.x86_64.gz /tmp/system
ln: 无法创建硬链接"/tmp/system" => "/boot/symvers-3.10.0-693.el7.x86_64.gz": 无效的跨设备连接
总结:
能对文件做硬链接,不能对目录做硬链接;
不能跨分区做硬链接;
硬链接可以删除,因为还有其他文件使用该inode
硬链接好比文件的一张皮,皮有多张,每一张皮都指向了相同的inode,这张皮可以删掉,但是不能删除所有的皮,
必须有一张皮留在身上。