企业Linux特殊权限位/为什么会存在SUID?/企业环境测试(原理剖析)-4989字解析

本文主要是介绍企业Linux特殊权限位/为什么会存在SUID?/企业环境测试(原理剖析)-4989字解析,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

企业高薪思维:
坚持很难,优秀的人才是少数,很重要
坚持不下去,问自己想要什么?

  1. 问问自己想要好的生活状态?
  2. 问自己有背景吗?
  3. 你学历是亮点吗?
  4. 有钱没,你也就是一般家庭,除了父母你什么也不是
    找到一个动力(想要什么?/还是努力去追喜欢的人?/你想去哪个城市?)

生活上,学习很重要:
作息要规律,这一点我没做到
每隔一段时间,休息调整一下
心态控制好,练心态(面试/工作中)

为什么创建的文件默认权限为什么为644? 目录为755?

umask 权限掩码,控制系统的文件和目录的默认权限
[root@calms wulin]# umask
0022

针对文件来说:默认权限计算方法
6 6 6
0 2 2 上面减下面
6 4 4 系统的文件默认权限(大多数情况)

准确的权限要看,umask掩码的3位每一位数字是否有(奇数),如果有奇数(奇数+1)

在这里插入图片描述
[root@calms wulin]# umask 021 #调整umask
[root@calms wulin]# umask #查看umask
0021
[root@calms wulin]# touch f021 #创建f021
[root@calms wulin]# ls -l f021 #查看f021属性
-rw-r–rw- 1 root root 0 4月 18 17:39 f021

6 6 6
0 2 1 减
6 4 5 # 系统的文件默认权限
0 0 1加
6 4 6

[root@calms wulin]# umask 033
[root@calms wulin]# umask
0033
[root@calms wulin]# touch f033
[root@calms wulin]# ls -li
16822129 -rw-r–r-- 1 root root 0 4月 18 17:50 f033

结论:文件默认权限结论

  1. 权限从666开始计算
  2. 如果是偶数,正常做减法
  3. 如果是奇数,奇数位+1

针对目录默认权限

权限从777开始计算
和掩码正常做减法
在这里插入图片描述

为什么系统把默认权限设定为:默认644,目录755呢?

生产环境:

安全的临界值,运营一个电商/jd,站点目录给什么权限安全呢?
目录755

在这里插入图片描述
在这里插入图片描述

[root@calms wulin]# mkdir /data/html -p
[root@calms wulin]# ls -ld /data/html/
drwxr-xr-x 2 root root 6 4月 18 18:33 /data/html/
web服务运行的时候有一个虚拟用户www.
1 虚拟用户www 可读可执行可以查看程序文件,不可以写删除文件。
在这里插入图片描述
2 但是还有一种手段,进行提权:
在这里插入图片描述
[root@calms wulin]# useradd www
[root@calms wulin]# chown -R www.www /data/html
[root@calms wulin]# ls -ld /data/html
drwxr-xr-x 2 www www 6 4月 18 18:33 /data/html

所以很多公司都在采用第二种方式,只是将用户设置了以进程的方式(这样方式权力还是非常大,存在一定的危险)

所以我们采用这种方式:
普通站点目录:【用户与组都是root,权限为755】
[root@calms wulin]# mkdir /data/html -p
[root@calms wulin]# ls -ld /data/html/
drwxr-xr-x 2 root root 6 4月 18 18:33 /data/html/

但是存在问题,用户需要进行放图片上传东西,还要做开口
在这里插入图片描述

图片文件目录授权:用户和组【www 权限755】
[root@calms wulin]# chown -R www.www /date/html/upload/
[root@calms wulin]#ls -ld /data/html/upload/
drwxr-xr-x. 2 www www /data/html/upload/

解决upload安全:

  1. 程序:控制这个目录上传的内容只能是jpg,.zip等(不让上传)
  2. nginx:针对upload访问的时候,除了.jpg.zip之外,不提供访问。(不准执行)
  3. 动态服务器和静态服务器做分离,访问的时候只有静态服务器进行做解析,相当于不安装python,java,php内容
  4. 磁盘上(挂载设置)禁止程序运行(二进制程序)

下一阶段为web阶段时候重点讲解

通过cat /etc/bashrc可以查看:
在这里插入图片描述
if [ $UID -gt 199 ] && [ “/usr/bin/id -gn” = “/usr/bin/id -un” ]; then
umask 002
else
umask 022
fi
如果uid大于199,并且用户与组同名,umask就为002,否则就是022
在这里插入图片描述
为什么/home下家目录权限的umask为700?是因为它的权限比较低一些
[root@calms wulin]# ls -ld /home/wulin
drwx------. 2 1000 1000 83
/home/wulin

通过vim /etc/login.defs可以看到,它的umask为077,当我们创建一个文件时候umask变为700

/home/wulin 700,#控制/etc/login.defs
在这里插入图片描述

在企业中业务大多数没有改程序文件的需求

程序文件 【 644 root root】
程序文件 【644 www www】

linux特殊权限位

Linux最后的三位权限:
suid,sgid,sticky

suid

  • 标识符为 S
  • 存放位置:基于权限位x权限对应的位置
  • 若用户权限为对应的x权限位上有x权限,则用suid小写的s标识
  • suid的d对应的数字权限为4
  • 完整的权限用八位进制数4000表示

[root@calms wulin]# touch suid.txt
[root@calms wulin]# ls -l suid.txt
-rw-r–r-- 1 root root 0 suid.txt

数字权限:如果直接设置4000,会破环原来的权限(644),所以设置为:
chmod 4644 suid.txt
在这里插入图片描述

取消:
[root@calms wulin]# chmod 644 suid.txt
[root@calms wulin]# ls -l suid.txt
-rw-r–r-- 1 root root 0 suid.txt

字符设置:suid
chmod u+s suid.txt
ls -l suid.txt
chmod u-s suid.txt
ls -l suid.txt

在这里插入图片描述

为什么会存在SUID?

例子:普通用户修改密码
[root@calms wulin]$passwd
更改用户wulin的密码
为wulin更改STRESS密码
(当前)UNIX密码:
新的密码
重新输入新的密码:
passwd:所有的身份验证令牌已经成功更新

  1. 修改密码passwd =====》修改/etc/shadow文件
    wulin 用户使用passwd命令,修改/etc/shadow文件,来实现修改密码的

ls -l /etc/shadow

在这里插入图片描述
传统权限分析:
wulin是其他的用户,修改了/etc/shadow权限—,没有权限修改;事实上权限已经修改了

suid特殊作用:
可以绕过基础权限体系,可以修改没有权限修改的文件

在这里插入图片描述
suid也是基于二进制命令
1.给一个命令设置suid后,使用这个命令的用户,都拥有和这个命令所对应的用户权限

paswd命令suid权限图解:
在这里插入图片描述
在这里插入图片描述
在企业中基本不要使用suid,需要也不要对过大的命令进行设置,比如rm设置suid,谁都可以进行删除

cd (设置uid不好用)
1.cd为bash内置命令,centos6没有对应的文件
2.有对应的文件,授权系统文件的cd,执行可能执行是bash内置的cd
在这里插入图片描述
suid核心知识小结:
1.suid功能是针对二进制命令/程序的,不能在shell脚本文件上
2.用户或属对应的前三位权限的x位上,如果有s就表示具备suid权限
3.二进制命令程序具有可执行权限x配合才行
4.suid对应的身份和权限仅在程序命令执行过程中有效
5.suid功能很危险,对系统安全有一定的威胁,企业中可以使用sudo等替代suid功能
6.在进行安全优化时,系统默认设置了suid权限命令要进行取消

suid应用
在这里插入图片描述
在这里插入图片描述
会发现不是root用户也可以进行删除

suid:生产场景实际用途
1.所有普通用户都能进行用到的
2.普通用户想要修改没有权限文件时候的使用
3.命令是没有破环作用的
ping,passwd

这篇关于企业Linux特殊权限位/为什么会存在SUID?/企业环境测试(原理剖析)-4989字解析的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/916715

相关文章

MySQL的隐式锁(Implicit Lock)原理实现

《MySQL的隐式锁(ImplicitLock)原理实现》MySQL的InnoDB存储引擎中隐式锁是一种自动管理的锁,用于保证事务在行级别操作时的数据一致性和安全性,本文主要介绍了MySQL的隐式锁... 目录1. 背景:什么是隐式锁?2. 隐式锁的工作原理3. 隐式锁的类型4. 隐式锁的实现与源代码分析4

MySQL中Next-Key Lock底层原理实现

《MySQL中Next-KeyLock底层原理实现》Next-KeyLock是MySQLInnoDB存储引擎中的一种锁机制,结合记录锁和间隙锁,用于高效并发控制并避免幻读,本文主要介绍了MySQL中... 目录一、Next-Key Lock 的定义与作用二、底层原理三、源代码解析四、总结Next-Key L

Redis实现RBAC权限管理

《Redis实现RBAC权限管理》本文主要介绍了Redis实现RBAC权限管理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧... 目录1. 什么是 RBAC?2. 为什么使用 Redis 实现 RBAC?3. 设计 RBAC 数据结构

Linux系统之authconfig命令的使用解读

《Linux系统之authconfig命令的使用解读》authconfig是一个用于配置Linux系统身份验证和账户管理设置的命令行工具,主要用于RedHat系列的Linux发行版,它提供了一系列选项... 目录linux authconfig命令的使用基本语法常用选项示例总结Linux authconfi

Windows环境下安装达梦数据库的完整步骤

《Windows环境下安装达梦数据库的完整步骤》达梦数据库的安装大致分为Windows和Linux版本,本文将以dm8企业版Windows_64位环境为例,为大家介绍一下达梦数据库的具体安装步骤吧... 目录环境介绍1 下载解压安装包2 根据安装手册安装2.1 选择语言 时区2.2 安装向导2.3 接受协议

SpringBoot基于沙箱环境实现支付宝支付教程

《SpringBoot基于沙箱环境实现支付宝支付教程》本文介绍了如何使用支付宝沙箱环境进行开发测试,包括沙箱环境的介绍、准备步骤、在SpringBoot项目中结合支付宝沙箱进行支付接口的实现与测试... 目录一、支付宝沙箱环境介绍二、沙箱环境准备2.1 注册入驻支付宝开放平台2.2 配置沙箱环境2.3 沙箱

Redis 内存淘汰策略深度解析(最新推荐)

《Redis内存淘汰策略深度解析(最新推荐)》本文详细探讨了Redis的内存淘汰策略、实现原理、适用场景及最佳实践,介绍了八种内存淘汰策略,包括noeviction、LRU、LFU、TTL、Rand... 目录一、 内存淘汰策略概述二、内存淘汰策略详解2.1 ​noeviction(不淘汰)​2.2 ​LR

基于Python实现一个PDF特殊字体提取工具

《基于Python实现一个PDF特殊字体提取工具》在PDF文档处理场景中,我们常常需要针对特定格式的文本内容进行提取分析,本文介绍的PDF特殊字体提取器是一款基于Python开发的桌面应用程序感兴趣的... 目录一、应用背景与功能概述二、技术架构与核心组件2.1 技术选型2.2 系统架构三、核心功能实现解析

IDEA与JDK、Maven安装配置完整步骤解析

《IDEA与JDK、Maven安装配置完整步骤解析》:本文主要介绍如何安装和配置IDE(IntelliJIDEA),包括IDE的安装步骤、JDK的下载与配置、Maven的安装与配置,以及如何在I... 目录1. IDE安装步骤2.配置操作步骤3. JDK配置下载JDK配置JDK环境变量4. Maven配置下

jdk21下载、安装详细教程(Windows、Linux、macOS)

《jdk21下载、安装详细教程(Windows、Linux、macOS)》本文介绍了OpenJDK21的下载地址和安装步骤,包括Windows、Linux和macOS平台,下载后解压并设置环境变量,最... 目录1、官网2、下载openjdk3、安装4、验证1、官网官网地址:OpenJDK下载地址:Ar