00:00
大家好。欢迎大家继续收看上硅谷的云计算课程,我是沈超老师。这节课呢,我们继续来讲权限,我们来看看sbi权限。那么sbi呢?它是针对目录有效。这个命令这个权限本身没有风险,但是他同样要求目录是七权限,就七七,普通用户对这个文件有,对这个目录有写才会起作用,反而也就是说这个命权限本身没有风险。是谁?是这个目录的其他人的期权限有风险,所以呢,能不付还是不要付,那这是干嘛的呀?你还记得这件事吗?你还记得这件事吗?我前面在讲SUID的时候,我举拿一个目录举了个作用,我说举了个例子,我说有个3W目录。而所有者是我IC。所属组是你们test group,然后呢?呃,给我们两个可以交作业,然后其他人是零不许交作业对吧?那当时就有学员担心啊,担心啥老师所有的人在这个组里都有期权限,对吧?那我们能够上交作业,那我们是不是也能删除文件,那这样的话我是不是就可以把别人的作业删了,然后谎报军情说这哥们儿没交作业。
01:18
可不可以,是不是担心这个,那么各位就是针对这个事儿的,也就是说它的作用是这样的。黏着位这个东西也称作黏着位权限粘着位啊,只对目录有效。那么如果这个用户对这个目录有写和执行的情况下,这个东西才可以有用啊各位有写执行我说了没读是不是也是不行的,所以其实就是期权限,普通用户必须对这个目录有期权限。那么这个时候,一旦这个普通用户对这个目录有了期权限,如果没有点说位,任何普通用户拥有写权限,就可以删除这个目录下所有文件,对吧?而我一旦给它赋予了圆桌位。
02:01
那么除了root用户可以删除这个目录下所有文件之外,普通用户就算有写,也仅能删除自己的文件,而不能删除其他用户的文件。看明白啊,也就是说,如果有了年终类,你对这个目录就算是期权限,你也只能删你自己上传的作业,你不能删上这个,删除其他用户上传的这个作业,其他的用户上传的文件。这就是黏着胃的作用,那我们看一下啊。各位。其实temp目录本身。碳目录我们都知道是七七权线对吧,那为啥这个家伙这个颜色不太对,你仔细看就是这。看到了探图目录就是拥有的权限,哎,也就是说我们说其他人这里只要有特殊权限就是限,OK,那也就是说只有root在里边看我们进去啊,我们大家都能新建啊,比如说touch一个ABC,这是root键,对吧,那我用C进去啊。
03:03
那我们UC进去touch一个BCD。对吧,那看一个是root键的,一个是BCD这个UC键的,理论上来说,UC对这个目录既然有期权键,那我是不是就应该可以删除,不光能键,我是不是还应该能删这个目录下的文件,那现在来看,我尝试删一下root键的ABC,然后看到了无法删除,不允许,这就是sbi的作用,就你只能删你自己的,那比如说我要删我自己的行吗?这肯定可以,但是删这个root的就不行,那除非你是root用户,那就能删自己的也能删别人的,这个就是防范你们干嘛误删除其他人的文件的。这个。呃,这个权限本身没有太大的风险,但同样还是这句话,这个权限要想起作用,他需要对这个目录其他人有写权限才可以起作用,所以呢,呃,除了探索公路之外吧。
04:03
能不付的话,尽量还是不要付,这样可以防范普通用户删这个别的文件,OK,换句话说啊。其实我们讲了这么多权限,你都会发现这些权限全部都是针对普通用户。对root用户的权限限制少之又少。几乎没有,后面有一个能限制入,那少之又少。所以我们为什么一直在强调在生产服务器上绝不能所有人都是root,你一定要把root控制在高级管理员手里。其他的普通管理员都应该用普通用户权限,这样做麻烦,因为你需要给每一个普通用户都要付特特定的权限,让他才能正确的管理服务器,麻烦,但是我一直在说各位麻烦才代表了什么安全,对吧,他只有更加麻烦复杂,它才会更加安全,OK,那这个事儿就是我就说,就说偷自行车一把车,一个车有18锁,一个车没锁,那没锁的丢丢的几率一定大。
05:03
有18所,当然不排除有些段子说他妈你锁的越多,我就一定要去偷那个多的所其这个,从而显示我的技术,但是这到底是这个小小概小概率情况,OK,所以不要怕麻烦。啊,听见了,这些都是用来限制普通用户,其次我们来看看怎么设定这个权限,讲过了,要不然就是啥,用数字来代表,四代表,S sud2代表SJ1代表,然后这样的方式来赋予就可以了。当然也可以通过U加这加so加T的方式来赋予都可以啊,这个我们都是演示过了,那这就是哎这个特殊权限,那好我们回来看一下啊。我们在特殊权限里面,我们讲了suidd和SJD,其中suidd针对的是执行文件,它的作用是用户在执行这个文件的时候,他的身份会变为这个文件这个命令的所有者。
06:01
其次,SJD它是针对执行文件和针对目录,其中针对执行文件是有风险的,它的作用是当普通用户执行这个文件的时候,执行这个命令的时候,它的主身份会升级为这个程序的所属组。那它针对目录是没有风险的,但是这个东西作用不大,因为它是改有效有效组啊,就是说在里面建个建个文件啊,建个文件它的所属组不是你自己组嘛,而是这个目录所属组,那这个有啥用啊,我真要改的话,我手工改不也行吗?你要嫌麻烦,写个脚本也比这个对这个玩意儿强,我觉得对吧。那呢,它本身没有太大风险,但是强制要求的是对目录有期权限才有风险啊,才可以使用,那对目录的其他人有期权限,也就是777这个权限本身是有风限,再一个系统当中默认是给探索目录附了这个权限,目的是防止这个普通用户误删除其他用户的权限,对吧。这个ta就行了,也并不太推荐你给其他的这个系统目录来付这个东西,或者你自己建目录来付,就用ta就可以。
07:07
好,那么各位,这是我们。这个四个权限当中,其实总共是六个,这应该就是第五个了啊权限我们这节课的内容就是这些,我们下节课再见。
我来说两句