System Privilege (系统权限) – Eternal Center

[步骤] sudo 提权的实现（sudo 提权的同时可以使用代理）（openSUSE & SLE）

Mingyu Zhu — Sat, 15 Jan 2022 14:47:45 +0000

步骤一：给用户添加相应的 sudo 权限

# vim /etc/sudoers

添加以下内容：

……
zhumingyu ALL=(ALL) /usr/bin/mysql

（补充：这里以给用户 zhumingyu 添加 /usr/bin/mysql 命令为例）

步骤二：设置用户使用自己的密码实现 sudo 提权

# vim /etc/sudoers

在

......
env_reset
......

这一行下面添加：

......
Defaults env_keep += "http_proxy https_proxy"
......

（补充：这里以允许用户在进行 sudo 提权的同时也能使用 http_proxy、https_proxy 为例）

[步骤] Linux 文件或目录的查找（特殊权限）

Mingyu Zhu — Fri, 07 Aug 2020 03:02:56 +0000

# find / -type f \( -perm -1000 -o -perm -2000 -o -perm -4000 \) -print

[内容] Linux umask 的设置

Mingyu Zhu — Sat, 01 Aug 2020 08:54:22 +0000

内容目录：

内容一：默认权限值的含义

内容二：临时默认权限的设置
2.1 默认权限值的方法
2.2 默认权限值的方法
2.2.1 方法一：使用权限数字设置默认权限值
2.2.2 方法二：使用权限标志设置默认权限值

内容三：永久默认权限的设置
3.1 给某个用户单独设置 umask
3.1.1 给某个用户单独添加 umask 参数
3.1.2 让 umask 设置生效
3.2 全局设置 umask 的方法
3.2.1 通过修改 /etc/profile 文件实现
3.2.1.1 通过修改 /etc/profile 文件实现案例一
3.2.1.1.1 在 /etc/profile 文件里设置全局 umask 参数
3.2.1.1.2 让 umask 设置生效
3.2.1.2 通过修改 /etc/profile 文件实现案例二
3.2.1.2.1 在 /etc/profile 文件里设置全局 umask 参数
3.2.1.2.2 让 umask 设置生效
3.2.2 通过修改 /etc/bashrc 文件实现
3.2.2.1 通过修改 /etc/bashrc 文件实现案例一
3.2.2.1.1 在 /etc/bashrc 文件里设置全局 umask 参数
3.2.2.1.2 让 umask 设置生效
3.2.2.2 通过修改 /etc/bashrc 文件实现案例二
3.2.2.2.1 在 /etc/bashrc 文件里设置全局 umask 参数
3.2.2.2.2 让 umask 设置生效

具体的内容：

内容一：默认权限值的含义

如果 umask 的值是 0022：
创建的新目录的默认权限是：777 – 022 = 755
创建的新文件的默认权限是：666 – 022 = 644

内容二：临时默认权限的设置
2.1 默认权限值的方法

# umask
0022

2.2 默认权限值的方法
2.2.1 方法一：使用权限数字设置默认权限值

# umask 0002

2.2.2 方法二：使用权限标志设置默认权限值

# umask -S u=rwx,g=rwx,o=rw

内容三：永久默认权限的设置
3.1 给某个用户单独设置 umask
3.1.1 给某个用户单独添加 umask 参数

# vim ~/.bashrc

添加以下内容：

......
umask 022

（
补充：
1) 这里以将 umask 设置为 022 为例
2) 补充 /etc/bashrc 文件会比 /etc/profile 文件更有优先级
）

3.1.2 让 umask 设置生效

# source ~/.bashrc

3.2 全局设置 umask 的方法
3.2.1 通过修改 /etc/profile 文件实现
3.2.1.1 通过修改 /etc/profile 文件实现案例一
3.2.1.1.1 在 /etc/profile 文件里设置全局 umask 参数

# vim /etc/profile

将以下内容：

......
if [ $UID -gt 199 ] && 
    [ "`/usr/bin/id -gn`" = "`/usr/bin/id un`" ]; then
    umask 002 
else
    umask 022
fi
......

修改为：

......
if [ $UID -gt 199 ] && 
    [ "`/usr/bin/id -gn`" = "`/usr/bin/id un`" ]; then
    umask 002 
else
    umask 022
fi
......

（
补充：
1) 这里以将 umask 设置为 022 为例
2) 补充 /etc/bashrc 文件会比 /etc/profile 文件更有优先级
）

3.2.1.1.2 让 umask 设置生效

# source /etc/profile

3.2.1.2 通过修改 /etc/profile 文件实现案例二
3.2.1.2.1 在 /etc/profile 文件里设置全局 umask 参数

# vim /etc/profile

添加以下内容：

......
umask 022

（
补充：
1) 这里以将 umask 设置为 022 为例
2) 补充 /etc/bashrc 文件会比 /etc/profile 文件更有优先级
）

3.2.1.2.2 让 umask 设置生效

# source /etc/profile

3.2.2 通过修改 /etc/bashrc 文件实现
3.2.2.1 通过修改 /etc/bashrc 文件实现案例一
3.2.2.1.1 在 /etc/bashrc 文件里设置全局 umask 参数

# vim /etc/bashrc

将以下内容：

......
if [ $UID -gt 199 ] && 
    [ "`/usr/bin/id -gn`" = "`/usr/bin/id un`" ]; then
    umask 002 
else
    umask 022
fi
......

修改为：

......
if [ $UID -gt 199 ] && 
    [ "`/usr/bin/id -gn`" = "`/usr/bin/id un`" ]; then
    umask 002 
else
    umask 022
fi
......

（
补充：
1) 这里以将 umask 设置为 022 为例
2) 补充 /etc/bashrc 文件会比 /etc/profile 文件更有优先级
）

3.2.2.1.2 让 umask 设置生效

# source /etc/bashrc

3.2.2.2 通过修改 /etc/bashrc 文件实现案例二
3.2.2.2.1 在 /etc/bashrc 文件里设置全局 umask 参数

# vim /etc/bashrc

添加以下内容：

......
umask 022

（
补充：
1) 这里以将 umask 设置为 022 为例
2) 补充 /etc/bashrc 文件会比 /etc/profile 文件更有优先级
）

3.2.2.2.2 让 umask 设置生效

# source /etc/bashrc

[内容] Linux acl 权限

Mingyu Zhu — Mon, 27 Jul 2020 14:13:44 +0000

案例目录：

案例一：给某一个文件或目录添加 acl
1.1 给某一个文件或目录添加一个用户的 acl
1.2 给某一个文件或目录添加一个组的 acl
1.3 递归给某一个目录和目录里的所有内容添加一个 acl

案例二：删除某一个文件或目录的 acl
2.1 删除某一个文件或目录一个用户的 acl
2.2 删除某一个文件或目录一个组的 acl
2.3 删除某一个文件或目录的所有 acl
2.4 递归删除某一个文件或目录的 acl
2.5 递归删除某一个文件或目录的所有 acl

案例三：显示某一个文件或目录的 acl

案例四：备份和还原某一个文件或目录的 acl
4.1 备份某一个文件或目录的 acl
4.2 还原某一给文件或目录的 acl

具体的案例：

案例一：给某一个文件或目录添加 acl
1.1 给某一个文件或目录添加一个用户的 acl

# setfacl -m u:zhumingyu:r-x /var

（补充：这里以在 /var 目录上给 zhumingyu 用户设置读和执行的 acl 权限为例）

1.2 给某一个文件或目录添加一个组的 acl

# setfacl -m g:zhumingyu:r-x /var

（补充：这里以在 /var 目录上给 zhumingyu 组设置读和执行的 acl 权限为例）

1.3 递归给某一个目录和目录里的所有内容添加一个 acl

# setfacl -Rm u:zhumingyu:r-x /var

（补充：这里以在 /var 目录上递归给 zhumingyu 组设置读和执行的 acl 权限为例）

案例二：删除某一个文件或目录的 acl
2.1 删除某一个文件或目录一个用户的 acl

# setfacl -x u:zhumingyu /var

（补充：这里以在 /var 目录上删除 zhumingyu 用户的 acl 权限为例）

2.2 删除某一个文件或目录一个组的 acl

# setfacl -x g:zhumingyu /var

（补充：这里以在 /var 目录上删除 zhumingyu 组的 acl 权限为例）

2.3 删除某一个文件或目录的所有 acl

# setfacl -b /var

（补充：这里以在 /var 目录上删除所有 acl 权限为例）

2.4 递归删除某一个文件或目录的 acl

# setfacl -Rx u:zhumingyu:r-x /var

（补充：这里以在 /var 目录上递归删除 zhumingyu 用户的 acl 权限为例）

2.5 递归删除某一个文件或目录的所有 acl

# setfacl -Rb /var

（补充：这里以在 /var 目录上递归删除所有 acl 权限为例）

案例三：显示某一个文件或目录的 acl

# getfacl /var

（补充：这里以显示 /var 目录的 acl 权限为例）

案例四：备份和还原某一个文件或目录的 acl
4.1 备份某一个文件或目录的 acl

# getfacl -R /var > /acl.backup

（补充：这里以备份 /var 目录的 acl 权限为例）

4.2 还原某一给文件或目录的 acl

# setfacl --restore /acl.backup

（补充：这里以还原 /var 目录的 acl 权限为例）

[步骤] sudo 提权的实现（通过用户自己的密码实现 sudo 提权）（openSUSE & SLE）

Mingyu Zhu — Mon, 20 Jul 2020 08:47:26 +0000

步骤一：给用户添加相应的 sudo 权限

# vim /etc/sudoers

添加以下内容：

……
zhumingyu ALL=(ALL) /usr/bin/mysql

（补充：这里以给用户 zhumingyu 添加 /usr/bin/mysql 命令为例）

步骤二：设置用户使用自己的密码实现 sudo 提权

# vim /etc/sudoers

将以下内容：

......
#Defaults targetpw   # ask for the password of the target user i.e. root
#ALL    ALL=(ALL) ALL   # WARNING! Only use this together with 'Defaults targetpw'!
......

修改为：

......
Defaults targetpw   # ask for the password of the target user i.e. root
ALL    ALL=(ALL) ALL   # WARNING! Only use this together with 'Defaults targetpw'!
......

[命令] Linux 命令 chown （归属文件或目录）

Mingyu Zhu — Fri, 05 Jun 2020 02:53:58 +0000

案例一：将 test.txt 的所属主设置为 root

# chown root test.txt

或者：

# chown root: test.txt

案例二：将 test.txt 的所属组设置为 root

# chown :root test.txt

案例三：将 test.txt 的所数主设置为 root，所属组设置为 root

# chown root:root test.txt

[命令] Linux 命令 chmod （管理权限）

Mingyu Zhu — Sun, 08 Dec 2019 10:52:26 +0000

内容目录：

内容一：普通权限的管理
1.1 普通权限的介绍
1.1.1 对于文件而言
1.1.2 对于目录而言
1.1.3 用数字代替权限的方法
1.2 管理权限案例
1.2.1 给一个文件或目录添加权限的案例
1.2.1.1 案例一
1.2.1.2 案例二
1.2.1.3 案例三
1.2.1.4 案例四
1.2.2 给一个文件或目录撤销权限的案例
1.2.2.1 案例一
1.2.2.2 案例二
1.2.2.3 案例三
1.2.2.4 案例四
1.2.3 设定某一个文件或目录的权限的案例
1.2.3.1 案例一
1.2.3.2 案例二
1.2.3.3 案例三
1.2.3.4 案例四
1.2.3.5 案例五
1.2.3.6 案例六
1.2.3.7 案例七

内容二：特殊权限的管理
2.1 特殊权限 SUID
2.1.1 SUID 介绍
2.1.2 SUID 权限的添加的案例
2.1.2.1 添加 SUID 权限的案例
2.1.2.2 显示 SUID 权限的添加情况的案例
2.1.2.2.1 显示有 SUID 权限，但是所属主没有执行权限的文件的案例
2.1.2.2.2 显示有 SUID 权限，并且所属主有执行权限的文件的案例
2.2 特殊权限 SGID
2.2.1 SGID 介绍
2.2.2 SGID 权限的添加的案例
2.2.2.1 添加 SGID 权限的案例
2.2.2.2 显示 SGID 权限的添加情况的案例
2.2.2.2.1 显示有 SGID 权限，但是所属组没有执行权限的目录的案例
2.2.2.2.2 显示有 SGID 权限，并且所属组有执行权限的目录的案例
2.3 特殊权限 SBIT
2.3.1 SBIT 介绍
2.3.2 SBIT 权限的添加的案例
2.3.2.1 添加 SBIT 权限的案例
2.3.2.2 显示 SBIT 权限的添加情况的案例
2.3.2.2.1 显示有 SBIT 权限，但是所属主没有执行权限的目录的案例
2.3.2.2.2 显示有 SBIT 权限，并且所属主有执行权限的目录的案例

具体的内容：

内容一：普通权限的管理
1.1 普通权限的介绍
1.1.1 对于文件而言

1) r 代表读权限
2) w 代表写权限
3) x 代表执行权限

1.1.2 对于目录而言

1) r 代表可以看到目录
2) w 代表可以对目录进行增、删、改、查和在里面创建文件和目录
3) x 代表可以进入目录

1.1.3 用数字代替权限的方法

1) 0 代表 —
2) 1 代表 –x
3) 2 代表 -w-
4) 3 代表 -wx
5) 4 代表 r–
6) 5 代表 r-x
7) 6 代表 rw-
8) 7 代表 rwx

1.2 管理权限案例
1.2.1 给一个文件或目录添加权限的案例
1.2.1.1 案例一

# chmod u+x test.txt

（补充：这里以给 test.txt 文件的所属主添加执行权限为例）

1.2.1.2 案例二

# chmod u+r,g+w test.txt

（补充：这里以给 test.txt 文件的所属主添加执行权限，给文件的所属组添加写权限）

1.2.1.3 案例三

# chmod +x test.txt

（补充：这里以给 test.txt 文件的所属主、所属组和其他用户添加执行权限）

1.2.1.4 案例四

# chmod a+x test.txt

（补充：这里以给 test.txt 文件的所属主、所属组和其他用户添加执行权限）

1.2.2 给一个文件或目录撤销权限的案例
1.2.2.1 案例一

# chmod u-x test.txt

（补充：这里以给 test.txt 文件的所属主撤销执行权限）

1.2.2.2 案例二

# chmod u-r,g-w test.txt

（补充：这里以给 test.txt 文件的所属主撤销执行权限，给文件的所属组撤销写权限）

1.2.2.3 案例三

# chmod -x test.txt

（补充：这里以给 test.txt 文件的所属主、所属组和其他用户撤销执行权限）

1.2.2.4 案例四

# chmod a-x test.txt

（补充：这里以给 test.txt 文件的所属主、所属组和其他用户撤销执行权限）

1.2.3 设定某一个文件或目录的权限的案例
1.2.3.1 案例一

# chmod u=rwx test.txt

（补充：这里以设置 test.txt 文件的所属主拥有读、写和执行的权限）

1.2.3.2 案例二

# chmod u=rw- test.txt

（补充：这里以设置 test.txt 文件的所属主拥有读和写的权限，但是没有执行的权限）

1.2.3.3 案例三

# chmod u=--- test.txt

（补充：这里以设置 test.txt 文件的所属主没有任何权限）

1.2.3.4 案例四

# chmod u=

（补充：这里以设置 test.txt 文件的所属主没有任何权限）

1.2.3.5 案例五

# chmod u=rw,g=, test.txt

（补充：这里以设置 test.txt 文件的所属主拥有读和写的权限，但是没有执行的权限。设置文件的所属组没有任何权限）

1.2.3.6 案例六

# chmod u=rw,g=---,0= test.txt

（补充：这里以设置 test.txt 文件的所属主拥有读和写的权限，但是没有执行的权限。设置文件的所属组没有任何权限。设置文件的其他用户没有任何权限）

1.2.3.7 案例七

# chmod 755 test.txt

（补充：这里以设置 test.txt 文件的所属主拥有读、写和执行的权限。设置文件的所属组有读和执行的权限。设置文件的其他用户有读和执行的权限）

内容二：特殊权限的管理
2.1 特殊权限 SUID
2.1.1 SUID 介绍

1) SUID：全名 Set UID
2) SUID 的作用：让没有此文件执行权限的用户，可以执行这个文件
3) SUID 的权限数字 4000

2.1.2 SUID 权限的添加的案例
2.1.2.1 添加 SUID 权限的案例

# chmod u+s test.txt

或者：

# chmod 4644 test.txt

（补充：这里以对 test.txt 文件进行操作为例）

2.1.2.2 显示 SUID 权限的添加情况的案例
2.1.2.2.1 显示有 SUID 权限，但是所属主没有执行权限的文件的案例

# ls -l test.txt 
-rwSr--r-- 1 root root 0 12月  8 05:27 test.txt

（补充：这里以对 test.txt 文件进行操作为例）

2.1.2.2.2 显示有 SUID 权限，并且所属主有执行权限的文件的案例

# ls -l test.txt 
-rwsr--r-- 1 root root 0 12月  8 05:27 test.txt

（补充：这里以对 test.txt 文件进行操作为例）

2.2 特殊权限 SGID
2.2.1 SGID 介绍

1) SGID：全名 Set GID
2) SGID 的作用：在此目录下创建的文件，将都和此目录的所属组一样
3) SGID 的权限数字 2000

2.2.2 SGID 权限的添加的案例
2.2.2.1 添加 SGID 权限的案例

# chmod g+s test

或者：

# chmod 2644 test

（补充：这里以对 test.txt 文件进行操作为例）

2.2.2.2 显示 SGID 权限的添加情况的案例
2.2.2.2.1 显示有 SGID 权限，但是所属组没有执行权限的目录的案例

# ls -l test
-rw-r-Sr-- 1 root root 0 12月  8 05:27 test

（补充：这里以对 test.txt 文件进行操作为例）

2.2.2.2.2 显示有 SGID 权限，并且所属组有执行权限的目录的案例

# ls -l test
-rw-r-sr-- 1 root root 0 12月  8 05:27 test

（补充：这里以对 test.txt 文件进行操作为例）

2.3 特殊权限 SBIT
2.3.1 SBIT 介绍

1) SBIT：全名 Sticky Bit
2) SBIT 的作用：在此目录下创建的文件，只有创建此文件的用户和 root 用户可以删除
3) SBIT 的权限数字 1000

2.3.2 SBIT 权限的添加的案例
2.3.2.1 添加 SBIT 权限的案例

# chmod o+t test

或者：

# chmod 1644 test

（补充：这里以对 test.txt 文件进行操作为例）

2.3.2.2 显示 SBIT 权限的添加情况的案例
2.3.2.2.1 显示有 SBIT 权限，但是所属主没有执行权限的目录的案例

# ls -l test
-rw-r--r-T 1 root root 0 12月  8 05:27 test

（补充：这里以对 test.txt 文件进行操作为例）

2.3.2.2.2 显示有 SBIT 权限，并且所属主有执行权限的目录的案例

# ls -l test
-rw-r--r-t 1 root root 0 12月  8 05:27 test

（补充：这里以对 test.txt 文件进行操作为例）

[命令] Linux 命令 sudo （用户提权）

Mingyu Zhu — Sun, 25 Aug 2019 16:17:40 +0000

内容目录：

内容一：sudo 简介

内容二：修改 sudo 配置文件的方法
2.1 第一种修改 sudo 配置文件的方法
2.2 第二种修改 sudo 配置文件的方法

内容三：修改 sudo 配置文件的案例
3.1 案例一：让 zhumingyu 用户可以通过 sudo 获取所有 root 权限
3.2 案例二：让 zhumingyu 用户可以通过 sudo 获取所有 root 权限，并且免密码
3.3 案例三：让 zhumingyu 用户可以通过 sudo 获取 firewalld 命令的 root 权限，并且免密码
3.4 案例四：让 zhumingyu 用户可以通过 sudo 获取 firewalld 和 chmod 命令的 root 权限，并且免密码
3.5 案例五：让 zhumingyu 用户可以通过 sudo 获取 passwd 命令的 root 权限，并且免密码，但是不能修改 root 的密码
3.6 案例六：让 zhumingyu 用户可以通过 sudo 获取 passwd 命令的 root 权限，并且免密码，但是不能修改以 a 开头命名用户的密码
3.7 案例七：让 zhumingyu 组里的所有用户通过 sudo 获取 passwd 命令的 root 权限，并且免密码
3.7.1 让 zhumingyu 组里的所有用户通过 sudo 获取 passwd 命令的 root 权限，并且免密码
3.7.2 将相关用户添加到 zhumingyu 组里

具体的内容：

内容一：sudo 简介

sudo 命令可以让非 root 用户，在不知道 root 的密码的情况之下以 root 的身份执行某一些命令
但是要实现这一目标需要提前修改 sodu 的配置文件

内容二：修改 sudo 配置文件的方法
2.1 第一种修改 sudo 配置文件的方法

# visudo

2.2 第二种修改 sudo 配置文件的方法

# vi /etc/sudoers