linux粘滯位

1. linux許可權管理基本知識

Linux許可權管理基本知識大全

Linux系統有什麼基本許可權，許可權管理命令是什麼?下面跟我一起來看看吧!

一、基本許可權

linux許可權機制採用UGO模式。其中 u(user)表示所屬用戶、g(group)表示所屬組、o(other)表示除了所屬用戶、所屬組之外的情況。

u、g、o 都有讀(read)、寫(write)、執行(excute) 三個許可權，所以UGO模式是三類九種基本許可權。

用命令 ls -l 可列出文件的許可權，第一列輸出明確了後面的輸出(後面一列代表 ugo許可權)。第一個字母對應的關系：

“-” 普通文件

“d” 目錄

”l“ 符號鏈接

”c“ 字元設備

"b" 塊設備

"s" 套接字

"p" 管道

修改文件或目錄的所屬用戶： chown 文件名 | 目錄名 用戶

-R 該參數以遞歸的方式修改目錄下所有文件的所屬用戶，參數可以敲 chown --help 查看。

修改文件或目錄的所屬組： chgrp 文件名 | 目錄名 組名

-R 該參數以遞歸的方式修改目錄下的所有文件的'所屬組。

命令chmod 用來修改文件或目錄的許可權： chmod -參數 模式 文件 | 目錄

例子： 修改目錄 log下所有文件的許可權為700

chmod -R 700 log

註：700的來歷是 u g o

rwx rwx rwx

111 000 000

關於 chmod 命令的許可權模式除了數字表示，還可以是 u、g、o 、a 加 +、- 來表示。格式如下：u、g、o分別代表用戶、屬組和其他，a 就是

all ，可以代替ugo。 +、- 代表增加或刪除對應的許可權，r、w、x 代表三種許可權，分別是讀、寫、執行。

例子：對於目錄 log下的所有文件(已有許可權是700)增加所屬組(g)的讀(r)、執行(x)許可權。

chmod -R g+rx log

類似的命令可能還有很多，這里只是舉幾個最基本且常用的例子。很多命令用到時，再去查也可以。還可參考《鳥哥的Linux私房菜》。

二、特殊許可權

Linux的3個特殊的許可權，分別是setuid、setgid和stick bit。

setuid許可權(S)：只有用戶可擁有，出現在執行許可權(x)的位置。

setuid許可權允許用戶以其擁有者的許可權來執行可執行文件，即使這個可執行文件是由其他用戶運行的。

setgid許可權(S)：對應於用戶組，出現在執行許可權(x)的位置。

setgid許可權允許以同該目錄擁有者所在組相同的有效組許可權來允許可執行文件。但是這個組和實際發起命令的用戶組不一定相同。

stick bit (t /T)：又名粘滯位，只有目錄才有的許可權，出現在其他用戶許可權(o)中的執行位置(x)。當一個目錄設置了粘滯位，只有創建了該目錄的用戶才能刪除目錄中的文件，但是其他用戶組和其他用戶也有寫許可權。使用 t 或 T來表示。若沒有設置執行許可權，但是設置了粘滯位，使用 t;若同時設置了執行許可權和粘滯位使用 T。典型的粘滯位使用是 /tmp 目錄，粘滯位屬於一種防寫。

設置特殊許可權：

setuid： chmod u+s filename

setgid： chmod g+s directoryname

stick bit： chmod o+t directoryname

用數字表示特殊許可權，是在基本許可權之上的。濁嘴笨腮說不清楚，看例子：

例子：將上面例子中的log日誌目錄(已有許可權 700)許可權設置為755。特殊許可權是類似 /tmp目錄的 stick bit有效。

特殊許可權 基本許可權

setuid setgid stick bit user group other

0 0 1 rwx rwx rwx

111 000 000

所以，設置特殊許可權(stick bit)的命令應該是：chmod 1755 log

設置特殊許可權後，ls -dl 查看該目錄：drwxr-xr-t 2 gg gg 4096 5月 11 19:05 log ( 注意 other 的 x 位是代表特殊許可權的字母 t )

取消該特殊許可權的命令：chmod 755 log 。如此 stick bit的許可權就沒有了。

再次 ls -dl 查看該目錄： drwxr-xr-x 2 gg gg 4096 5月 11 19:15 log ( 注意最後一位已經變為代表普通許可權的字母x )

需要注意的是，最前面一位 ”1“ 就是特殊許可權位。其他兩個特殊許可權的設置也類似。setuid使用不是無限制的。出於安全目的，只能應用在Linux ELF格式二進制文件上，而不能用於腳本文件。

三、高級許可權

ACL(Access Control List)，訪問控制列表是Linux下的的高級許可權機制，可實現對文件、目錄的靈活許可權控制。ACL 允許針對不同用戶、

不同組對同一個目標文件、目錄進行許可權設置，而不受UGO限制。

在一個文件系統上使用ACL需要在掛載文件系統的時候打開ACL功能。而根分區(ROOT)默認掛載的時候支持ACL。

命令：mount -o acl /掛載路徑

例子：mount -o acl /dev/sdb1 /mnt

查看一個文件的ACL設置的命令： getfacl file

(針對一個用戶)為一個文件設置指定用戶的許可權的命令： setfacl -m u:username:rwx filename

(針對一個組)為一個文件設置指定組的許可權的命令： setfacl -m g:groupname:r-x filename

刪除一個ACL設置的命令： setfacl -x u:username filename

2. linux許可權

許可權是RWXRWXRWX
RW_是二進制110 6
R__是二進制100 4
R__是二進制100 4

合起來就是110100100 644

3. linux RWX許可權的解讀

注意

chown 和 chgrp 都有一個 -R 選項，該選項可以用來告訴它們遞歸地將所屬權和組改變應用到整個目錄樹中。例如：

注意 ：除非您是超級用戶，否則您不可以使用 chown，然而任何人都可以使用 chgrp 來將文件的組所有權改為他們所屬的組。

該操作chmod 示例已經影響到了所有三個三元組 — 用戶、組和所有其他用戶

亦可指定，對於「用戶」三元組使用 u，對於「組」三元組使用 g，對於「其他／每個人」使用 o

定製化設定許可權

直到現在為止，我們使用了叫做「符號」的模式來用 chmod 指定許可權的改變。然而，指定許可權還有一種普遍使用的方法 — 使用 4 位八進制數。使用叫做數字許可權語法的語法，每一位代表一個許可權三元組。例如，在 1777 中，777 設置本章我們所討論的「owner」、「group」和「other」標志。1 用來設置專門的許可權位，我們將在本章的結束部分講到。

舉例：7=4+2+1，讀寫執行，5=4+1，讀執行。各種組合方式。
rwx 7 rw- 6 r-x 5 r-- 4 -wx 3 -w- 2 --x 1 --- 0

當進程創建了新文件時，它指定新文件應該具有的許可權。通常，所請求的模式是 0666（每個人可讀和可寫），它比我們希望的具有更多的許可權。幸運的是，不管什麼時候創建了新文件，Linux 將參考叫做「umask」的東西。系統用 umask 值來將初始指定的許可權降低為更合理、更安全的許可權。您可以通過在命令行中輸入 umask 來查看您當前的 umask 設置：

Linux 系統上，umask 的預設值一般為 0022，它允許其他人讀您的新文件（如果他們可以得到它們），但是不能進行修改。為了在預設的情況下使新文件更安全，您可以改變 umask 設置： $ umask 0077umask 將確保組和其他用戶對於新創建的文件絕對沒有任何許可權。那麼，umask 怎樣工作呢？ 與文件的「常規」許可權不同，umask 指定應該關閉哪一個許可權 。我們來參閱一下我們的「模式到數字」映射表，從而使我們可以理解 0077 的 umask 的意思是什麼： 模式 數字 rwx 7 rw- 6 r-x 5 r-- 4 -wx 3 -w- 2 --x 1 --- 0 使用該表，0077 的最後三位擴展為 ---rwxrwx。現在，請記住 umask 告訴系統禁用哪個許可權。根據推斷，我們可以看到將關閉所有「組」和「其他」許可權，而「用戶」許可權將保留不動。

當您最初登錄時，將啟動一個新的 shell 進程。您已經知道，但是您可能還不知道這個新的 shell進程（通常是 bash）使用您的用戶標識運行。照這樣，bash 程序可以訪問所有屬於您的文件和目錄。事實上，作為用戶，我們完全依靠其它程序來代表我們執行操作。因為您啟動的程序繼承了您的用戶標識，因此它們不能訪問任何不允許您訪問的文件系統對象。例如，一般用戶不能直接修改 passwd 文件，因為「write」標志已經對除「root 用戶」以外的每個用戶關閉：

但是，一般用戶確實需要在他們需要改變其密碼的任何時候，能夠修改 /etc/passwd（至少間接地）。但是，如果用戶不能修改該文件，究竟怎樣完成這個工作呢？
Suid
幸好，Linux 許可權模型有兩個專門的位，叫做「suid」和「sgid」。當設置了一個可執行程序的「suid」這一位時，它將代表可執行文件的所有者運行，而不是代表啟動程序的人運行。現在，回到 /etc/passwd 問題。如果看一看 passwd 可執行文件，我們可以看到它屬於 root 用戶：
$ ls -l /usr/bin/passwd
-rwsr-xr-x 1 root wheel 17588 Sep 24 00:53 /usr/bin/passwd
您還將注意到，這里有一個 s 取替了用戶許可權三元組中的一個 x。這表明，對於這個特殊程序，設置了 suid 和可執行位。由於這個原因，當 passwd 運行時，它將代表 root 用戶執行（具有完全超級用戶訪問權），而不是代表運行它的用戶運行。又因為 passwd 以 root 用戶訪問權運行，所以能夠修改 /etc/passwd 文件，而沒有什麼問題。
suid/sgid 告誡說明
我們看到了 suid 怎樣工作，sgid 以同樣的方式工作。它允許程序繼承程序的組所有權，而不是當前用戶的程序所有權。這里有一些關於 suid 和 sgid 的其它的但是很重要的信息。首先，suid 和 sgid 占據與 ls -l 清單中 x 位相同的空間。如果還設置了 x 位，則相應的位表示為 s（小寫）。但是，如果沒有設置 x 位，它將表示為 S（大寫）。另一個很重要的提示：在許多環境中，suid 和 suid 很管用，但是不恰當地使用這些位可能使系統的安全遭到破壞。最好盡可能地少用「suid」程序。passwd 命令是為數不多的必須使用「suid」的命令之一。
改變 suid 和 sgid
設置和除去 suid 與 sgid 位相當簡單。這里，我們設置 suid 位：

此處，我們從一個目錄除去 sgid 位。我們將看到 sgid 位怎樣影響下面幾屏中的目錄：

許可權和目到此為止，我們從常規文件的角度來看許可權。當從目錄的角度看許可權時，情況有一點不同。目錄使用同樣的許可權標志，但是它們被解釋為表示略微不同的含義。 對於一個目錄，如果設置了「read」標志，您可以列出目錄的內容；「write」表示您可以在目錄中創建文件，「execute」表示您可以進入該目錄並訪問內部的任何子目錄。沒有「execute」標志，目錄內的文件系統對象是不可訪問的。沒有「read」標志，目錄內的文件系統對象是不可查看的，但是只要有人知道磁碟上對象的完整路徑，就仍然可以訪問目錄內的對象。目錄和 sgid如果啟用了目錄的「sgid」標志，在目錄內創建的任何文件系統對象將繼承目錄的組。當您需要創建一個屬於同一組的一組人使用的目錄樹時，這種特殊的功能很管用。只需要這樣做：

現在，mygroup 組中的所有用戶都可以在 /home/groupspace 內創建文件或目錄，同樣，他們也將自動地分配到 mygroup 的組所有權。根據用戶的 umask 設置，新文件系統對象對於 mygroup 組的其他成員來說，可以或不可以是可讀、可寫或可執行的。目錄和刪除預設情況下，Linux 目錄以一種不是在所有情況下都很理想的方式表現。一般來說，只要對一個目錄有寫訪問權，任何人都可以重命名或刪除該目錄中的文件。對於個別用戶使用的目錄，這種行為是很合理的。但是，對於很多用戶使用的目錄來說，尤其是 /tmp 和 /var/tmp，這種行為可能會產生麻煩。因為任何人都可以寫這些目錄，任何人都可以刪除或重命名任何其他人的文件 — 即使是不屬於他們的！顯然，當任何其他用戶在任何時候都可以輸入「rm -rf /tmp/*」並損壞每個人的文件時，很難把 /tmp 用於任何有意義的文件。所幸，Linux 有叫做「粘滯位」（sticky bit）的東西。當給 /tmp 設置了粘滯位（用chmod +t），唯一能夠刪除或重命名 /tmp 中文件的是該目錄的所有者（通常是 root 用戶）、文件的所有者或 root 用戶。事實上，所有 Linux 分發包都預設地啟用了 /tmp 的粘滯位，而您還可以發現粘滯位在其它情況下也很管用。難以理解的第一位
總結本章，我們最後來看一看數字模式的難以理解的第一位數。您可以看到，這個第一位數
用來設置 sticky、suid 和 sgid 位：
suid sgid sticky 模式數字 on on on 7 on on off 6 on off on 5 on off off 4 off on on 3 off on off 2 off off on 1 off off off 0
這里有一個怎樣用 4 位數字模式來設置一個目錄的許可權的示例，該目錄將由一個工作組使用：
# chmod 1775 /home/groupfiles
請想一想 1755 數字模式許可權設置的含義。

linux許可權補充：rwt rwT rws rwS 特殊許可權

眾所周知，Linux的文件許可權如: 777；666等，其實只要在相應的文件上加上UID的許可權，就可以用到加許可權人的身份去運行這個文件。所以我們只需要將bash復制出來到另一個地方，然後用root加上UID許可權,只要用戶運行此Shell就可以用用root的身份來執行任何文件了

一個文件都有一個所有者, 表示該文件是誰創建的. 同時, 該文件還有一個組編號, 表示該文件所屬的組, 一般為文件所有者所屬的組.

如果是一個可執行文件, 那麼在執行時, 一般該文件只擁有調用該文件的用戶具有的許可權. 而setuid, setgid 可以來改變這種設置.

setuid：該位是讓普通用戶可以以root用戶的角色運行只有root帳號才能運行的程序或命令。比如我們用普通用戶運行passwd命令來更改自己的口令，實際上最終更改的是/etc/passwd文件我們知道/etc/passwd文件是用戶管理的配置文件，只有root許可權的用戶才能更改

[root@localhost ~]# ls -l /etc/passwd

-rw-r--r-- 1 root root 2379 04-21 13:18 /etc/passwd

作為普通用戶如果修改自己的口令通過修改/etc/passwd肯定是不可完成的任務，但是不是可以通過一個命令來修改呢答案是肯定的，作為普通用戶可以通過passwd 來修改自己的口令這歸功於passwd命令的許可權我們來看一下；

[root@localhost ~]# ls -l /usr/bin/passwd

-r-s--x--x 1 root root 21944 02-12 16:15 /usr/bin/passwd

因為/usr/bin/passwd 文件已經設置了setuid 許可權位（也就是r-s--x--x中的s），所以普通用戶能臨時變成root，間接的修改/etc/passwd，以達到修改自己口令的許可權

setgid: 該許可權只對目錄有效. 目錄被設置該位後, 任何用戶在此目錄下創建的文件都具有和該目錄所屬的組相同的組.

sticky bit: 該位可以理解為防刪除位. 一個文件是否可以被某用戶刪除, 主要取決於該文件所屬的組是否對該用戶具有寫許可權. 如果沒有寫許可權, 則這個目錄下的所有文件都不能被刪除, 同時也不能添加新的文件. 如果希望用戶能夠添加文件但同時不能刪除文件, 則可以對文件使用sticky bit位. 設置該位後, 就算用戶對目錄具有寫許可權, 也不能刪除該文件.

下面說一下如何操作這些標志:

操作這些標志與操作文件許可權的命令是一樣的, 都是 chmod. 有兩種方法來操作,

chmod g+s tempdir -- 為tempdir目錄加上setgid標志 (setgid 只對目錄有效)

chmod o+t temp -- 為temp文件加上sticky標志 (sticky只對文件有效)

abc

a - setuid位, 如果該位為1, 則表示設置setuid 4---

b - setgid位, 如果該位為1, 則表示設置setgid 2---

c - sticky位, 如果該位為1, 則表示設置sticky 1---

設置完這些標志後, 可以用 ls -l 來查看. 如果有這些標志, 則會在原來的執行標志位置上顯示. 如

rwsrw-r-- 表示有setuid標志

rwxrwsrw- 表示有setgid標志

rwxrw-rwt 表示有sticky標志

那麼原來的執行標志x到哪裡去了呢? 系統是這樣規定的, 如果本來在該位上有x, 則這些特殊標志顯示為小寫字母 (s, s, t). 否則, 顯示為大寫字母 (S, S, T)
https://blog.csdn.net/zhao12795969/article/details/53448039/

4. Linux文件許可權符號含義

Linux文件許可權符號含義

在Linux中，每個文件都有不同的許可權。用戶可以使用ls -l命令查看許可權屬性。其中，符號含義如下所示：

r：讀許可權。

w：寫許可權。

x：可執行許可權。

-：沒有許可權。

s：SET位許可權。

t：粘滯位許可權。

例如，可執行文件ls的許可權為-rwxr-xr-x。其中，第一個符號表示文件類型，-表示普通文件；後面分別為所有者許可權、所屬組的許可權和其它用戶許可權。這里，表示ls文件的所有者許可權為讀、寫和可執行；所屬組的許可權為讀和可執行；其它用戶許可權為讀和可執行。在一些文件許可權屬性後面，可能顯示為點、加號或空格，如「-rw-rw-r--.」或「-rw-r--r--+」。其中，許可權屬性後面有點，表示該文件帶有「SELinux的安全上下文」；許可權屬性後面標記為加號（+），表示使用了ACL（Access Control List）許可權。如果文件許可權後面附加一個空格，則表示系統沒有可替換的訪問控制措施。

5. Linux系統下用戶以及許可權管理

一、操作系統中的用戶管理 相關配置文件解讀

Linux用戶在操作系統可以進行日常管理和維護，涉及到的相關配置文件如下：

/etc/passwd 保存操作系統中的所有用戶信息

root : x : 0 : 0 : root : /root : /bin/bash

name:password:UID:GID:GECOS:directory:shell

用戶名 ：密碼佔位符 ：uid ：基本組的gid ：用戶信息記錄欄位：用戶的家目錄：用戶登錄系統後使用的命令解析器

————————————————

欄位1：用戶名

欄位2：密碼佔位符

欄位3：用戶的UID 0 表示超級用戶 ， 500-60000 普通用戶 ， 1-499 程序用戶

欄位4：基本組的GID 先有組才有用戶

欄位5：用戶信息記錄欄位

欄位6：用戶的家目錄

欄位7：用戶登錄系統後使用的命令解釋器

————————————————

UID：0表示超級用戶， 程序用戶 （1-499），普通用戶 （500以上60000以下），根據uid將用戶分為以上三類用戶。

/etc/shw 保存用戶密碼（以加密形式保存）

[root@xing /]# cat /etc/shadow

root : $6$Jw5XsDvvNBH5Xoq. : 19180 : 0 : 99999 : 7 : : :

用戶名：密碼（加密後的字元串）：最近一次的修改時間【距離1970年1月1日的距離】：密碼的最短有效期：密碼的最長有效期：密碼過期前7天警告：密碼的不活躍期：用戶的失效時間： 保留欄位

————————————————

欄位1：用戶名

*欄位2：用戶的密碼加密後的字元串（sha）

欄位3：距離1970/1/1密碼最近一次修改的時間

欄位4：密碼的最短有效期

*欄位5：密碼的最長有效期（建議時間 90）

欄位6：密碼過期前7天警告

欄位7：密碼的不活躍期

欄位8：用戶的失效時間

欄位9：保留欄位

這個欄位目前沒有使用，等待新功能的加入。

————————————————

/etc/group 保存組信息

————————————————

root:x:0:

bin:x:1:bin,daemon

組名：組的密碼佔位符：gid：附加組成員

————————————————

/etc/login.defs 用戶屬性限制,密碼過期時間,密碼最大長度等限制

/etc/default/useradd 顯示或更改默認的useradd配置文件

二、文件及目錄許可權

文件與許可權： 即文件或者目錄屬於哪個用戶，屬於哪個組，不同的用戶能對該文件進行何種操作。

————————————————

註：

查看文件許可權： ls -l 文件

查看目錄許可權 ： ls -ld 目錄

————————————————

[root@xing Desktop]# ls -l /root/Desktop/

total 70584

lrwxrwxrwx. 1 root root 18 Jul 14 14:32 123.txt -> /root/Desktop/ming

-rw-r--r--. （文件屬性） 1 （鏈接個數： 表示指向它的鏈接文件的個數 ） root （所屬者） root （所屬組） 0（文件大小：單位byte） Jul 14 14:14（最後一次修改時間） 2.txt（文件名）

drwx------.（文件屬性） 7 （目錄中的子目錄數： 此處看到的值要減2才等於該目錄下的子目錄的實際個數。 ） root （所屬者） root （所屬組） 4096 （文件大小：單位byte）Jul 13 16:56（最後一次修改時間） vmware-tools-distrib（目錄名）

[root@xing Desktop]# ls -ld /root/Desktop/

drwxr-xr-x. 3 root root 4096 Jul 14 14:44 /root/Desktop/

————————————————

文件屬性解釋：

- rw- r-- r-- .

d rwx r-x r-x .

欄位1：文件類型 【- 普通文件 d目錄 l符號鏈接 b塊設備】

欄位2：文件所有者對該文件的許可權

欄位3：文件所屬組的許可權

欄位4：其他用戶的許可權（既不是文件所有者也不是文件所屬組的用戶）

欄位5：表示文件受 selinux 的程序管理

8進制賦權法： r 【100】4； w【010】2； x【001】1

————————————————

三、用戶以及許可權管理命令匯總：

————————————————

用戶增刪改命令

useradd

userdel

usermod

————————————————

用戶組增刪改命令

groupadd

groupdel

groupmod

————————————————

passwd

change

————————————————

文件許可權修改: chmod命令

chmod 對象 算數運算符 許可權 文件

[root@xing tmp]# ls -ld ming

drwxr-xr-x. 2 root root 4096 Jul 16 10:27 ming

[root@xing tmp]# chmod o-x ming

[root@xing tmp]# ls -ld ming

drwxr-xr--. 2 root root 4096 Jul 16 10:27 ming

————————————————

文件所屬者修改：

chown 用戶 文件

[root@xing tmp]# chown ming ming

[root@xing tmp]# ls -ld ming

drwxr-xr--. 2 ming root 4096 Jul 16 10:27 ming

————————————————

文件所屬組修改：

chgrp 組 文件

[root@xing tmp]# chgrp ming ming

[root@xing tmp]# ls -ld ming

drwxr-xr--. 2 ming ming 4096 Jul 16 10:27 ming

————————————————

8進制賦權法

[root@xing ~]# chmod 644 /tmp/ming

[root@xing ~]# ls -ld /tmp/ming

drw-r--r--. 2 ming ming 4096 Jul 16 10:27 /tmp/ming

————————————————

linux下命令「ll」是「ls -l"的別名。

————————————————

粘滯位：賦權後的文件 只有建立者可以刪除

chmod o+t 文件

[root@xing ~]# chmod o+t /tmp/ming

[root@xing ~]# ll -d /tmp/ming

drw-r--r-T . 2 ming ming 4096 Jul 16 10:27 /tmp/ming

————————————————

sgid ： 賦權後的目錄，新建立的文件或者子目錄的所屬組繼承父目錄的所屬組

chmod g+s 目錄

[root@xing ming]# chmod g+s /tmp/ming

[root@xing tmp]# ll

drw-r-Sr-T. 2 ming ming 4096 Jul 16 11:29 ming

[root@xing ming]# touch 20.txt

[root@xing ming]# ll

-rw-r--r--. 1 root ming 0 Jul 16 11:33 20.txt

[root@xing ming]# mkdir 60

[root@xing ming]# ll

drwxr-sr-x. 2 root ming 4096 Jul 16 11:34 60

————————————————

suid ：允許誰運行該文件具有該文件所屬者的許可權

chmod u+s 文件

[root@xing Desktop]# ll /usr/bin/vim

-rwxr-xr-x. 1 root root 2324712 Dec 22 2016 /usr/bin/vim

[root@xing Desktop]# chmod u+s /usr/bin/vim

[root@xing Desktop]# ll /usr/bin/vim

-rwsr-xr-x. 1 root root 2324712 Dec 22 2016 /usr/bin/vim

備註：linux 紅底白字代表警告！

————————————————

[root@xing Desktop]# echo $PATH

/usr/lib64/qt-3.3/bin:/usr/local/sbin:/usr/sbin:/sbin:/usr/local/bin:/usr/bin:/bin:/root/bin

suid：4 sgid：2 粘滯位：1

[root@xing Desktop]# find /usr/bin -perm 4 755

/usr/bin/at

/usr/bin/chage

/usr/bin/pkexec

/usr/bin/Xorg

/usr/bin/crontab

/usr/bin/newgrp

/usr/bin/vim

/usr/bin/gpasswd

/usr/bin/passwd

/usr/bin/ksu

————————————————

1、不再允許添加新用戶的請求

chattr命令 ：用於改變文件屬性

chattr +i 文件

lsttr命令 ：查看文件屬性

lsattr 文件

[root@xing Desktop]# lsattr /etc/passwd /etc/shadow

-------------e- /etc/passwd

-------------e- /etc/shadow

[root@xing Desktop]# chattr +i /etc/passwd /etc/shadow

[root@xing Desktop]# lsattr /etc/passwd /etc/shadow

----i--------e- /etc/passwd

----i--------e- /etc/shadow

[root@xing Desktop]# useradd kk

useradd: cannot open /etc/passwd

2、umask

root用戶的umask默認值是0022，一般用戶默認是0002

目錄的最高許可權 0777-0022=0755

文件的最高許可權 0666-0022=644

一般伺服器配置umask的值配置為027最好；需要去修改兩處文件中的umask值。

/etc/profile

/etc/bashrc

3、修改默認的密碼最長有效期：修改以下配置文件

/etc/login.defs