• Linux系统之文件的SUID、SGID、Sticky权限说明


    1、SUID  

        首先我们要了解,在Linux中启动一个程序或者启动一个进程是需要有用户的,一个文件的存在是要有用户和组的,一个进程启动后,它的属主取决于进程的发起者,比如 我用root用户启动了一个 cat 进程,那么cat 进程的属主就是root,同理我用user1启动more进程,more进程对应的属主就是user1。其次,一个可执行文件或者一个程序是否能启动为进程,取决于它的发起者是否拥有可执行的权限。那么问题来了,普通用户对文件有可执行的权限,但是对其配置文件 或者作用于其他文件没有权限怎么办?比如普通用户要修改自己的密码,修改密码就要用到passwd这个命令对吧,但是passwd这个命令它会把密码写到/etc/shadow,但是/etc/shadow这个文件只有root用户能够写,那么普通用户怎么把自己的密码写到/etc/shadow里的呢?这时我们就要说下SUID的作用了。SUID它主要作用是设置了suid的可执行二进制文件在启动为进程后,其进程的属主不在是启动二进制可执行文件的用户,而是二进制文件本身的属主,也就是说设置了SUID权限的可执行二进制文件在启动为进程后,其进程属主不在取决于发起者了,也就是说不管那个用户去启动它 ,其进程都是其可执行二进制文件的属主。比如我们给/bin/cat 设置SUID后 不管那个用户都可以用cat查看root有查看权限,而普通用户没有查看权限的文件,也就说当其他用户执行cat这个二进制可执行文件时,系统会默认把权限识别成root用户,当普通用户用cat去查看一个自己没有查看权限的文件时,系统会认为是root在查看这个文件,所有当我们给/bin/cat设置了SUID后,其他用户在用cat命令时 都会临时变成root用户。也就是因为这样 普通用户就可以才看自己本身没有查看权限的文件。

    设置SUID的文件要求有如下几点:

    1. SUID只对可执行的二进制文件起作用,shell脚本设置后不生效。
    2. 如果设置了其suid后,其属主位的可以执行权限x会变成s(小写),如果是大写S 那么说设置的文件没有可执行权限,设置的SUID无效。
    3. SUID对目录设置无意义。

    SUID设置方法:

          字母设置方式:chmod u+s file 

          取消SUID:chmod u-s file  

          数字设置方式:chmod 4755 在普通三位数字权限位之前,4代表添加的SUID

          取消SUID:chmod 0755

    做个小验证,就拿我们上面说的给cat命令对应的可执行二进制文件设置SUID

    [user2@test project]$ whoami
    user2
    [user2@test project]$ ll /etc/shadow
    ---------- 1 root root 1043 Oct 23 13:41 /etc/shadow
    [user2@test project]$ cat /etc/shadow
    cat: /etc/shadow: Permission denied
    

      提示:我们可以看到在没有设置SUID的情况下 ,普通用户更不就不能对/etc/shadow 进行查看的

    给cat 设置SUID

    [root@test project]# whoami
    root
    [root@test project]# which cat
    /bin/cat
    [root@test project]# ll /bin/cat
    -rwxr-xr-x. 1 root root 47976 Nov 22  2013 /bin/cat
    [root@test project]# chmod u+s /bin/cat
    [root@test project]# ll /bin/cat
    -rwsr-xr-x. 1 root root 47976 Nov 22  2013 /bin/cat
    

      提示:给文件设置suid必须是文件的属主,这里cat是root所有要用root去设置SUID,设置了suid后其文件对应的属主可执行为位上的x会变成s,如果是大写S表示文件没有可执行权限,设置SUID无效。

    用普通用户去使用cat命令查看普通用户没有查看权限的文件

    [user2@test project]$ whoami
    user2
    [user2@test project]$ ll /etc/shadow
    ---------- 1 root root 1043 Oct 23 13:41 /etc/shadow
    [user2@test project]$ cat /etc/shadow
    root:$6$ue2dy8rF$pW5rghiycQ1MFycSq0jjRfgb2wIXFm9Jl0h9hqNWfHOCX8NdHXW1HpN0Eb2q40Aw/kmQAUldxZsVQD504iv6c.:17685:0:99999:7:::
    bin:*:15980:0:99999:7:::
    daemon:*:15980:0:99999:7:::
    adm:*:15980:0:99999:7:::
    lp:*:15980:0:99999:7:::
    sync:*:15980:0:99999:7:::
    shutdown:*:15980:0:99999:7:::
    halt:*:15980:0:99999:7:::
    mail:*:15980:0:99999:7:::
    uucp:*:15980:0:99999:7:::
    operator:*:15980:0:99999:7:::
    省略部分内容...
    

    2、SGID

        SGID属性同SUID一样,只是SUID作用于属主,而SGID作用于属组,SGID作用在二进制程序上时,执行权限的程序时此用户将继承此程序的所属组权限,作用于目录上时,此文件夹下所有用户新建文件都自动继承此目录的用户组。同样在设置SGID的文件后,其组权限位上的可执行权限x会变成s,如果变成了S 说明其组权限位上没有可执行权限,设置SGID无效。

    不设置SGID普通用户查看无权限查看的文件(还是以上面cat的例子)

    [root@test project]# ll
    total 4
    ----r----- 1 root root 16 Oct 23 16:13 a.root
    [root@test project]# ll /bin/cat
    -rwxr-xr-x. 1 root root 47976 Nov 22  2013 /bin/cat
    [root@test project]# whoami
    root
    [root@test project]# cat a.root 
    iamroot
    iamroot
    [root@test project]# su - user1
    [user1@test ~]$ whoami
    user1
    [user1@test ~]$ cd /tmp/project/
    [user1@test project]$ ll
    total 4
    ----r----- 1 root root 16 Oct 23 16:13 a.root
    [user1@test project]$ cat a.root 
    cat: a.root: Permission denied
    [user1@test project]$ 

    设置SGID后普通用户查看自己没有查看权限的文件

    [user1@test project]$ su -
    Password: 
    [root@test ~]# whoami
    root
    [root@test ~]# ll /bin/cat
    -rwxr-xr-x. 1 root root 47976 Nov 22  2013 /bin/cat
    [root@test ~]# chmod g+s /bin/cat
    [root@test ~]# ll /bin/cat
    -rwxr-sr-x. 1 root root 47976 Nov 22  2013 /bin/cat
    [root@test ~]# su - user1
    [user1@test ~]$ cd /tmp/project/
    [user1@test project]$ ll
    total 4
    ----r----- 1 root root 16 Oct 23 16:13 a.root
    [user1@test project]$ whoami
    user1
    [user1@test project]$ cat a.root 
    iamroot
    iamroot
    

      提示:设置SGID的方式和SUID的方式一样 只是SUID作用于user位,SGID作用于group。所以chmod g+s file 或者chmod g-s 数字表示法是 chmod 2755 file 在普通三位数字权限位之前,2代表添加的SGID

    SGID作用于目录上时,此文件夹下所有用户新建文件都自动继承此目录的用户组

    在不设置SGID的目录下创建文件,文件的属主和属组 默认是该用户。

    [user1@test project]$ ll -d 
    drwxrwxr-x 2 root test 4096 Oct 23 19:53 .
    [user1@test project]$ mkdir test
    [user1@test project]$ touch user1
    [user1@test project]$ ll
    total 8
    ----r----- 1 root  root    16 Oct 23 16:13 a.root
    drwxrwxr-x 2 user1 user1 4096 Oct 23 19:53 test
    -rw-rw-r-- 1 user1 user1    0 Oct 23 19:54 user1
    

      提示:可以看出在没有设置SGID的情况下,在其目录下创建文件或目录时,文件和目录默认属组是其创建者,它不继承其父目录的属组。

    给目录设置SGID,然后在其目录下创建文件和目录,其文件和目录继承父目录属组权限

    [user1@test project]$ ll -d .
    drwxrwxr-x 3 root test 4096 Oct 23 19:54 .
    [user1@test project]$ su - root
    Password: 
    [root@test ~]# whoami
    root
    [root@test ~]# cd /tmp/project/
    [root@test project]# ll -d
    drwxrwxr-x 3 root test 4096 Oct 23 19:54 .
    [root@test project]# chmod g+s /tmp/project/
    [root@test project]# ll /tmp/project/ -d
    drwxrwsr-x 3 root test 4096 Oct 23 19:54 /tmp/project/
    [root@test project]# mkdir test1
    [root@test project]# touch user11
    [root@test project]# ll
    total 12
    ----r----- 1 root  root    16 Oct 23 16:13 a.root
    drwxrwxr-x 2 user1 user1 4096 Oct 23 19:53 test
    drwxr-sr-x 2 root  test  4096 Oct 23 19:59 test1
    -rw-rw-r-- 1 user1 user1    0 Oct 23 19:54 user1
    -rw-r--r-- 1 root  test     0 Oct 23 19:59 user11
    [root@test project]# 
    

      提示:从上面的示例可以得出,在我们设置SGID后,其组权限位上的执行权限x变成了s(小写),他和SUID一样,如果其组权限位上的可执行权限位变成了大写的S ,表示其目录组权限位上原来是没有执行权限,当然我们设置的SGID也是无效的。其次就是我们给目录设置了SGID后,在其目录下创建文件或目录都会继承其父目录的组权限,也就是说我父目录设置了SGID,其组权限对应的是test,那么其他用户在其目录下创建文件都属于test这个组里的,同时拥有test组权限。

    3.Sticky

    前面我们说了SUID和SGID,接下来我们再说下Sticky,这个权限的主要作用是在一个公共目录,每个用户都可以创建文件,删除自己的文件,但是不能删除别人的文件。这个权限只能用于目录,当某个目录拥有其Sticky权限 ,则其目录下的文件和目录只有root和其拥有者删除,其他用户不能删除,也就是说用户只能删除其自己本身属主的文件,不能删除其他属主的文件。如果一个目录设置了其sticky权限,则其目录其他用户组的执行权限x会变成t(小写),它和SUID、SGID一样如果对应位是位上的可执行x变成了大写T ,那么表示其目录其他用户位上没有可执行权限,当然设置的Sticky就无效。当然设置方法和SUID、SGID一样 都是用chmod命令来设置,只是Sticky作用于目录的其他用户位,字母设置方法 chmod o+t dir ,取消 chmod o-t dir 数字设置方法:chmod 1755(1表示Sticky) 当然取消就把其数字改写成0.

    不设置Sticky,删除目录里文件

    [root@test ~]# su - user1
    [user1@test ~]$ whoami
    user1
    [user1@test ~]$ cd /tmp/project/
    [user1@test project]$ ll -d
    drwxrwsr-x 4 root test 4096 Oct 23 19:59 .
    [user1@test project]$ ll
    total 12
    ----r----- 1 root  root    16 Oct 23 16:13 a.root
    drwxrwxr-x 2 user1 user1 4096 Oct 23 19:53 test
    drwxr-sr-x 2 root  test  4096 Oct 23 19:59 test1
    -rw-rw-r-- 1 user1 user1    0 Oct 23 19:54 user1
    -rw-r--r-- 1 root  test     0 Oct 23 19:59 user11
    [user1@test project]$ rm -fr *
    [user1@test project]$ ll
    total 0
    [user1@test project]$ 
    

      提示:可以看出我们普通用户是可以随意删除去不是本用户属主的文件,这样会导致一个问题,就是在一个公共的目录下,每个用户的文件不安全,因为每个人都可以去删除。

    设置Sticky,删除其下的目录和文件

    [user1@test project]$ mkdir test
    [user1@test project]$ touch user1
    [user1@test project]$ su -
    Password: 
    [root@test ~]# cd /tmp/project/
    [root@test project]# mkdir root1
    [root@test project]# touch root12
    [root@test project]# ll
    total 8
    drwxr-sr-x 2 root  test 4096 Oct 23 20:27 root1
    -rw-r--r-- 1 root  test    0 Oct 23 20:27 root12
    drwxrwsr-x 2 user1 test 4096 Oct 23 20:26 test
    -rw-rw-r-- 1 user1 test    0 Oct 23 20:26 user1
    [root@test project]# ll -d
    drwxrwsr-x 4 root test 4096 Oct 23 20:27 .
    [root@test project]# chmod o+t .
    [root@test project]# ll -d
    drwxrwsr-t 4 root test 4096 Oct 23 20:27 .
    [root@test project]# su - user1
    [user1@test ~]$ cd /tmp/project/
    [user1@test project]$ ll
    total 8
    drwxr-sr-x 2 root  test 4096 Oct 23 20:27 root1
    -rw-r--r-- 1 root  test    0 Oct 23 20:27 root12
    drwxrwsr-x 2 user1 test 4096 Oct 23 20:26 test
    -rw-rw-r-- 1 user1 test    0 Oct 23 20:26 user1
    [user1@test project]$ rm -fr root*
    rm: cannot remove `root1': Operation not permitted
    rm: cannot remove `root12': Operation not permitted
    [user1@test project]$       
    

      提示:可以看出当我们给公共目录设置了Sticky属性后,其普通用户是不能删除其属主不是自己本身的文件。Sticky属性只针对目录,对其文件不生效。

    通过以上的示例得出几点:

        1、在给文件或目录设置特殊权限时,其文件对应位上必须拥有可执行权限,否则设置特殊全无效。如果对应位上没有可执行权限,设置了特殊权限会在对应位上显示大写的字母,表示其特殊权限无效。

        2、SUID只能作用于可执行的二进制文件,对目录无效。SGID可作用于可执行二进制文件和目录,Sticky只能作用于目录,对文件无效。

        3、都是用chmod 进行授权。对于SUID和SGID都是+-s ,对于Sticky是+-t ,其中SUDI对应user位,SGID对应group位,Sticky对应other位,数字表示法,4表示SUID,2表示SGID,1表示Sticky。

  • 相关阅读:
    编写更好的CSS
    EntityFramework中支持BulkInsert扩展
    NoSql数据库使用
    jsoneditor显示Json data
    资源
    了解你的被测系统(why?)
    SQL SERVER开窗函数
    oracle中的exists 和not exists 用法详解(转)
    visualvm监控jvm及远程jvm监控方法(转)
    爆:中国互联网的那些黑色产业链(转)
  • 原文地址:https://www.cnblogs.com/qiuhom-1874/p/9838468.html
Copyright © 2020-2023  润新知