1、文件权限的机制是Linux系统的一大特色,对于初学Linux的人对可读(r)、可写(w)、可执行(x)这都是比较基本的权限。
一个文件的权限有十个位,分为4组来表示。第一个位为一组,表示文件的类型:
-:表示一般文件 d:表示目录文件 l:表示链接文件
b:表示块设备 c:表示字符设备 p:表示管道 s:表示套接字
但是Linux还有三个比较特殊的权限,分别是:setuid,setgid,stick bit (粘滞位)。
第一组:文件类型
第二组:owner/user的访问权限 rwx(4+2+1=7)
第三组:group的访问权限rwx
第四组:other的访问权限rwx
上图中的123.txt,文件类型-,是一般文件,user的访问属性rw-,可读、可写、不能执行,用数字表示是6;
group是users,访问属性是rw-,即属于users这个group中的成员可读、可写这个文件。
other的访问权限是r--,只读的,数字表示是4,合起来是644.
2、setuid 和setgid:
以/etc/passwd为例,可以看到它的文件属性是rw-r--r--,即只有文件的所有者拥有读写的权限,而用户组成员和其他成员只有查看的权限。
若要在系统中修改一个用户的密码,root用户和普通用户均可以用"/usr/bin/passwd 用户名"这个命令来修改/etc/passwd这个文件。
普通用户没有写/etc/passwd的权限,是怎么修改的呢?这里用到了setuid。
---- setuid的作用是:让执行该文件的用户以该文件拥有者的身份去执行。即普通用户执行passwd时,拥有root的权限。
这样就可以修改/etc/passwd这个文件了。它的标志为:s,会出现在x的地方,如rwsr-xr-x,用户必须拥有执行权限。
注意:
---- SetUID
:
让
执行
该文件的
用户以
该
文件
拥有者
的权限去
执行
。
---- 只有
可以执行
的二进制
文件
才能设定
UID
权限
---- 命令执行用户要对该文件
拥有
x
(执行)权限
---- 命令执行用户在执行该文件时获得该程序
文件属主
的身份
---- SetUID
权限只在文件执行过程中有效,即身份改变只在执行过程中
-- linux普通用户是有权限修改自己密码的,而普通用户又不俱备对
/
etc
/shadow
这个
文件的
任何权限
。
在
linux
系统下,用户修改密码
(
即
修改
/
etc
/shadow
文件
)
是通过
passwd
(
此命令文件
的路径
为
/
usr
/bin/
passwd
)
这个
命令进行修改的。
-- 普通用户修改密码使用
passwd
命令;这时由于
passwd
命令拥有
setUID
权限
,
所以
linux
系统临时把
passwd
这个命令文件的所有者
(root)
身份角色
赋给普通用户,普通用户便拥有了
root
身份当然也就能够用
passwd
去修改
/
etc
/shadow
文件了,从而修改了密码
。
非
root
用户,在执行
passwd
命令
时检测到有
setUID
权限;从而灵魂附体变成了超级管理员
root
。
也就达到了普通用户也可以通过
passwd
命令去修改
/
etc
/shadow
文件。
---- setgid,类似于setuid,即让执行文件的用户已文件所属组的权限去执行。
3、stick bit 粘滞位
---- 用于
共享目录
下文件夹的管理。
---- 若所有
的用户
在某目录
下拥有所有的权限
,即在
该目录下可以任意创建、修改、删除文件,那如果用户
A
在该目录下创建了
一个文件
,用户
B
将该文件删除了,这种情况我们是不能允许的。为了达到该目的,就出现了
stick bit(
粘滞位
)
的概念
。
---- 该位是
针对目录的
,
如果某目录
设置了
stick bit(
粘滞位
)
,则该目录下的文件除了该文件的创建者和
root
用户可以删除和
修改外,
别的
用户
没有权利删、改,这就是
粘滞位的作用
。
4、给文件设置特殊权限
---- 设置setuid权限
$ chmod 47xx xxx
$ chmod u+s xxx
注意:有时你设置了s或t 权限,你会发现它变成了S或T,这是因为在那个位置上你没有给它x(可执行)的权限,这样的话这样的设置是
不会有效的,你可以先给它赋上x的权限,然后再给s或t 的权限。
---- 设置setgid权限
$ chmod 2775 xxx
$ chmod g+s xxx
---- 设置stick bit
$ chmod 1755 xxx
$ chmod o+t xxx