setuid和setgid权限说明

最新推荐文章于 2022-11-26 14:43:10 发布
最新推荐文章于 2022-11-26 14:43:10 发布
阅读量2.5k 收藏 3
点赞数

1setuidsetgid的解说

setuid和setgid位是让普通用户可以以root用户的角色运行只有root帐号才能运行的程序或命令。比如我们用普通用户运行passwd命令来更改自己的口令,实际上最终更改的是/etc/passwd文件,我们知道/etc/passwd文件是用户管理的配置文件,只有root权限的用户才能更改:

640?wx_fmt=png


作为普通用户,如果修改自己的口令通过修改/etc/passwd肯定是不可完成的任务,是不是可以通过一个命令来修改呢?答案是肯定的,作为普通用户可以通过passwd 来修改自己的口令,这归功于passwd命令的权限。我们来看一下:

640?wx_fmt=png


因为/usr/bin/passwd 文件已经设置了setuid 权限位(也就是r-s--x--x中的s),所以普通用户能临时变成root,间接的修改/etc/passwd,以修改自己口令的权限。

我们在Linux 系统中的超级权限的控制中有提到过我们知道Linux的用户管理是极为严格的,不同的用户拥有不同的权限,为了完成只有root用户才能完成的工作,我们必须为普通用户提升权限,最常用的方法就是su或sudo,虽然setuid 和setgid也是让普通用户超越自身拥有的普通权限达到root权限的方法,但我不推荐大家使用,因为它能为系统带来隐患!!

注意:setuid和setgid会面临风险,所以尽可能的少用.


2setuidsetgid的实例应用

我们想让一个普通用户kevin拥有root用户拥有超级rm删除权限,我们除了用su或sudo 临时切换到 root身份操作以外,还能怎么做呢???

使用root用户创建一个文件

640?wx_fmt=png

切换到普通用户,删除该文件提示如下:


640?wx_fmt=png


那我们怎么才能让个普通用户也拥有root超级的rm 删除功力呢?

640?wx_fmt=png


设置rm的权限为4755 ,就把setuid 位设置好了

此时进行删除操作

640?wx_fmt=png


我们只是设置了rmsetuid位,让普通用户在rm指令上有超级root的删除超级权力

通过这个例子,我们应该能明白setuidsetgid位的应用了,如同前面所说,让普通用户超越本身的能力,让普通用户能执行只有root才能执行的命令在这一点,我们要和susudo 区分开来请参见susudo的文档:Linux 系统中的超级权限的控制

 

setuid 和 setgid (全称分别是:set user IDupon execution 和 set group ID upon execution)是Unix的访问权限标志位,它允许用户以可执行文件owner或group的权限来运行这个可执行文件。它们经常适用于:为了运行特定的任务,可以允许用户暂时的提高权限。用处:暂时的权限提升。
什么情况下需要setuid 和 setgid呢?当task需要的权限高于用户的权限时,比如修改用户的登录密码。有些任务需要更高的权限可能不会立刻表现出来,比如ping,它需要发送和监听某个网络接口的控制包。


3. setuid作用于可执行文件
当一个二进制可执行文件被设置了setuid属性之后,在所创建的进程内部,有权限执行此文件的用户将会获得这个可执行文件的owner的权限(通常是root)。在进程内部,用户获取root权限之后,这个用户将可以做一下常规用户被限制做的事情,当然有些事情是禁止的:比如使用ptrace 、LD_LIBRARY_PATH,或者给自己发送信号(但是从终端发送的信号是可以的)。由于潜在竞争条件,如果setuid 作用于shell 脚本,很多操作系统将会忽略掉setuid.
虽然setuid在很多场合是很有用的,但是如果一个可执行程序设计的不够好并被设置了setuid将会带来潜在的风险。人们能够利用有漏洞的程序获取永久的权限提升,或者让用户在无意之间运行一个特洛伊木马。
setgid能够改变group的权限,正如setuid改变user权限一样。

 

4SetUID权限的安全性
使用SetUID可以灵活的调整所有文件所有者权限,但是也为系统的安全性带来了隐患。如果Root用户为指定的程序文件配置过大的SetUID权限,那么就会为黑客或者非法用户打开了侵入系统的大门。例如在Linux中可以使用“vi”命令来编辑文件,但是,对于普通用户而言,当其试图使用命令“vi /etc/shadow”来修改密码文件时,系统就会弹出“/etc/shadow : Permission Denied”的警告提示,从而禁止其对密码文件的非法修改。但是,如果在Root用户环境中执行“which vi”命令,就可以看到“vi”命令实际上是“vim”命令的别名,其真实路径为“/usr/bin/vim”,这样执行命令"chmod 6755 /usr/bin/vim",就可以将“vi”命令的所有者更改为Root,这样在普通的用户环境中,就可以使用“vi”命令来编辑任何文件(例如“/etc/shadow”),这样,即使是普通用户也可以将密码文件清空,从而实现无密码登陆Linux,给系统的安全带来的威胁不言而喻。因此,对可能给系统安全带来危害的程序来说,应该尽量不要随意为其配置SetUID权限。


 5如何禁用SetUID权限
对于存放在敏感数据的分区而言,有时可能希望禁用SetUID权限设置功能。例如对"/home" 分区禁用SetUID权限,可以找到修改其配置文件“/etc/fstab”,执行命令“vi /rtc/fstab”,可以看到“LABEL=/home /home ext3 defaults 1 2”等数据,我们只需在上述“default”关键字的后面添加“nosuid” 关键字即可,例如使用“vi”命令将其修改为“LANBEL=/home /home ext3 default , nosuid 1 2”,之后执行命令“mountoremount /home”,这样即使对“/home”分区上的任何可执行文件配置了SetUID权限,也是无效的。这样就在很大程度上保护了系统的安全。

 

640?wx_fmt=jpeg


Linux知识积累
关注
文件管理之文件共享与用户类型
weixin_43713000的博客
09-16 1408
1.文件共享 文件共享是指主动地在局域网上共享自己的计算机文件,以供给其他计算机使用,一般文件共享使用P2P(Point-to-Point,点对点)模式。 2.文件共享的访问用户类型及权限 一.访问用户类型: 管理员组(Administrators) 分配给该组的默认权限允许对整个系统进行完全控制 默认情况下,Administrators中的用户对计算机/域有不受限制的完全访问权。 高级用户组(Power Users): Power Users 可以执行除了为 Administrators
setuid和setgid
hzgdiyer的专栏
10-21 5275
setuid 和 setgid (全称分别是:set user ID upon execution 和 set group ID upon execution)是Unix的访问权限标志位,它允许用户以可执行文件owner或group的权限来运行这个可执行文件。它们经常适用于:为了运行特定的任务,可以允许用户暂时的提高权限。用处:暂时的权限提升。 什么情况下需要setuid 和 setgid呢?当
linux特殊权限:setUid, setGid, 粘着位(sticky)
热门推荐
会编程的大白熊
10-10 1万+
linux特殊权限:setUid, setGid, 粘着位(sticky) (1)目录的X权限(执行).文件的可执行权限很简单,也就是可否执行它的意思,但目录的执行权限又代表什么意思呢?当然不可能是要执行这个目录了,其实这个执行权限如果用在目录上时,它不再代表执行的意思了,而是代表"搜索"权限。当你要访问/etc/httpd.conf文件时,您必须拥有对目录etc的X(即搜索)权限,否
linux权限管理之SetUID&SetGID
qq_41566366的博客
11-26 1090
关于facl权限,请看: g​​​​​​​linux权限管理之ACL权限管理_Rocket MAN的博客-CSDN博客SetUID理解起来比较简单,这里不做赘述,详情请参考:Linux SetUID(SUID)文件特殊权限用法详解 (biancheng.net) 与 SUID 不同的是,SGID 既可以对文件进行配置,也可以对目录进行配置。请参考Linux SetGID(SGID)文件特殊权限用法详解 (biancheng.net) 关于SetGID的理解:创建/tmp/test,要求成员mbb-sw3下的
setuid和setgid位详述
04-01 2494
setuid和setgid位[1] setuid位如果在可执行文件上设置了setuid位,运行可执行文件的进程将拥有该文件所有者同样的权限。典型的例子是这个。可执行文件:/usr/bin/passwd/usr/bin/$ls -l passwd-rwsr-xr-x 1 root root 32988 2008-06-10 02:10 passwdls后可以看到,它的文件属主是r
linux三个特殊权限setuid、setgid和stick bit.docx
09-26
Linux 三个特殊权限 setuid、setgid 和 stick bit Linux 系统中除了我们熟知的读(r)、写(w)、执行(x)权限外,还有三个比较特殊的权限,分别为:setuid、setgid 和 stick bit(粘滞位)。这三个特殊权限在 Linux ...
三种特殊文件权限 SetUID、SetGID、Sticky BIT 总结
MrSandman7的博客
07-08 299
1.SetUID 1)功能介绍: 只有可以执行的二进制程序才能设定SUID权限 命令执行者要对该程序拥有执行权限 x 命令执行者启动该程序时获得该程序属主身份 SetUID权限只在该程序执行过程中有效,也就是说身份改变只在程序执行中有效 举例思考:为什么普通用户可以修改自己的密码? [root@Beiqi ~]# ll /etc/passwd -rw-r--r-- 1 root root 1495 7月 7 18:20 /etc/passwd [root@Beiqi ~]# ll /etc
linux进程--setuid/setgid
RT的博客
03-31 1197
文件setuid/setgid linux文件的权限标志除了大家熟知的读(r)、写(w)、执行(x)外,还有三个比较特殊的权限位: setuid/setgid/sticky bit setuid只作用于二进制可执行文件(不包含shell/python/perl等脚本),它允许当前用户以文件所有者的权限运行文件。 如系统的passwd命令 ls -l /usr/bin/passwd -rwsr-xr-x 1 root root 54256 Mar 27 2019 /usr/bin/passwd 这个文
理解Linux特殊权限Setuid、Setgid和Sticky Bit
除了常规的读、写、执行权限外,Linux还提供了Setuid、Setgid和Sticky Bit三种特殊权限,它们能够赋予文件和目录特定的权限和行为。 ## 1.2 Setuid权限的作用和应用场景 Setuid权限是指在文件执行时,暂时切换为...
Linux 权限管理_文件特殊权限SetUID、SetGID和Sticky BIT 学习总结(四)
走向运维的老男孩的博客
05-02 1494
前面用了三篇文章总结Linux基本权限、umask默认权限、ACL权限和sudo授权,由于自身认知的关系,虽不尽全部,但也足够详细,记录下来所学到的一点一点,希望对看到本文的朋友有所帮助。 本篇总结Linux权限管理中的文件特殊权限 SUID、SGID和Sticky BIT
linux 的setuid setgid
gold_linux的专栏
06-18 639
Linux Setuid和Setgid2008-02-27 09:30 5、setuid和setgid 位; 本部份内容做为了解,看看就行了; 5.1 setuid和setgid的解说 ; setuid 和setgi
Linux文件和目录高级管理命令总结——setuid、setgid、stick bit、chattr、lsattr命令
Nicholas的专栏
06-30 1447
  中文件/目录除了有可读、可写和可执行这三种权限外,还存在比较特殊的权限,这些特殊权限就包括和这两种。  和位是让普通用户可以以用户的角色运行只有帐号才能运行的程序或命令。例如我们用普通用户运行命令来更改自己的口令,实际上最终更改的是文件,我们知道文件是用户管理的 配置文件,只有权限的用户才能更改,正是因为命令被设置了权限才能使得普通用户也可以修改其配置文件的内容。  文件/目录权限是使用常见的八进制权限掩码来表示的,通常都是用三位数表示,但确切地说,它是用四位数表示的,因为除了读、写和执行权限以外还有特
第五章_进程 : 函数setuid、setgid
matafeiyanll的博客
11-10 595
函数setuid、setgid #include <sys/types.h> #include <unistd.h> int setuid(uid_t uid); int setgid(gid_t gid); 改变用户/组ID的规则 1、若进程具有超级用户权限,则setuid将实际用户ID、有效用户ID、保存的设置用户ID设置为uid 2、若进程没有超级用户权限,但uid等于实际用户ID或保存的设置用户ID,则setuid只将有效用户ID设置为uid,不改变实际用户ID和保存的设
什么是SetUid、SetGid
个人学习记录所用
10-18 1090
摘要: 1、什么是SetUid、SetGid SetUid或是SetrGid,让非root用户也可以读取只有root用户有读写权限的文件 我们知道,在linux的命令行下执行ps命令时,就会列出当前系统中的所有进程,在其中可以看 1、什么是SetUid、SetGid
SetUID和SetGID和粘着位
ADreamClusive的博客
03-28 334
1 为什么普通用户可以更改密码?虽然,passwd和shadow都不可修改【-rw-r--r--. 1 root root 1671 5月  25 18:32 /etc/passwd】【-r--------. 1 root root 1288 5月  25 18:32 /etc/shadow】但是,用户可以通过命令进行修改,因为拥有s权限【which passwd】  /usr/bin/passw...
linux 文件标志位 setuid与setgid与stick bit 详解
weixin_30591551的博客
09-03 135
1、setuid与setgid讲解 (让其他用户运行文件时拥有创建者或者所属组的权限) chmod u+s xxx # 设置setuid权限 ,针对文件 chmod g+s xxx # 设置setgid权限 ,针对目录 看一下系统中用到它的地方,以/etc/passwd和/usr/bin/passwd为例: 复制代码 代码如下: [root@Sal...
学习总结4.7 Linux文件/目录setuid和setgid
xiexieya233的博客
11-19 1290
Linux中文件/目录除了有可读、可写和可执行这三种权限外,还存在比较特殊的权限,这些特殊权限就包括setuid和setgid这两种。 setuid和setgid位是让普通用户可以以root用户的角色运行只有root帐号才能运行的程序或命令。例如我们用普通用户运行passwd命令来更改自己的口令,实际上最终更改的是/etc/passwd文件,我们知道/etc/passwd文件是用户管理的 配置文件,只有root权限的用户才能更改,正是因为passwd命令被设置了setuid权限才能使得普通用户也可以修改其
linux文件/目录setuid和setgid
最新发布
06-28
### 回答1: setuid和setgid是Linux文件/目录的权限设置,用于控制文件/目录的访问权限setuid是指当一个文件被执行时,该文件的所有者权限将被提升为执行者的权限,即使执行者的权限低于文件所有者的权限。这样可以使得一些需要高权限才能执行的程序在低权限用户下也能够执行。 setgid是指当一个目录被创建时,该目录的所有者权限将被设置为创建者的组权限,即使创建者的权限低于目录所有者的权限。这样可以使得在该目录下创建的文件都属于同一组,方便组内成员共享文件。 总之,setuid和setgid是Linux系统中非常重要的权限设置,可以提高系统的安全性和灵活性。 ### 回答2: 在Linux系统中,每一个文件和目录都有其所属的用户和用户组。setuid和setgid是可以应用于文件和目录的特殊权限,它们可以极大地影响一个文件或目录的访问权限和执行权限。 首先,setuid权限使得在执行文件时,运行该执行文件的进程会暂时拥有该文件所有者的权限,即使是普通用户也可以执行一些仅有管理用户才能运行的程序,如passwd命令等。这样做可以让普通用户执行一些操作,提高了系统的可维护性和可操作性。 其次,setgid权限则允许指定一个文件或目录的用户组,从而提供更精细的权限控制。在设置了setgid权限的目录里的新文件和目录,其所属用户组会被自动设置为目录的用户组,从而实现了成员共享文件的精细控制。同时,如果一个具有setgid权限的可执行文件被运行,那么它会以其所属的用户组的身份运行,在这个用户组里所具有的权限也会拥有。 实际上,在不恰当的使用setuid和setgid权限时,也可能会带来系统的风险和不安全性。因此,在设置文件和目录的权限时,我们需要慎重考虑应用setuid和setgid权限的必要性,尽量减少不必要的风险。对于一些敏感的系统操作或者权限限制较大的文件和目录,我们也要加强对其权限的管理和控制,从而最大限度地保证系统安全和运行稳定。 ### 回答3: 在Linux文件系统中,每个文件/目录都有一个所有者和一个所属组,由于这个特性,一些特殊权限被引入,其中包括setuid和setgidsetuid和setgid是Linux文件系统的一个非常重要的安全特性,可以在执行该文件时,临时将当前用户的权限更改为文件所有者或文件所属组的权限,从而使得用户可以利用文件所有者或文件所属组的权限来执行一些对于当前用户本身需要特殊授权的操作,而无需为此特别授权。 setuid和setgid分别是set user ID 和set group ID的缩写。当文件所有者或文件所属组中有一个特殊权限被设置为“s”时,就表示这个文件有setuid或setgid权限。具体来说,setuid使得一个文件在执行时将有效用户ID更改为文件所有者的ID,setgid则将有效组ID更改为文件所属组的ID。 对于一个拥有setuid权限的可执行文件,当一个普通用户执行它时,其所拥有的权限就可以被限制在执行该文件的组或者用户的权限内,从而保证了系统对文件的操作安全性。在实际效果中,setuid和setgid的应用范围很广,可以应用于各种场合,比如sudo程序、passwd等。 总而言之,setuid和setgid是Linux文件系统中的一种特殊权限,可以为普通用户提供执行高特权操作的托管服务,从而提高系统的安全性和可用性。同时,根据需要设置setuid和setgid权限具有升级或降级普通用户权限的功能,对于Linux服务器的管理和运维也有很大的帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值