5、setuid和setgid 位; 本部份内容做为了解,看看就行了; 5.1 setuid和setgid的解说 ; setuid 和setgid位是让普通用户可以以root用户的角色运行只有root帐号才能运行的程序或命令。比如我们用普通用户运行passwd命令来更改自己的口令,实际上最终更改的是/etc/passwd文件。我们知道/etc/passwd文件是用户管理的配置文件,只有root权限的用户才能更改。 [root@localhost ~]# ls -l /etc/passwd-rw-r--r-- 1 root root 2379 04-21 13:18 /etc/passwd 作为普通用户如果修改自己的口令通过修改/etc/passwd肯定是不可完成的任务,但是不是可以通过一个命令来修改呢。答案是肯定的,作为普通用户可以通过passwd 来修改自己的口令。这归功于passwd命令的权限。我们来看一下; [root@localhost ~]# ls -l /usr/bin/passwd-r-s--x--x 1 root root 21944 02-12 16:15 /usr/bin/passwd 因为/usr/bin/passwd 文件已经设置了setuid 权限位(也就是r-s--x--x中的s),所以普通用户能临时变成root,间接的修改/etc/passwd,以达到修改自己口令的权限。 我们在《Linux 系统中的超级权限的控制》中有提到过。我们知道Linux的用户管理是极为严格的,不同的用户拥有不同的权限,为了完成只有root用户才能完成的工作,我们必须为普通用户提升权限,最常用的方法就是su或sudo。虽然setuid 和setgid也是让普通用户超越自身拥有的普通权限达到root权限的方法,但我不推荐大家使用,因为它能为系统带来安全隐患!! 注意:setuid和setgid会面临风险,所以尽可能的少用,了解了解既可~~~ 5.2 setuid和setgid的实例应用; 我们想让一个普通用户beinan拥有root用户拥有超级rm删除权限,我们除了用su或sudo 临时切换到 root身份操作以外,还能怎么做呢??? [root@localhost ~]#cd /home 注:进入/home目录 [root@localhost home]# touch beinantest.txt 注:创建一个测试文件;[root@localhost home]# ls -l beinantest.txt 注:查看文件属性;-rw-r--r-- 1 root root 0 04-24 18:03 beinantest.txt 注:文件的属性;[root@localhost home]# su beinan 注:切换到普通用户 beinan [beinan@localhost home]$ rm -rf beinantest.txt 注:以普通用户身份来删除beinantest.txt文件; rm: 无法删除 “beinantest.txt”: 权限不够 那我们怎么才能让beinan 这个普通用户也拥有root超级的rm 删除功力呢? [root@localhost ~]# ls -l /bin/rm -rwxr-xr-x 1 root root 93876 02-11 14:43 /bin/rm [root@localhost ~]# chmod 4755 /bin/rm 注:设置rm的权限为4755 , 就把setuid 位设置好了。[root@localhost ~]# ls -l /bin/rm-rwsr-xr-x 1 root root 43980 02-11 14:43 /bin/rm[root@localhost ~]# cd /home/[root@localhost home]# su beinan 注:切换到beinan用户身份;[root@localhost home]$ ls -l beinantest.txt 注:查看文件属性;-rw-r--r-- 1 root root 0 04-24 18:03 beinantest.txt 注:文件的属性;[beinan@localhost home]$ rm -rf beinantest.txt 注:删除beinantest.txt文件; 我们只是设置了rm的setuid位,让普通用户在rm指令上有超级root的删除超级权力。 通过这个例子,我们应该能明白setuid和setgid位的应用了,如同前面所说,让普通用户超越本身的能力,让普通用户能执行只有root才能执行的命令。在这一点,我们要和su和sudo 区分开来。请参见su和sudo的文档:《Linux 系统中的超级权限的控制》 5.3 setuid和setgid的设置方法; 第一种方法:八进制方法: setuid位是的设置用八进制的4000,setgid占用的是八进制的2000 ;比如我们前面所说的 chmod 4755 /bin/rm 就是设置的setuid位; 至于setuid的设置方法,只是在我们通过chmod设置文件或目录权限位的八进制方法的前面多加一个数字,也就是4。比如: [root@localhost ~]# chmod 4755 /bin/rm 注:设置rm的权限为4755 , 就把setuid 位设置好了。 作为setgid 位占用的是八进制的2000位,我们下面举个例子; [root@localhost ~]# cd /home/[root@localhost home]# mkdir slackdir[root@localhost home]# ls -ld slackdir/drwxr-xr-x 2 root root 4096 04-24 18:25 slackdir/[root@localhost home]# chmod 2755 slackdir/[root@localhost home]# ls -ld slackdir/drwxr-sr-x 2 root root 4096 04-24 18:25 slackdir/ 我们看到 slackdir这个目录,经过改变权限后的,目录所归属用户组的那三个权限位是 r-s。 如果我们见到的是小写的s,表明文件所归属的用户组位有执行权限x。因为我们用了2755 ,意思是说文件属主拥有可读可写可执行权限,所归属的用户组拥有可读可执行权限,并且设置了setuid,所以这时本来文件所归属的用户组拥有r-x,现在加了setgid位,就把其中的x换成了s。如果文件所归属的用户组没有执行权限,这个权限应该是S。同理setuid位的中的大写的S和小写的s,也是这个原理。见下面的例子; [root@localhost home]# chmod 2740 slackdir/[root@localhost home]# ls -ld slackdir/drwxr-S--- 2 root root 4096 04-24 18:25 slackdir/ 这个例子是因为目录slackdir所归属的组没有执行权限,这时本来在执行权限位上显示-,由于有了setuid,所以显示为S。 如果我们为一个文件的权限拥有 属主可读可写可执行、所归的组拥有可读可执行,其它用户可读可执行,并且同时设置setuid和setgid位,我们应该怎么运行命令呢? [root@localhost ~]# touch gooddoc.txt[root@localhost ~]# ls -l gooddoc.txt-rw-r--r-- 1 root root 0 04-24 18:47 gooddoc.txt[root@localhost ~]# chmod 6755 gooddoc.txt[root@localhost ~]# ls -l gooddoc.txt-rwsr-sr-x 1 root root 0 04-24 18:47 gooddoc.txt 所以,同时设置setuid和setgid,就是把setuid和setgid两个八进位的值相加 (4000+2000=6000),然后加上文件或目录的权限位的三位数值(上面的例子是755),然后通过chmod 运行就行了。所以上面例子中用了6755 。 第二种方法:通过助记语法; 还是延用chmod的助记语法,通过u+s 或u-s 来增减setuid位,同理,我们可以通过g+s 或g-s 来setgid位; [root@localhost ~]# touch mydoc.txt 注:创建一个文件;[root@localhost ~]# ls -l mydoc.txt-rw-r--r-- 1 root root 0 04-24 19:00 mydoc.txt[root@localhost ~]# chmod u+s mydoc.txt[root@localhost ~]# ls -l mydoc.txt-rwSr--r-- 1 root root 0 04-24 19:00 mydoc.txt 我们也可以用file命令来查看setuid和setgid位,当然也能用file来查看文件的类型; 比如: [root@localhost ~]# file /usr/bin/passwd 6、粘贴位及设置方法; 粘贴位的理解,我们还是先看一个例子; [root@localhost ~]# ls -ld /tmp/drwxrwxrwt 12 root root 4096 04-24 18:36 /tmp/ 我们看到/tmp权限位最后的一个字母是 t。这就是设置了粘贴位。 粘贴位的设置,可以用八进制的1000位来设置。比如 [root@localhost ~]# mkdir googledir[root@localhost ~]# ls -ld googledir/drwxr-xr-x 2 root root 4096 04-24 21:59 googledir/[root@localhost ~]# chmod 1755 googledir/[root@localhost ~]# ls -ld googledir/drwxr-xr-t 2 root root 4096 04-24 21:59 googledir/ 也可以用chmod 的助记语法来设置。用o+t表示设置粘帖位,用o-t表示取消粘贴位; [root@localhost ~]# ls -ld googledir/drwxr-xr-x 2 root root 4096 04-24 21:59 googledir/[root@localhost ~]# chmod o+t googledir/[root@localhost ~]# ls -ld googledir/drwxr-xr-t 2 root root 4096 04-24 21:59 googledir/ 粘贴位现在也很少用了,不过对于象/tmp目录这样的,是整个系统临时文件存放在,还是有点意义。一个目录既使它的所有权限都开放rwxrwxrwx,如果是设置了粘帖位,除非目录的属主和root用户有权限删除它,除此之外其它用户不能删除这个目录。用途一般是把一个文件夹的的权限都打开,然后来共享文件,象/tmp目录一样。 建议最好不要用!