1、SUID
首先我们要了解,在Linux中启动一个程序或者启动一个进程是需要有用户的,一个文件的存在是要有用户和组的,一个进程启动后,它的属主取决于进程的发起者,比如 我用root用户启动了一个 cat 进程,那么cat 进程的属主就是root,同理我用user1启动more进程,more进程对应的属主就是user1。其次,一个可执行文件或者一个程序是否能启动为进程,取决于它的发起者是否拥有可执行的权限。那么问题来了,普通用户对文件有可执行的权限,但是对其配置文件 或者作用于其他文件没有权限怎么办?比如普通用户要修改自己的密码,修改密码就要用到passwd这个命令对吧,但是passwd这个命令它会把密码写到/etc/shadow,但是/etc/shadow这个文件只有root用户能够写,那么普通用户怎么把自己的密码写到/etc/shadow里的呢?这时我们就要说下SUID的作用了。SUID它主要作用是设置了suid的可执行二进制文件在启动为进程后,其进程的属主不在是启动二进制可执行文件的用户,而是二进制文件本身的属主,也就是说设置了SUID权限的可执行二进制文件在启动为进程后,其进程属主不在取决于发起者了,也就是说不管那个用户去启动它 ,其进程都是其可执行二进制文件的属主。比如我们给/bin/cat 设置SUID后 不管那个用户都可以用cat查看root有查看权限,而普通用户没有查看权限的文件,也就说当其他用户执行cat这个二进制可执行文件时,系统会默认把权限识别成root用户,当普通用户用cat去查看一个自己没有查看权限的文件时,系统会认为是root在查看这个文件,所有当我们给/bin/cat设置了SUID后,其他用户在用cat命令时 都会临时变成root用户。也就是因为这样 普通用户就可以才看自己本身没有查看权限的文件。
设置SUID的文件要求有如下几点:
- SUID只对可执行的二进制文件起作用,shell脚本设置后不生效。
- 如果设置了其suid后,其属主位的可以执行权限x会变成s(小写),如果是大写S 那么说设置的文件没有可执行权限,设置的SUID无效。
- SUID对目录设置无意义。
SUID设置方法:
字母设置方式:chmod u+s file
取消SUID:chmod u-s file
数字设置方式:chmod 4755 在普通三位数字权限位之前,用4代表添加的SUID位
取消SUID:chmod 0755
做个小验证,就拿我们上面说的给cat命令对应的可执行二进制文件设置SUID
[user2@test project]$ whoami user2 [user2@test project]$ ll /etc/shadow ---------- 1 root root 1043 Oct 23 13:41 /etc/shadow [user2@test project]$ cat /etc/shadow cat: /etc/shadow: Permission denied
提示:我们可以看到在没有设置SUID的情况下 ,普通用户更不就不能对/etc/shadow 进行查看的
给cat 设置SUID
[root@test project]# whoami root [root@test project]# which cat /bin/cat [root@test project]# ll /bin/cat -rwxr-xr-x. 1 root root 47976 Nov 22 2013 /bin/cat [root@test project]# chmod u+s /bin/cat [root@test project]# ll /bin/cat -rwsr-xr-x. 1 root root 47976 Nov 22 2013 /bin/cat
提示:给文件设置suid必须是文件的属主,这里cat是root所有要用root去设置SUID,设置了suid后其文件对应的属主可执行为位上的x会变成s,如果是大写S表示文件没有可执行权限,设置SUID无效。
用普通用户去使用cat命令查看普通用户没有查看权限的文件
[user2@test project]$ whoami user2 [user2@test project]$ ll /etc/shadow ---------- 1 root root 1043 Oct 23 13:41 /etc/shadow [user2@test project]$ cat /etc/shadow root:$6$ue2dy8rF$pW5rghiycQ1MFycSq0jjRfgb2wIXFm9Jl0h9hqNWfHOCX8NdHXW1HpN0Eb2q40Aw/kmQAUldxZsVQD504iv6c.:17685:0:99999:7::: bin:*:15980:0:99999:7::: daemon:*:15980:0:99999:7::: adm:*:15980:0:99999:7::: lp:*:15980:0:99999:7::: sync:*:15980:0:99999:7::: shutdown:*:15980:0:99999:7::: halt:*:15980:0:99999:7::: mail:*:15980:0:99999:7::: uucp:*:15980:0:99999:7::: operator:*:15980:0:99999:7::: 省略部分内容...
2、SGID
SGID属性同SUID一样,只是SUID作用于属主,而SGID作用于属组,SGID作用在二进制程序上时,执行权限的程序时此用户将继承此程序的所属组权限,作用于目录上时,此文件夹下所有用户新建文件都自动继承此目录的用户组。同样在设置SGID的文件后,其组权限位上的可执行权限x会变成s,如果变成了S 说明其组权限位上没有可执行权限,设置SGID无效。
不设置SGID普通用户查看无权限查看的文件(还是以上面cat的例子)
[root@test project]# ll total 4 ----r----- 1 root root 16 Oct 23 16:13 a.root [root@test project]# ll /bin/cat -rwxr-xr-x. 1 root root 47976 Nov 22 2013 /bin/cat [root@test project]# whoami root [root@test project]# cat a.root iamroot iamroot [root@test project]# su - user1 [user1@test ~]$ whoami user1 [user1@test ~]$ cd /tmp/project/ [user1@test project]$ ll total 4 ----r----- 1 root root 16 Oct 23 16:13 a.root [user1@test project]$ cat a.root cat: a.root: Permission denied [user1@test project]$
设置SGID后普通用户才看自己没有查看权限的文件
[user1@test project]$ su - Password: [root@test ~]# whoami root [root@test ~]# ll /bin/cat -rwxr-xr-x. 1 root root 47976 Nov 22 2013 /bin/cat [root@test ~]# chmod g+s /bin/cat [root@test ~]# ll /bin/cat -rwxr-sr-x. 1 root root 47976 Nov 22 2013 /bin/cat [root@test ~]# su - user1 [user1@test ~]$ cd /tmp/project/ [user1@test project]$ ll total 4 ----r----- 1 root root 16 Oct 23 16:13 a.root [user1@test project]$ whoami user1 [user1@test project]$ cat a.root iamroot iamroot
提示:设置SGID的方式和SUID的方式一样 只是SUID作用于user位,SGID作用于group。所以chmod g+s file 或者chmod g-s 数字表示法是 chmod 2755 file 在普通三位数字权限位之前,用2代表添加的SGID位
SGID作用于目录上时,此文件夹下所有用户新建文件都自动继承此目录的用户组
在不设置SGID的目录下创建文件,文件的属主和属组 默认是该用户。
[user1@test project]$ ll -d drwxrwxr-x 2 root test 4096 Oct 23 19:53 . [user1@test project]$ mkdir test [user1@test project]$ touch user1 [user1@test project]$ ll total 8 ----r----- 1 root root 16 Oct 23 16:13 a.root drwxrwxr-x 2 user1 user1 4096 Oct 23 19:53 test -rw-rw-r-- 1 user1 user1 0 Oct 23 19:54 user1
提示:可以看出在没有设置SGID的情况下,在其目录下创建文件或目录时,文件和目录默认属组是其创建者,它不继承其父目录的属组。
给目录设置SGID,然后在其目录下创建文件和目录,其文件和目录继承父目录属组权限
[user1@test project]$ ll -d . drwxrwxr-x 3 root test 4096 Oct 23 19:54 . [user1@test project]$ su - root Password: [root@test ~]# whoami root [root@test ~]# cd /tmp/project/ [root@test project]# ll -d drwxrwxr-x 3 root test 4096 Oct 23 19:54 . [root@test project]# chmod g+s /tmp/project/ [root@test project]# ll /tmp/project/ -d drwxrwsr-x 3 root test 4096 Oct 23 19:54 /tmp/project/ [root@test project]# mkdir test1 [root@test project]# touch user11 [root@test project]# ll total 12 ----r----- 1 root root 16 Oct 23 16:13 a.root drwxrwxr-x 2 user1 user1 4096 Oct 23 19:53 test drwxr-sr-x 2 root test 4096 Oct 23 19:59 test1 -rw-rw-r-- 1 user1 user1 0 Oct 23 19:54 user1 -rw-r--r-- 1 root test 0 Oct 23 19:59 user11 [root@test project]#
提示:从上面的示例可以得出,在我们设置SGID后,其组权限位上的执行权限x变成了s(小写),他和SUID一样,如果其组权限位上的可执行权限位变成了大写的S ,表示其目录组权限位上原来是没有执行权限,当然我们设置的SGID也是无效的。其次就是我们给目录设置了SGID后,在其目录下创建文件或目录都会继承其父目录的组权限,也就是说我父目录设置了SGID,其组权限对应的是test,那么其他用户在其目录下创建文件都属于test这个组里的,同时拥有test组权限。
3.Sticky
前面我们说了SUID和SGID,接下来我们再说下Sticky,这个权限的主要作用是在一个公共目录,每个用户都可以创建文件,删除自己的文件,但是不能删除别人的文件。这个权限只能用于目录,当某个目录拥有其Sticky权限 ,则其目录下的文件和目录只有root和其拥有者删除,其他用户不能删除,也就是说用户只能删除其自己本身属主的文件,不能删除其他属主的文件。如果一个目录设置了其sticky权限,则其目录其他用户组的执行权限x会变成t(小写),它和SUID、SGID一样如果对应位是位上的可执行x变成了大写T ,那么表示其目录其他用户位上没有可执行权限,当然设置的Sticky就无效。当然设置方法和SUID、SGID一样 都是用chmod命令来设置,只是Sticky作用于目录的其他用户位,字母设置方法 chmod o+t dir ,取消 chmod o-t dir 数字设置方法:chmod 1755(1表示Sticky) 当然取消就把其数字改写成0.
不设置Sticky,删除目录里文件
[root@test ~]# su - user1 [user1@test ~]$ whoami user1 [user1@test ~]$ cd /tmp/project/ [user1@test project]$ ll -d drwxrwsr-x 4 root test 4096 Oct 23 19:59 . [user1@test project]$ ll total 12 ----r----- 1 root root 16 Oct 23 16:13 a.root drwxrwxr-x 2 user1 user1 4096 Oct 23 19:53 test drwxr-sr-x 2 root test 4096 Oct 23 19:59 test1 -rw-rw-r-- 1 user1 user1 0 Oct 23 19:54 user1 -rw-r--r-- 1 root test 0 Oct 23 19:59 user11 [user1@test project]$ rm -fr * [user1@test project]$ ll total 0 [user1@test project]$
提示:可以看出我们普通用户是可以随意删除去不是本用户属主的文件,这样会导致一个问题,就是在一个公共的目录下,每个用户的文件不安全,因为每个人都可以去删除。
设置Sticky,删除其下的目录和文件
[user1@test project]$ mkdir test [user1@test project]$ touch user1 [user1@test project]$ su - Password: [root@test ~]# cd /tmp/project/ [root@test project]# mkdir root1 [root@test project]# touch root12 [root@test project]# ll total 8 drwxr-sr-x 2 root test 4096 Oct 23 20:27 root1 -rw-r--r-- 1 root test 0 Oct 23 20:27 root12 drwxrwsr-x 2 user1 test 4096 Oct 23 20:26 test -rw-rw-r-- 1 user1 test 0 Oct 23 20:26 user1 [root@test project]# ll -d drwxrwsr-x 4 root test 4096 Oct 23 20:27 . [root@test project]# chmod o+t . [root@test project]# ll -d drwxrwsr-t 4 root test 4096 Oct 23 20:27 . [root@test project]# su - user1 [user1@test ~]$ cd /tmp/project/ [user1@test project]$ ll total 8 drwxr-sr-x 2 root test 4096 Oct 23 20:27 root1 -rw-r--r-- 1 root test 0 Oct 23 20:27 root12 drwxrwsr-x 2 user1 test 4096 Oct 23 20:26 test -rw-rw-r-- 1 user1 test 0 Oct 23 20:26 user1 [user1@test project]$ rm -fr root* rm: cannot remove `root1': Operation not permitted rm: cannot remove `root12': Operation not permitted [user1@test project]$
提示:可以看出当我们给公共目录设置了Sticky属性后,其普通用户是不能删除其属主不是自己本身的文件。Sticky属性只针对目录,对其文件不生效。
通过以上的示例得出几点:
1、在给文件或目录设置特殊权限时,其文件对应位上必须拥有可执行权限,否则设置特殊全无效。如果对应位上没有可执行权限,设置了特殊权限会在对应位上显示大写的字母,表示其特殊权限无效。
2、SUID只能作用于可执行的二进制文件,对目录无效。SGID可作用于可执行二进制文件和目录,Sticky只能作用于目录,对文件无效。
3、都是用chmod 进行授权。对于SUID和SGID都是+-s ,对于Sticky是+-t ,其中SUDI对应user位,SGID对应group位,Sticky对应other位,数字表示法,4表示SUID,2表示SGID,1表示Sticky。