使用 setuid、setgid 和 Sticky 位的特殊文件权限

最新推荐文章于 2022-04-10 19:43:40 发布
最新推荐文章于 2022-04-10 19:43:40 发布
阅读量612 收藏 1
点赞数
分类专栏: LinuxC 文章标签: LinuxC

使用 setuidsetgid 和 Sticky 位的特殊文件权限

可执行文件和公共目录可以使用三种特殊类型的权限:setuidsetgid 和 sticky 位。设置这些权限之后,运行可执行文件的任何用户都应采用该可执行文件所有者(或组)的 ID。

设置特殊权限时必须非常小心,因为特殊权限会带来安全风险。例如,通过执行将用户 ID (user ID, UID) 设置为 0(这是 root 的 UID)的程序,用户可以获得 root 的功能。此外,所有用户可以为其拥有的文件设置特殊权限,这会带来其他安全问题。

应对系统中任何未经授权使用 setuid 权限和 setgid 权限获取 root 功能的情况进行监视。可疑权限为用户而不是 root 或 bin 授予管理程序的所有权。要搜索并列出所有使用此特殊权限的文件,请参见如何查找具有特殊文件权限的文件

setuid 权限

对可执行文件设置 setuid 权限时,将对运行该文件的进程授予基于文件所有者的访问权限。该访问权限不是基于正在运行可执行文件的用户。使用此特殊权限,用户可以访问通常只有属主才可访问的文件和目录。

例如,passwd 命令的 setuid 权限使用户可以更改口令。具有 setuid 权限的 passwd 命令类似如下:

-r-sr-sr-x   1 root     sys       56808 Jun 17 12:02 /usr/bin/passwd

此特殊权限存在安全风险。一些确定的用户甚至可以在 setuid 进程执行完毕后,找到保持由该进程授予他们的权限的方法。

注 - 在程序中使用具有保留 UID (0-100) 的  setuid 权限可能无法正确设置有效的 UID。请使用 shell 脚本或避免将保留的 UID 用于 setuid 权限。
setgid 权限

setgid 权限与 setuid 权限类似。可将进程的有效组 ID (group ID, GID) 更改为拥有该文件的组,并基于授予该组的权限对用户授予访问权限。/usr/bin/mail 命令具有 setgid 权限:

-r-x--s--x   1 root   mail     71212 Jun 17 12:01 /usr/bin/mail

将 setgid 权限应用于目录时,该目录中已创建的文件将属于该目录所属于的组。这些文件不属于创建进程所属于的组。在目录中拥有写和执行权限的任何用户都可以在其中创建文件。但是,文件将属于拥有该目录的组,而不是用户所属于的组。

应对系统中任何未经授权使用 setgid 权限获取 root 功能的情况进行监视。可疑权限为非常规组而不是 root 或 bin 授予对此类程序的组访问权限。要搜索并列出所有使用此权限的文件,请参见如何查找具有特殊文件权限的文件

Sticky 位

sticky 位是保护目录中文件的权限位。如果对目录设置了 sticky 位,则只有文件所有者、目录所有者或特权用户才可以删除文件。root用户是特权用户的一个示例。sticky 位禁止用户从公共目录(如 /tmp)中删除其他用户的文件:

drwxrwxrwt 7  root  sys   400 Sep  3 13:37 tmp

在 TMPFS 文件系统中设置公共目录时,务必手动设置 sticky 位。有关说明,请参见Example 1–5

chudongfang2015
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux setUid,setGid 实例
Vein Cook
04-30 954
这里我不想讲解各种关于
Linux文件权限;ACL;Setuid、Setgid、Stick bit特殊权限;sudo提权
weixin_34221112的博客
07-23 320
相关学习资料 http://blog.sina.com.cn/s/blog_4e2e6d6a0100g47o.html http://blog.csdn.net/aegoose/article/details/25439649 http://www.linuxeden.com/html/unix/20071031/36892.html http://keren.blog.51cto.c...
Linux权限管理:setUID、setGIDSticky BIT
dlin33的博客
11-08 397
1、setUID、setGIDSticky BIT 的功能详解   setuid 功能:     1、只有可执行的二进制文件程序才能设定 SUID 权限(前提)     2、命令执行者要对该程序有执行(x)权限(必要条件)     3、命令执行者再执行该程序时获得该程序文件属主的身份     4、setuid 权限只在该程序执行过程中生效   setgid 功能: -- 对文件而言...
Linux文件特殊权限——SetUID、SetGIDSticky BIT
吴小宝的博客
06-13 7044
对于 SetUID、SetGIDSticky BIT 这三个文件特殊权限,分别介绍如下: 1. SetUID 权限 只有可以执行的二进制程序才能设定SetUID权限,并且命令执行者要对该程序拥有x(执行)权限。对于设定了 SetUID 权限的命令来说,其功能是命令执行者在执行该程序文件时获得该程序文件所有者的身份。SetUID 权限只在该程序执行过程中有效,也就是说身份改变只在程序执行过程中
Linux】理解setuid()、setgid()和sticky
weixin_34115824的博客
03-22 64
Linux SETUID机制 (1)进程运行时能够访问哪些资源或文件,不取决于进程文件的属主属组,而是取决于运行该命令的用户身份的uid/gid,以该身份获取各种系统资源。 (2)对一个属主为root的可执行文件,如果设置了SUID,则其他所有普通用户都将可以以root身份运行该文件,获取相应的系统资源。 (3)可以简单地理解为让普通用户拥有可以执行“只有root权限才能执行”...
linux系统权限管理文件特殊权限PPT学习教案.pptx
10-01
文件特殊权限是指在 Linux 系统中,文件拥有的一些特殊权限,包括 SetUID、SetGIDSticky Bit 等。这些权限可以影响文件的访问控制和执行结果。 SetUID 权限 SetUID(Set User ID)权限是一种特殊权限,允许...
OpenEulr用户和权限管理
11-20
此外,还有特殊的权限控制方法,如setuid、setgidstickysetuid允许一个文件以文件所有者的权限运行,即使执行者没有这些权限。setgid使文件在执行时继承文件所在组的权限。sticky通常用在目录上,确保只有...
Linux基础课件文件权限设置chmod命令共9页.pdf
11-20
此外,文件权限还涉及特殊权限,如setuid(s)、setgid(s)和sticky(t)。setuid允许用户以文件所有者的权限运行程序,setgid使新创建的文件继承目录的组权限,而sticky通常用于共享目录,防止非所有者删除...
PHP 获取文件权限函数介绍
10-27
因此,一个文件权限数字的最后三代表了这三组用户的权限,第四(即最前面的一)代表了特殊权限,如粘滞sticky bit)、设置用户ID(setuid)或设置组ID(setgid)。 在本例中,getChmod函数将上述三个...
day13-文件特殊权限.pdf
最新发布
04-28
这些特殊权限包括setuid、setgid和粘滞sticky),它们都是12权限模式的一部分,除了常见的读(r)、写(w)和执行(x)这三种基本权限。 **一、特殊权限概述** 1. **setuid(八进制表示为4000)**:setuid...
Linux setuid setgid stickybit 权限
lcy_ltpsr的专栏
06-19 500
Linux用户权限管理涉及setuid、setgidstickybit,本文详细介绍这三个权限的作用及使用方法。
Linux 权限管理之二:setuid、setgidsticky bit
imred的专栏
05-30 1387
Linux 下的文件和文件夹除了拥有 rwx 这三种基本权限以外,还可能有三种特殊的权限:setuid(SUID)、setgid(SGID)和sticky bit(SBIT),其具体描述如下:setuid(SUID)首先要强调,SUID 仅对二进制程序文件有效。 当一个二进制程序设有 SUID 时,其权限显示如下(以 /bin/passwd 为例):[admin@localhost ~]$ ll
GNU Linux特殊权限-setuid、setgid、stick bit
狂客队长
01-06 1240
文件权限的机制是Linux系统的一大特色,对于初学Linux的人对可读(r)、可写(w)、可执行(x)这都是比较基本的权限。一个文件的权限有十个,分为三组来表示。第一个为一组,表示文件的类型: -:表示一般文件 d:表示目录文件 l:表示链接文件 b:表示块设备 c:表示字符设备 p:表示管道 s:表示套接字 但是Linux还有三个比较特殊的权限,分别是:setuid,
linux文件特殊权限:SetUID、SetGIDSticky BIT
qq_44027353的博客
04-10 1160
文件特殊权限 SetUID SetGID Sticky BIT SetUID SetUID的功能: 只有可以执行的二进制程序才能设定SUID权限,普通的文件或目录设置了也没有任何作用 命令执行者要对对程序拥有执行X权限 命令执行者在执行该程序时获得该程序文件属主的身份 SetUID 权限只在该程序执行过程中有效,也就是说身份改变只在程序执行过程中有效 总结一句话就是,给某个可执行程序授予了SetUID后,其他普通用户执行这个程序时就获得了该程序文件的所有者身份。 # 可以看到passwd命令,所有者
Linux中的特殊权限粘滞(sticky bit)详解
weixin_33782386的博客
11-14 279
2019独角兽企业重金招聘Python工程师标准>>> ...
Linux系统中SetUID浅谈
团长的专栏
10-17 4414
Linux系统中SetUID浅谈 1、什么是SetUID      我们知道,在linux的命令行下执行“ps -aux”命令时,就会列出当前系统中的所有进程,在其中可以看到每个进程都和用户的真实id关联,实际上,Linux中的每个进程还跟一个称为有效用户id(set User id)紧密关联。前者用于表示该进程由那个用户控制,后者用于为新建立的文件分配所有权,检查
setuid,setgid,sticky权限分析
weixin_33800593的博客
11-08 84
概述: Linux下创建新文件时,默认UID和GID来分配文件权限。想让其他人也能访问文件 ,要么改变其他用户所在安全组的访问权限,要么给文件分配一个新的包含其他用户的默认属组。在一台拥有多人权限的Linux上,创建文档并共享 ,这很烦琐,幸好Linux为我们提供解决的简单方法;Linux还为每个文件和目录存储了3个额外的信息。 SUID 定义:设置...
关于setuid,setgidsticky的理解
weixin_33721344的博客
09-07 105
设置setuid和setgid的方法分别是chmod 4755 program和chmod 2755 directory。理论上来说所有启动一个程序所引发的进程都应该属于该文件的使用者,所以仅仅设置chmod o+x program是不够的,因为它有可能会调用其他的程序,而设置setuid的作用就在这个地方。 以su命令为例,若仅仅设置program的权限...
Sticky权限测试
d_x_p_152265的博客
05-21 588
问题 为/tarena/public/目录设权限777,并添加粘滞t权限 以用户zhangsan登入,在/tarena/public/目录下创建文件zhsfile2 以用户lisi登入,在/tarena/public/目录下创建文件lsfile2 查看文件zhsfile2、lsfile2的权限和归属 尝试删除zhsfile2、lsfile2文件 方案 Sticky权限是Linux特殊权限...
Linux特殊权限详解:setuid、setgid与粘滞
"Linux文件特殊权限的学习笔记,包括setuid、setgid和粘滞的介绍与示例" 在Linux系统中,文件权限管理是保证系统安全性和用户间协作的重要机制。除了我们熟悉的读(r)、写(w)和执行(x)这三种基本权限之外,还有三...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值