##Set UID
当s这个标志出现在文件拥有者的x权限上时,例如/usr/bin/passwd这个文件的权限状态: '-rwsr-xr-x',此时就被称为Set UID,简称为SUID的特殊权限,基本上SUID有这样的限制与功能:
- SUID权限仅对二进制程序(binary program)有效;
- 执行者对于该程序需要具有x的可执行权限;
- 本权限仅在执行该程序的过程中有效(run-time);
- 执行者将具有该程序拥有者(owner)的权限。
简单来说,在Linux系统中,所有账号的密码都记录在/etc/shadow这文件里面,这个文件的权限为:"---------- 1 root root",意思是这个文件仅有root可读且仅有root可以强制写入,既然这个文件仅有root可以修改,那么一般账号的使用者能否自行修改自己的密码呢?可以使用自己的账号输入"passwd"这个指令来看看,一般使用者当然可以修改自己的密码。
明明/etc/shadow就不能让一般用户去存取,为什么一般用户还能修改这个文件的密码呢?这就是SUID的功能。借助上述的说明,我们可以知道:
- 一般用户对于/usr/bin/passwd这个程序来说是具有x权限的,表示一般用户能执行passwd;
- passwd的拥有者是root这个账户;
- 一般用户在执行passwd的过程中,会"暂时"获得root的权限;
- /etc/shadow就可以被一般用户所执行的passwd所修改。
但如果dmtsai使用cat去读取/etc/shadow时,能读取吗?因为cat不具有SUID的权限,所以执行'cat /etc/shadow'时,是不能读取/etc/shadow的。
另外,SUID仅可以用在binary program上,不能够用在shell script上面,因为shell script只是将很多的binary可执行文件叫进来执行,所以SUID的权限部分,还是得要看shell script调用进来的程序的设置,而不是shell script本身。当然,SUID对于目录也是无效的。
##Set GID
当s标志在文件拥有者的x项目为SUID,那s在群组的x时则称为Set GID,SGID,可以用下面的指令来观察到具有SGID权限的文件:
[root@study ~]# ls -l /usr/bin/locate
-rwx--s--x. root slocate 40496 Jun 10 2014 /usr/bin/locate
与SUID不同,SGID可以针对文件或目录来设置,如果对文件来说,SGID有如下的功能:
- SGID对二进制程序有用;
- 程序执行者对于该程序来说,需具备x的权限,
- 执行者在执行的过程中将会获得该程序群组的支持。
举例来说,上面的/usr/bin/locate这个程序可以去搜寻/var/lib/mlocate/mlocate.db这个文件的内容,mlocate的权限如下:
[root@study ~]# ll /usr/bin/locate /var/lib/mlocate/mlocate.db
-rwx--s--x. 1 root slocate 40496 Jun 10 2014 /usr/bin/locate
-rw-r-----. 1 root slocate 2349055 Jun 15 03:44 /var/lib/mlocate/mlocate.db
与SUID非常的类似,若用一般账号去执行locate时,那将获得slocate群组的支持,因此就能够去读取mlocate.db。
除了binary program之外,SGID也能够用在目录上,这也是非常常见的一种用途!当一个目录设置来SGID的权限后,他将具有如下的功能:
- 使用者若对于此目录具有r与x的权限时,该使用者能够进入此目录;
- 使用者在此目录下的有效群组(effective group)将会变成该目录的群组;
- 用途:若使用者在此目录具有w的权限(可以新建文件),则使用者创建的新文件,该新文件的群组与此目录的群组相同。
##Sticky Bit
SBIT目前只针对目录有效,对于文件已经没有效果了。SBIT对于目录的作用是:
- 当使用者们对于此目录具有w,x权限,亦即具有写入的权限时;
- 当使用者在该目录下创建文件或目录时,仅有自己与root才有权限删除该文件
换句话说:当甲这个使用者于A目录是具有群组或其他人的身份,并且拥有该目录w的权限,这表示“甲使用者对该目录内任何人创建的目录或文件均可以进行"删除/更名/搬移"”等动作(但是对于拥有者无效),不过,如果将A目录加上了SBIT的权限项目时,则甲只能够针对自己创建的文件或目录进行删除/更名/移动等动作,而无法删除他人的文件。
##SUID/SGID/SBIT权限设置
- 4为SUID
- 2为SGID
- 1为SBIT
假设要将一个文件权限改为"-rwsr-xr-x'时,由于s在使用者权限中,所以SUID,因此,在原先的755之前还要加4,也就是"chmod 4755 filename"来设置,此外,还有大S与大T的产生,
注意下面的范例只是联系,必须了解SUID不是用在目录上,而SBIT不是用在文件上。
[root@study ~]# cd /tmp
[root@study tmp]# touch test <== 创建一个测试文件
[root@study tmp]# chmod 4755 test; ls -l test <== 加入具有SUID的权限
-rwsr-xr-x 1 root root 0 Jun 16 02:53 test
[root@study tmp]# chmod 6755 test;ls -l test <== 加入具有SUID/SGID的权限
-rwsr-sr-x 1 root root 0 Jun 16 02:53 test
[root@study tmp]# chmod 1755 test; ls -l test <== 加入SBIT的功能
-rwxr-xr-t 1 root root 0 Jun 16 02:53 test
[root@study tmp]# chmod 7666 test; ls -l test <== 加入SUID/SGID/SBIT的权限
-rwSrwSrwT 1 root root 0 Jun 16 02:53 test
为什么会出现大写的S与T?因为s与t都是取代x这个权限的,但是当user、group以及others都没有x这个可执行权限,所以这个S、T代表的就是'空的',SUID是表示"该文件在执行的时候,具有文件拥有者的权限",但是文件拥有者都无法执行了,哪里来的权限给其他人使用。当前是空的。
除了数字之外,可以通过符号法来处理。其实SUID为u+s,而SGID为g+s,SBIT则是o+t。