Linux-文件特殊权限:SUID,SGID,SBIT

本文详细解析Linux系统中的SUID、SGID与SBIT特殊权限,包括它们的功能、适用范围及如何设置。SUID允许普通用户临时获得root权限,SGID确保执行者在运行时具有程序所属组的权限,而SBIT保护目录内的文件免受非拥有者的删除。
摘要由CSDN通过智能技术生成

##Set UID

当s这个标志出现在文件拥有者的x权限上时,例如/usr/bin/passwd这个文件的权限状态: '-rwsr-xr-x',此时就被称为Set UID,简称为SUID的特殊权限,基本上SUID有这样的限制与功能:

  • SUID权限仅对二进制程序(binary program)有效;
  • 执行者对于该程序需要具有x的可执行权限;
  • 本权限仅在执行该程序的过程中有效(run-time);
  • 执行者将具有该程序拥有者(owner)的权限。

简单来说,在Linux系统中,所有账号的密码都记录在/etc/shadow这文件里面,这个文件的权限为:"---------- 1 root root",意思是这个文件仅有root可读且仅有root可以强制写入,既然这个文件仅有root可以修改,那么一般账号的使用者能否自行修改自己的密码呢?可以使用自己的账号输入"passwd"这个指令来看看,一般使用者当然可以修改自己的密码。

明明/etc/shadow就不能让一般用户去存取,为什么一般用户还能修改这个文件的密码呢?这就是SUID的功能。借助上述的说明,我们可以知道:

  1. 一般用户对于/usr/bin/passwd这个程序来说是具有x权限的,表示一般用户能执行passwd;
  2. passwd的拥有者是root这个账户;
  3. 一般用户在执行passwd的过程中,会"暂时"获得root的权限;
  4. /etc/shadow就可以被一般用户所执行的passwd所修改。

但如果dmtsai使用cat去读取/etc/shadow时,能读取吗?因为cat不具有SUID的权限,所以执行'cat /etc/shadow'时,是不能读取/etc/shadow的。

输入图片说明

另外,SUID仅可以用在binary program上,不能够用在shell script上面,因为shell script只是将很多的binary可执行文件叫进来执行,所以SUID的权限部分,还是得要看shell script调用进来的程序的设置,而不是shell script本身。当然,SUID对于目录也是无效的。

##Set GID

当s标志在文件拥有者的x项目为SUID,那s在群组的x时则称为Set GID,SGID,可以用下面的指令来观察到具有SGID权限的文件:

[root@study ~]# ls -l /usr/bin/locate
-rwx--s--x. root slocate 40496 Jun 10 2014 /usr/bin/locate

与SUID不同,SGID可以针对文件或目录来设置,如果对文件来说,SGID有如下的功能:

  • SGID对二进制程序有用;
  • 程序执行者对于该程序来说,需具备x的权限,
  • 执行者在执行的过程中将会获得该程序群组的支持。

举例来说,上面的/usr/bin/locate这个程序可以去搜寻/var/lib/mlocate/mlocate.db这个文件的内容,mlocate的权限如下:

[root@study ~]# ll /usr/bin/locate /var/lib/mlocate/mlocate.db
-rwx--s--x. 1 root slocate 40496 Jun 10 2014 /usr/bin/locate
-rw-r-----. 1 root slocate 2349055 Jun 15 03:44 /var/lib/mlocate/mlocate.db

与SUID非常的类似,若用一般账号去执行locate时,那将获得slocate群组的支持,因此就能够去读取mlocate.db。

除了binary program之外,SGID也能够用在目录上,这也是非常常见的一种用途!当一个目录设置来SGID的权限后,他将具有如下的功能:

  • 使用者若对于此目录具有r与x的权限时,该使用者能够进入此目录;
  • 使用者在此目录下的有效群组(effective group)将会变成该目录的群组;
  • 用途:若使用者在此目录具有w的权限(可以新建文件),则使用者创建的新文件,该新文件的群组与此目录的群组相同。

##Sticky Bit

SBIT目前只针对目录有效,对于文件已经没有效果了。SBIT对于目录的作用是:

  • 当使用者们对于此目录具有w,x权限,亦即具有写入的权限时;
  • 当使用者在该目录下创建文件或目录时,仅有自己与root才有权限删除该文件

换句话说:当甲这个使用者于A目录是具有群组或其他人的身份,并且拥有该目录w的权限,这表示“甲使用者对该目录内任何人创建的目录或文件均可以进行"删除/更名/搬移"”等动作(但是对于拥有者无效),不过,如果将A目录加上了SBIT的权限项目时,则甲只能够针对自己创建的文件或目录进行删除/更名/移动等动作,而无法删除他人的文件。

##SUID/SGID/SBIT权限设置

  • 4为SUID
  • 2为SGID
  • 1为SBIT

假设要将一个文件权限改为"-rwsr-xr-x'时,由于s在使用者权限中,所以SUID,因此,在原先的755之前还要加4,也就是"chmod 4755 filename"来设置,此外,还有大S与大T的产生,

注意下面的范例只是联系,必须了解SUID不是用在目录上,而SBIT不是用在文件上。

[root@study ~]# cd /tmp
[root@study tmp]# touch test             <== 创建一个测试文件
[root@study tmp]# chmod 4755 test; ls -l test <== 加入具有SUID的权限
-rwsr-xr-x 1 root root 0 Jun 16 02:53 test
[root@study tmp]# chmod 6755 test;ls -l test <== 加入具有SUID/SGID的权限
-rwsr-sr-x 1 root root 0 Jun 16 02:53 test
[root@study tmp]# chmod 1755 test; ls -l test <== 加入SBIT的功能
-rwxr-xr-t 1 root root 0 Jun 16 02:53 test
[root@study tmp]# chmod 7666 test; ls -l test <== 加入SUID/SGID/SBIT的权限
-rwSrwSrwT 1 root root 0 Jun 16 02:53 test

为什么会出现大写的S与T?因为s与t都是取代x这个权限的,但是当user、group以及others都没有x这个可执行权限,所以这个S、T代表的就是'空的',SUID是表示"该文件在执行的时候,具有文件拥有者的权限",但是文件拥有者都无法执行了,哪里来的权限给其他人使用。当前是空的。

除了数字之外,可以通过符号法来处理。其实SUID为u+s,而SGID为g+s,SBIT则是o+t。

转载于:https://my.oschina.net/tucci/blog/1082878

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值