Linux入职基础-2.4_文件特殊权限与应用

最新推荐文章于 2024-05-29 17:09:28 发布
最新推荐文章于 2024-05-29 17:09:28 发布
阅读量321 收藏 3
点赞数
分类专栏: Linux Linux入职基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/msh2016/article/details/79429646
版权

文件特殊权限与应用

inux中除了常见的读(r)、写(w)、执行(x)权限以外,还有3个特殊的权限,分别是setuidsetgidstick bit。如下图:

3-1

一、特殊权限设置

setuidchmod u+s xxx ;表现形式:[-rwsr-xr-x]

setgid: chmod g+s xxx ;表现形式:[-rwxr-sr-x]

stick bit : chmod o+t xxx ;表现形式:[-rwxr-xr-t]

或者:

setuid:chmod 4755 xxx

setgid:chmod 2755 xxx

stick bit:chmod 1755 xxx

二、先来简单了解进程的一些知识点

特殊权限位是与控制进程运行有关的,linux的进程至少有7个与之相关的标识:

一个真实UIDreal UID)、一个真实GIDread GID);

一个有效UIDeffectiveUID)、一个有效GIDeffective GID);

一个保存UIDsaved UID)、一个保存GIDsaved GID);

一个文件系统UIDfilesystemUID)。

read UID/GID就是进程创建者的UID/GID

EUIDeffective UID/EGID用来确定进程在任何给定的时刻对哪些资源或者文件具有访问权限,即进程在运行是其当前的虚拟身份,也就是说在进程运行时候其UIDGID可能不是创建它的用户的UIDGID,但是在一般情况下,UID/GIDEUID/EGID是一样的。

SUIDsaved UID/SGIDsaved GID)表示进程刚刚开始执行时刻,进程EUID/EGID的副本。而FSUIDfilesystem UID),它只用来对文件系统权限的判断,但在内核之外并不常用。

通常对于一个进程来说不大可能会改变它自己的归属关系状态(即默认情况UID/GID=EUID/EGID),但在一种特殊情况下,可以修改进程的EUIDEGID。当执行设置了setuidsetgid的权限位的命令时,则当该命令运行时,其EUID/EGID为该程序命令的映像文件的UID或者GID,而不是启动运行该命令的用户UID/GID。这个例子,请看下面的【例1】、【例2】、【例3】里面有/bin/touch命令的操作,可用来解释!

还有一个例子就是passwd命令,其程序命令的映像文件的UID/GID都是root,但是当一个普通用户运行这个命令时(因为passwd可执行文件设置了其他人的执行权限),则这个用户开启的passwd命令进程的EUID/EGID=root而非该普通用户。既然setuidsetgid设置后的进程的EUID/EGID不是进程启动者的UID/GID,而是进程映像文件所有者的UID/GID,故该程序“所产生的任何操作的身份都是这个虚拟”身份,即都是EUID/EGID

Set UID

s 这个标志出现在文件拥有者的 x 权限上时,是为了让一般用户在执行某些程序的时候,能够暂时具有该程序拥有者的权限。

常见场景:该位是让普通用户可以以root用户的角色运行只有root帐号才能运行的程序或命令。如下,passwd命令普通用户运行也起效果!

 [root@localhost ~]# ll /usr/bin/passwd      //普通用修改密码的命令

-rwsr-xr-x 1 root root 23420 Aug  3  2010/usr/bin/passwd    //s权限

1s权限,使用命令(/usr/bin/passwd)时,普通用户(rabbit)可用该命令拥有者(root)的权限去执行(打开/etc/shadow文件,保存用户的修改后的密码)。

[root@localhost ~]# ll /etc/shadow       //存储用户密码文件

-r-------- 1 root root 1037 Nov 16 15:52/etc/shadow //普通用户没rw权限

 [rabbit@localhost ~]$ /usr/bin/passwd

Changing password for user rabbit.

Changing password for rabbit

(current) UNIX password:

New UNIX password:

Retype new UNIX password:

passwd: all authentication tokens updated successfully.

注意:特殊权限setuid的标志s会出现在x的地方[-rwsr-xr-x]s权限只能应用在二进制的可执行文件上才有意义。

其次,有时你设置了st 权限,你会发现它变成了ST,这是因为在那个位置上你没有给它x(可执行)的权限,这样的话这样的设置是不会有效的,你可以先给它赋上x的权限,然后再给s的权限。


3-2

2新增s权限,让普通用户能读取/etc/shadow文件

[root@localhost ~]# ll /bin/cat

-rwxr-xr-x 1 root root 23132 Feb 23  2010 /bin/cat   //cat程序无s权限

[root@localhost ~]# su rabbit

[rabbit@localhost root]$ cd ~

[rabbit@localhost ~]$ cat /etc/shadow

cat: /etc/shadow: Permission denied           //读取被拒绝

//root账号给/bin/cat增加setuid位,如下:

 [rabbit@localhost ~]$ su root

Password:

[root@localhost rabbit]# chmod u+s /bin/cat    //新增s权限

[root@localhost rabbit]# ll /bin/cat

-rwsr-xr-x 1 root root 23132 Feb 23  2010 /bin/cat   //s权限了

[root@localhost rabbit]# su rabbit

[rabbit@localhost ~]$ cat /etc/shadow               //读取文件成功

root:$1$rFRCj/Fd$yRqoBC20eKpCJzghKt7Wh/:16751:0:99999:7:::

bin:*:16751:0:99999:7:::

……

Set GID

s 这个标志出现在文件群组的 x 权限上时,与 SUID 不同的是,SGID 可以针对二进制可执行文件或目录来配置。

Set GID对二进制可执行文件时,一般用户在执行某些程序的时候,能够暂时具有该程序群组的权限。看如下案例:

3、默认touch是没有设置setuidsetgid的,那么用户执行touch后的文件的UID/GID都是touch发起者的UID/GID。如下:

[rabbit@localhost ~]$ ls -l /bin/touch

-rwxr-xr-x 1 root root 42284 Feb 23  2010 /bin/touch

[rabbit@localhost ~]$ touch a.txt

[rabbit@localhost ~]$ ls -l

total 4

-rw-r--r-- 1 rabbit rabbit 0 Nov 16 23:36a.txt 

//root账号给touch增加setgid位,如下:

[rabbit@localhost ~]$ su root

Password:

[root@localhost rabbit]# chmod g+s /bin/touch

[root@localhost rabbit]# ls -l /bin/touch

-rwxr-sr-x 1 root root 42284 Feb 23  2010 /bin/touch  //s权限

//然后,普通用户(rabbit)再次touch新文件,发现文件的属组也发生了变化,如下:

[root@localhost rabbit]# su rabbit

[rabbit@localhost ~]$ touch b.txt

[rabbit@localhost ~]$ ls -l

total 8

-rw-r--r-- 1 rabbit rabbit 0 Nov 16 23:36a.txt

-rw-r--r-- 1 rabbit root   0Nov 16 23:41 b.txt  //roottouch执行程序的群属组,而非执行该程序的用户的群组(rabbit

Set GID对于目录时,在某个目录上设置了setgid权限位后,在这个目录下创建的文件具有与该目录的属组权限,而不是创建该文件的用户的属组。当然对目录设置setuid,是不起任何作用的。看下面这个例子:

4

[rabbit@localhost ~]$ mkdir a

[rabbit@localhost ~]$ mkdir b

[rabbit@localhost ~]$ mkdir c

[rabbit@localhost ~]$ ll -l

total 24

drwxr-xr-x 2 rabbit rabbit 4096 Nov 16 23:52a

drwxr-xr-x 2 rabbit rabbit 4096 Nov 16 23:52b

drwxr-xr-x 2 rabbit rabbit 4096 Nov 16 23:52c

//root用户给这三个目录分别加上权限

[root@localhost rabbit]# chmod u+s  /home/rabbit/a  //设置suid

[root@localhost rabbit]# chmod g+s  /home/rabbit/b  //设置sgid

[root@localhost rabbit]# chmod +s  /home/rabbit/c   //设置suid+sgid

[root@localhost rabbit]# ll

total 24

drwsr-xr-x 2 rabbit rabbit 4096 Nov 16 23:52 a   //目录asuid权限

drwxr-sr-x 2 rabbit rabbit 4096 Nov 16 23:52 b   //目录bsgid权限

drwsr-sr-x 2 rabbit rabbit 4096 Nov 16 23:52 c   //目录csuidsgid权限

//利用root用户新建文件,只有setgid位起到了作用,如下:

[root@localhost rabbit]# ll -l /bin/touch

-rwxr-sr-x 1 root root 42284 Feb 23  2010 /bin/touch  //文件uid/gid=root

[root@localhost rabbit]# touch a/s.txt

[root@localhost rabbit]# touch b/s.txt

[root@localhost rabbit]# touch c/s.txt

[root@localhost rabbit]# ls -l a/

-rw-r--r-- 1 root root 0 Nov 17 00:01 s.txt    //suid权限无效

[root@localhost rabbit]# ls -l b/

-rw-r--r-- 1 root rabbit 0 Nov 17 00:01 s.txt   // sgid权限有效

[root@localhost rabbit]# ls -l c/

-rw-r--r-- 1 root rabbit 0 Nov 17 00:01 s.txt   // suid权限无效、sgid权限有效

SBIT

SBIT 目前只对目录有效,对文件已没有效果。将给目录加上了SBIT权限时, 则用户只能够针对自己创建的文件或目录进行删除/更名/移动等动作(前提:该用户对目录具有 w, x 权限,即写入权限),而无法删除他人的文件。root用户除外!

5:新建共享目录给rabbittest用户使用,他们可以在里面新建文件与目录,但不能修改、删除他人的文件。

[root@localhost /]# mkdir /test

[root@localhost /]# chmod o+w,g+w,o+t test     //给目录设置SBIT

[root@localhost /]# ll -d test

drwxrwxrwt 2 root root 4096 Nov 17 09:13 test  

//rabbit用户登录 新建文件/test/a.txt,修改文件权限777

[root@localhost test]# su rabbit

bash-3.2$ touch /test/a.txt

bash-3.2$ ls -l /test/a.txt

-rw-r--r-- 1 rabbit rabbit 0 Nov 17 09:22/test/a.txt

bash-3.2$ chmod 777 /test/a.txt

bash-3.2$ ls -l /test/a.txt

-rwxrwxrwx 1 rabbit rabbit 0 Nov 17 09:22/test/a.txt  //空文件a.txt已存在

//test用户登录,做查看、修改文件内容、删除文件等实验。

[root@localhost rabbit]# su test

[test@localhost ~]$ cd /test

[test@localhost test]$ vi a.txt     //可编辑文件、保存文件内容

[test@localhost test]$ cat a.txt     //可查看文件内容

this is test`

[test@localhost test]$ cp a.txt b.txt   //可复制文件

[test@localhost test]$ ll

-rwxrwxrwx 1 rabbit rabbit 14 Nov 17 09:30a.txt

-rwxrwxr-x 1 test   test  14 Nov 17 09:48 b.txt

[test@localhost test]$ rm a.txt

rm: cannot remove `a.txt': Operation notpermitted   //不可删除文件

[test@localhost test]$ mv a.txt /home/test/

mv: cannot remove `a.txt': Operation notpermitted   //不可移动文件

//root用户可以删除文件


3-3

木生火
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
100 道 Linux 常见面试题,建议收藏!
C语言与CPP编程的博客
06-08 1549
本文共 2W+字,分别从 Linux 概述、磁盘、目录、文件、安全、语法级、实战、文件管理命令、文档编辑命令、磁盘管理命令、网络通讯命令、系统管理命令、备份压缩命令等方面拆解 Linux ...
mysql全网天花板-基础
QuartusII7的博客
09-19 154
MySQL官网 MySQL数据库的入门 视频教程:B站:BV1iq4y1u7vj 其他资料在我的bd网盘文件夹:/尚硅谷MySQL入门到高级-宋红康版 目录mysql-1到3章内容还得再补充第01章_数据库概述第02章_MySQL环境搭建第03章_基本的SELECT语句第04章_运算符第05章_排序与分页第06章_多表查询 *第07章_单行函数*第08章_聚合函数 *第09章_子查询 *第10章_创建和管理表第11章_数据处理之增删改第12章_MySQL数据类型精讲第13章_约束第14章_视图(Vie
UID、EUID、GID和EGID
bugcat的博客
08-21 1426
程序允许任何用户都可以使用它来修改自己的账户信息,但修改账户时程序不得不访问文件Linux中id真是太多了进程有pid,然后用户还有UID这种,真是有点绕。:它使得运行程序的用户拥有该程序的有效用户的权限(太过官方这种说法感觉)。文件,普通用户是不可写(只有读权限)的,那么用户怎么能够通过。将其编译一下,然后查看查看文件属性,再运行程序,可以看到。程序时,其有效用户就是该程序的。是一样的,但是对于一些程序如。,那么程序有效的用户就会变成。权限,再运行程序,可以看到。权限,再运行程序,可以看到。
task_struct-2.4
stude的专栏
07-21 1427
1. 调度数据成员(1) volatile long states;表示进程的当前状态:? TASK_RUNNING:正在运行或在就绪队列run-queue中准备运行的进程,实际参与进程调度。? TASK_INTERRUPTIBLE:处于等待队列中的进程,待资源有效时唤醒,也可由
Linux进程的uid和euid,关于 Linux 进程的 UID、EUID、GID 和 EGID
weixin_35508482的博客
04-28 728
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?有的时候在 linux 环境中执行一些命令 , 会提示对某某文件 Permission denied, 这种权限问题通常可以通过在命令前加 sudo 解决,但这样难免有些繁琐,其实,还有更好的方法……UID、EUID、GID 和 EGID 简介UID 真实用户IDEUID 有效用户IDGID 真实组IDEGID ...
关于UNIX和Linux系统下SUID、SGID的解析
ckomuo086028的博客
05-15 1181
如果你对SUID、SGID仍有迷惑可以好好参考一下! Copyright by kevintz. [@more@]由于用户在UNIX下经常会遇到SUID、SGID的概念,而且SUID和SGID涉及到系统安全,所以用户也比较关...
【进大厂必学】3W字180张图学习Linux基础总结
L的存在的博客
05-26 4402
就不多说这段时间干啥去了吧,期间和很多的同学聊了天,有的童鞋已经开始工作,聊了聊工作上的事儿。有的是今年即将毕业的童鞋,有着自己的小目标,有的想尝试互联网,所以现在基本上都快进行二轮的复习了,有的同学备战公务员,凭着年轻这股劲儿向往自己理想的生活状态,无论怎么样,长路漫漫,走一步,算一步,每一步都算数。 今天分享的这篇文章是 Linux 相关的基础知识,深一点的内容基本上没有,不过对于刚需小伙伴来说,也就够了,有时间的话,最好按照这些命令去试一试,敲一敲,这样记忆更加深刻。 老规矩,先看目录,文章比较长,建
Centos7-Linux
PAcaption的博客
08-18 2130
Centos7-Linux-RH Linux操作系统(百度百科):全称GNU/Linux,是一套免费使用和自由传播的类UNIX操作系统,其内核由林纳斯·本纳第克特·托瓦兹于1991年第一次释出,它主要受到Minix和Unix思想的启发,是一个基于POSIX和Unix的多用户、多任务、支持多线程和多CPU的操作系统。它能运行主要的Unix工具软件、应用程序和网络协议。它支持32位和64位硬件。Linux继承了Unix以网络为核心的设计思想,是一个性能稳定的多用户网络操作系统。Linux有上百种不同的发行版,
【2024.5.29数据库MYSQL史上最详细基础学习汇总】
最新发布
H1252255213的博客
05-29 791
DB的全称是database,即数据库的意思。数据库实际上就是一个文件集合,是一个存储数据的仓库,数据库是按照特定的格式把数据存储起来,用户可以对存储的数据进行增删改查操作;关系型数据库是依据关系模型来创建的数据库。所谓关系模型就是“一对一、一对多、多对多”等关系模型,关系模型就是指二维表格模型,因而一个关系型数据库就是由二维表及其之间的联系组成的一个数据组织。
文件的uid、gid 进程euidegid 、附加组ID(如果支持) 总结
苏秦 的专栏
03-09 5134
1.在struct  file结构体中有: unsigned int    f_uid, f_gid;//文件的所有者ID,所有者所在组ID mode_t f_mode;   2.  stat()、fstat() 、lstat()三个函数将某文件(第一个参数指定)的状态填写到第二个参数所指的结构体struct stat中,在stat结构体中有: uid_t st_uid; gid_t
彻底搞懂uid-gid-euid-egid
cheyiliu的专栏
12-09 2447
点击打开链接
关于 Linux 进程的 UID、EUID、GID 和 EGID
weixin_33906657的博客
08-09 1442
UID、EUID、GID 和 EGID 简介 UID 真实用户ID EUID 有效用户ID GID 真实组ID EGID 有效组ID   用户信息对于服务器程序的安全性来说是很重要的,比如大部分服务器就必须以 root 身份启动,但不能以 root 身份运行。一个进程拥有两个用户ID:UID 和 EUIDEUID存在的目的是...
Linux进程的uid和euid,Linux进程的uid和euid
weixin_36384964的博客
04-28 1283
对可执行文件设置setuid权限时,将对运行该文件进程授予基于文件属主的访问权限。该访问权限不是基于正在运行可执行文件的用户。使用此特殊权限,用户可以访问通常只有属主才可访问的文件和目录。 可以使用chmod u+s 或chmod g+s来设置二进制的可执行文件euid。setuid只能对二进制的可执行设置。一 进程的uid和euid转自:http://bbs.linuxpk.com/thre...
uid gid euid egid详解 (转载)
chengnian7642的博客
08-03 298
本文只有部分内容,请到一牛网阅读全文: http://www.16rd.com/blog-8691-1456.html 由 于用户在UNIX下经常会遇到SUID、SGID的概念,而且SUID和SGID涉及到系统安全,所以用户也比较关心这个问题。关于SUID、SGID的 问题也经常有人提问,但回...
Linux中UID, GID, EUID, EGID,SUID、SGID讲解
年年年的博客
11-24 3708
UNIX下关于文件权限的表示方法 通常我们使用ls -l查看文件权限。通常我们可以得到10位的权限表示法,如:-rwxr-xr-x。我们对于以下格式进行解析: 9 8 7 6 5 4 3 2 1 0 - r w x r - x r - x 第9位表示文件类型,可以为p、d、l、s、c、b和-: 符号 意义 p 表示命名管道文件 d 表示目录文件 l 表示符号连接文件 - 表示普通文件 s 表示字符设备文件 c 表示命名管道文件 b 表示块设备文件 第8-6位
真正弄懂uid、gid、egideuid
m0_52670646的博客
03-31 844
uid、gid、egideuid详解
UID, EUID, SUID, FSUID
华的专栏
03-08 8904
前 言 real user ID (uid): 实际用户ID,指的是进程执行者是谁 effective user ID (euid): 有效用户ID,指进程执行时对文件的访问权限 saved set-user-ID (saved uid): 保存设置用户ID。是进程刚开始执行时,euid的副本。在执行exec调用之后能重新恢复原来的effectiv user ID. 上面这三个ID是相
从getuid()&+geteuid()谈文件特殊权限
ISPCFS的专栏
10-13 1783
本文多处参考以下文章,向作者致谢。勉为其难算作原创~~~ http://www.groad.net/bbs/read.php?tid-868.html http://www.groad.net/bbs/read.php?tid=749 http://www.groad.ne
Linux内核2.4-7函数手册:驱动基础与原子操作
Linux内核2.4-7版本中,驱动程序开发是核心部分,它涉及到与硬件交互和系统资源的管理。以下是一些关键知识点: 1. **驱动程序基础** - **Driver Entry and Exit Points**:每个驱动程序都有初始化和退出的入口...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值