Linux中的setuid和setgid

最新推荐文章于 2023-01-05 19:24:55 发布
最新推荐文章于 2023-01-05 19:24:55 发布
阅读量2.5k 收藏 3
点赞数
分类专栏: Linux 文章标签: linux setuid setgid 权限

1、什么是SetUID

     我们知道,在linux的命令行下执行“ps”命令时,就会列出当前系统中的所有进程,在其中可以看到每个进程都和用户的真实id关联,实际上,Linux中的每个进程还跟一个称为有效用户id(set User id)紧密关联。前者用于表示该进程由那个用户控制,后者用于为新建立的文件分配所有权,检查文件访问许可等操作,同时有效用户为该文件的所有者。linux系统内核允许一个进程以调用一个SetUID程序(或显示执行SetUID系统调用)的方式,来改变其自身的有效用户id。


2、如何配置SetUID权限

     在linux中,不管是Root用户还是普通用户,都可以使用“Password”命令来更改自身的密码。但是,Linux中的密码通常是保存在“/etc/paswd”和“/etc/shadow”文件中,这两个文件对系统安全至关重要,因此只有Root用户才能对其执行读写操作。以管理员的身份登陆系统,在Linxu提示符下执行“ls /etc/passwd /etc/shadow”命令,在返回信息中可以看到普通用户对上述这两个文件并没有写权限,因此从文件属性的角度看,普通用户在更改自身密码时,是无法将密码信息写入到上述文件中的,哪么用户是怎样成功的更改密码的呢?实际上,问题的关键不在于密码文件本身,而在于密码更改命令“passwd”。在提示符下执行命令“ls /usr/bin/passwd”,在返回信息中的文件所有者执行权限位上显示“S”字样,表示“passwd”命令具有SetUID权限,其所有者为Root,这样普通用户在执行“passwd”命令时,实际上以有效用户root的身份来执行的,并具有了相应的权限,从而将新的密码写入到“/etc/passwd”和“/etc/shadow”文件中,当命令执行完毕,该用户的身份立即消失。如何设置SetUID权限呢?使用“chmod”命令即可为指定文件设置SetUID权限,例如“chmod 4xxx   filename”命令,取消SetUID权限的命令为“chmod xxx   filename”。类似的,执行“chmod 2xxx filename”命令可以设置SetUID权限,使用“chmod xxx filename”命令即可取消SetGID权限,如果执行“chmod 6xxx filename”命令,即可同时为指定文件设置SetUID和SetGID,执行命令“chmod 0xxx filename”,即可同时取消指定文件的SetUID和SetGID权限。例如以Root用户登陆系统,执行“chmod 0511 /usr/bin/passwd”命令,就可以取消“passwd”命令的SetUID权限,这样普通用户就无法修改自己的密码了。


3、SetUID权限的安全性

     使用SetUID可以灵活的调整所有文件所有者权限,但是也为系统的安全性带来了隐患。如果Root用户为指定的程序文件配置过大的SetUID权限,那么就会为黑客或者非法用户打开了侵入系统的大门。例如在Linux中可以使用“vi”命令来编辑文件,但是,对于普通用户而言,当其试图使用命令“vi /etc/shadow”来修改密码文件时,系统就会弹出“/etc/shadow : Permission Denied”的警告提示,从而禁止其对密码文件的非法修改。但是,如果在Root用户环境中执行“which vi”命令,就可以看到“vi”命令实际上是“vim”命令的别名,其真实路径为“/usr/bin/vim”,这样执行命令"chmod 6755 /usr/bin/vim",就可以将“vi”命令的所有者更改为Root,这样在普通的用户环境中,就可以使用“vi”命令来编辑任何文件(例如“/etc/shadow”),这样,即使是普通用户也可以将密码文件清空,从而实现无密码登陆Linux,给系统的安全带来的威胁不言而喻。因此,对可能给系统安全带来危害的程序来说,应该尽量不要随意为其配置SetUID权限。


4、如何禁用SetUID权限

      对于存放在敏感数据的分区而言,有时可能希望禁用SetUID权限设置功能。例如对"/home" 分区禁用SetUID权限,可以找到修改其配置文件“/etc/fstab”, 执行命令“vi /rtc/fstab”,可以看到“LABEL=/home /home ext3 defaults 1 2”等数据,我们只需在上述“default”关键字的后面添加“nosuid” 关键字即可,例如使用“vi”命令将其修改为“LANBEL=/home /home ext3 default , nosuid 1 2”,之后执行命令“mountoremount /home”,这样即使对“/home”分区上的任何可执行文件配置了SetUID权限,也是无效的。这样就在很大程度上保护了系统的安全。


文章出处:http://hi.baidu.com/jbmibzpdmobckmd/item/f2910293df9222b983d295be


依然绿茶
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux权限管理之SetUID&SetGID
qq_41566366的博客
11-26 979
关于facl权限,请看: g​​​​​​​linux权限管理之ACL权限管理_Rocket MAN的博客-CSDN博客SetUID理解起来比较简单,这里不做赘述,详情请参考:Linux SetUID(SUID)文件特殊权限用法详解 (biancheng.net) 与 SUID 不同的是,SGID 既可以对文件进行配置,也可以对目录进行配置。请参考Linux SetGID(SGID)文件特殊权限用法详解 (biancheng.net) 关于SetGID的理解:创建/tmp/test,要求成员mbb-sw3下的
linux SetUID(SUID)、SetGID(SGID)、Sticky BIT
HSJ0170的博客
05-12 367
SetUID (SUID )对文件的作用 SUID 特殊权限仅适用于可执行文件,所具有的功能是,只要用户对设有 SUID 的文件有执行权限,那 么当用户执行此文件时,会以文件所有者的身份去执行此文件,一旦文件执行结束,身份的切换也随之消失。 SetGID(SGID)对文件的作用 同 SUID 类似,对于文件来说,SGID 具有如下几个特点: SGID 只针对可执行文件有效,换句话说,只有可执行文件才可以被赋予 SGID 权限,普通文件赋予 SGID 没有意义。 用户需要对此可执行文件有 x 权限; 用户在执
Linux笔记——SetUID,SetGID,黏着位权限
weixin_42638731的博客
01-05 1159
Linux笔记——SetUID,SetGID,黏着位权限
【头歌】Linux Linux从入门到精通
热门推荐
ChristinaXinny的博客
10-09 6万+
https://www.educoder.net/paths/43 第1关:Linux初体验 #!/bin/bash #在以下部分写出完成任务的命令 #*********begin*********# cd / ls -a #********* end *********# 第2关:Linux常用命令 #!/bin/bash #在以下部分写出完成任务的命令 #*********begin*********# touch newfile mkdir newdir cp newfile newdir/newf
学习总结4.7 Linux文件/目录setuidsetgid
xiexieya233的博客
11-19 1268
Linux文件/目录除了有可读、可写和可执行这三种权限外,还存在比较特殊的权限,这些特殊权限就包括setuidsetgid这两种。 setuidsetgid位是让普通用户可以以root用户的角色运行只有root帐号才能运行的程序或命令。例如我们用普通用户运行passwd命令来更改自己的口令,实际上最终更改的是/etc/passwd文件,我们知道/etc/passwd文件是用户管理的 配置文件,只有root权限的用户才能更改,正是因为passwd命令被设置了setuid权限才能使得普通用户也可以修改其
linux三个特殊权限setuidsetgid和stick bit.docx
09-26
Linux 系统除了我们熟知的读(r)、写(w)、执行(x)权限外,还有三个比较特殊的权限,分别为:setuidsetgid 和 stick bit(粘滞位)。这三个特殊权限在 Linux 系统扮演着重要的角色,下面将对它们进行详细的解释...
详解Linux系统特殊文件权限
01-09
一直在弄Samba服务的配置,深深的感受到权限控制的困难,文件权限的机制是Linux系统的一大特色,除了我们现在所熟知的读(r)、写(w)、执行(x)权限外,还有三个比较特殊的权限,分别为:setuidsetgid和stick...
08-Linux权限设置
07-12
SetUID表示文件所有者拥有超级用户权限,SetGID表示文件所属组拥有超级用户权限,Sticky Bit表示目录的文件只能被文件所有者、目录所有者和root用户删除。 2.4 如何设置S位 S位可以使用chmod命令来设置。例如,...
Linux C常用库函数手册.chm
05-15
- `setuid()` 和 `setgid()`:改变进程的用户或组ID,通常在需要提升或降低权限的程序使用。 - `getpwuid()` 和 `getgrgid()`:根据用户ID或组ID查找用户名和组名,方便人读性。 2. **信号处理篇**: - `...
Linux特殊权限SUID、SGID与SBIT的深入讲解
01-20
前言 对于linux文件或目录的权限,...setuidsetgid 分别是 set uid ID upon execution 和 set group ID upon execution 的缩写。我们一般会再次把它们缩写为 suid 和 sgid。它们是控制文件访问的权限标志(flag)
Linux 操作系统编程 系统编程
最新发布
09-15
10. **权限与文件系统安全**:理解用户和组的概念,熟悉文件权限(read、write、execute)和特殊权限(setuidsetgid、sticky),以及chown、chmod等命令的使用。 在"Assignment1"这个任务,可能涉及以上一个或...
50道linux面试题.zip
07-07
4. **权限模型**:SUID、SGID、 Sticky位的作用,以及setuidsetgid的解释。 5. **调度算法**:理解Linux的调度策略,如CFS(Completely Fair Scheduler)。 6. **内核模块**:如何加载和卸载内核模块,以及...
学习linux下的相关杂文
06-27
理解目录结构(如根目录 `/`、用户主目录 `~`)、文件权限(读、写、执行)和特殊权限(setuidsetgid、sticky位)对于日常操作至关重要。 3. **进程管理**:在Linux,进程是程序的执行实例。了解如何创建(`...
linux2 20182710_linux_
09-28
9. **系统安全**:讲解Linux的用户权限模型,如sudo、setuidsetgid以及权限位的设定。 10. **自动化任务与定时任务**:cron服务的使用,以及编写bash脚本来实现定时任务。 11. **日志管理**:了解日志系统如...
Linux课后习题1
08-08
文件权限分为读、写、执行三种基本权限,还有setuidsetgid和sticky三位特殊权限。`chmod`命令使用数字或符号模式改变权限,`chown`和`chgrp`改变文件所有者和组。 进程是运行的程序实例,与程序的区别在于程序...
Linux权限管理:setUIDsetGID 和 Sticky BIT
dlin33的博客
11-08 389
1、setUIDsetGID 和 Sticky BIT 的功能详解   setuid 功能:     1、只有可执行的二进制文件程序才能设定 SUID 权限(前提)     2、命令执行者要对该程序有执行(x)权限(必要条件)     3、命令执行者再执行该程序时获得该程序文件属主的身份     4、setuid 权限只在该程序执行过程生效   setgid 功能: -- 对文件而言...
Linux总结(二十五):linux的/文件特殊权限SUID、SGID、SBIT
科大小笨的博客
07-14 862
一、SetUID文件特殊权限 1、基本定义 可以看到,原本表示文件所有者权限的 x 权限位,却出现了 s 权限,此种权限通常称为SetUID,简称SUID 特殊权限。 SUID 特殊权限仅适用于可执行文件,所具有的功能是,只要用户对设有 SUID 的文件有执行权限,那么当用户执行此文件时,会以文件所有者的身份去执行此文件,一旦文件执行结束,身份的切换也随之...
linux进程--setuid/setgid
RT的博客
03-31 1171
文件setuid/setgid linux文件的权限标志除了大家熟知的读(r)、写(w)、执行(x)外,还有三个比较特殊的权限位: setuid/setgid/sticky bit setuid只作用于二进制可执行文件(不包含shell/python/perl等脚本),它允许当前用户以文件所有者的权限运行文件。 如系统的passwd命令 ls -l /usr/bin/passwd -rwsr-xr-x 1 root root 54256 Mar 27 2019 /usr/bin/passwd 这个文
linuxsetGID权限
qq_40420795的博客
12-16 1184
1、setGID对文件的作用 只有可执行的二进制程序才能设置setGID权限 命令执行者要对该程序拥有x(执行)权限 命令执行在执行程序的时候,组身份升级为该程序文件的属组 setUID权限同样只在该程序执行过程有效,也就是说组身份改变只在程序执行过程有效 实例:系统的locate命令就是一个具有setGID权限的文件,locate命令实际搜索的是/var/lib/mlocate/m...
linux文件/目录setuidsetgid
06-28
### 回答1: setuidsetgidLinux文件/目录的权限设置,用于控制文件/目录的访问权限。 setuid是指当一个文件被执行时,该文件的所有者权限将被提升为执行者的权限,即使执行者的权限低于文件所有者的权限。这样可以使得一些需要高权限才能执行的程序在低权限用户下也能够执行。 setgid是指当一个目录被创建时,该目录的所有者权限将被设置为创建者的组权限,即使创建者的权限低于目录所有者的权限。这样可以使得在该目录下创建的文件都属于同一组,方便组内成员共享文件。 总之,setuidsetgidLinux系统非常重要的权限设置,可以提高系统的安全性和灵活性。 ### 回答2: 在Linux系统,每一个文件和目录都有其所属的用户和用户组。setuidsetgid是可以应用于文件和目录的特殊权限,它们可以极大地影响一个文件或目录的访问权限和执行权限。 首先,setuid权限使得在执行文件时,运行该执行文件的进程会暂时拥有该文件所有者的权限,即使是普通用户也可以执行一些仅有管理用户才能运行的程序,如passwd命令等。这样做可以让普通用户执行一些操作,提高了系统的可维护性和可操作性。 其次,setgid权限则允许指定一个文件或目录的用户组,从而提供更精细的权限控制。在设置了setgid权限的目录里的新文件和目录,其所属用户组会被自动设置为目录的用户组,从而实现了成员共享文件的精细控制。同时,如果一个具有setgid权限的可执行文件被运行,那么它会以其所属的用户组的身份运行,在这个用户组里所具有的权限也会拥有。 实际上,在不恰当的使用setuidsetgid权限时,也可能会带来系统的风险和不安全性。因此,在设置文件和目录的权限时,我们需要慎重考虑应用setuidsetgid权限的必要性,尽量减少不必要的风险。对于一些敏感的系统操作或者权限限制较大的文件和目录,我们也要加强对其权限的管理和控制,从而最大限度地保证系统安全和运行稳定。 ### 回答3: 在Linux文件系统,每个文件/目录都有一个所有者和一个所属组,由于这个特性,一些特殊权限被引入,其包括setuidsetgidsetuidsetgidLinux文件系统的一个非常重要的安全特性,可以在执行该文件时,临时将当前用户的权限更改为文件所有者或文件所属组的权限,从而使得用户可以利用文件所有者或文件所属组的权限来执行一些对于当前用户本身需要特殊授权的操作,而无需为此特别授权。 setuidsetgid分别是set user ID 和set group ID的缩写。当文件所有者或文件所属组有一个特殊权限被设置为“s”时,就表示这个文件有setuidsetgid权限。具体来说,setuid使得一个文件在执行时将有效用户ID更改为文件所有者的ID,setgid则将有效组ID更改为文件所属组的ID。 对于一个拥有setuid权限的可执行文件,当一个普通用户执行它时,其所拥有的权限就可以被限制在执行该文件的组或者用户的权限内,从而保证了系统对文件的操作安全性。在实际效果setuidsetgid的应用范围很广,可以应用于各种场合,比如sudo程序、passwd等。 总而言之,setuidsetgidLinux文件系统的一种特殊权限,可以为普通用户提供执行高特权操作的托管服务,从而提高系统的安全性和可用性。同时,根据需要设置setuidsetgid的权限具有升级或降级普通用户权限的功能,对于Linux服务器的管理和运维也有很大的帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值