linux系统中的特殊权限之SGID(Set GID)

最新推荐文章于 2024-08-16 18:22:35 发布
最新推荐文章于 2024-08-16 18:22:35 发布
阅读量1.8k 收藏 7
点赞数 1
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013769350/article/details/88909329
版权

文章目录


***linux系统中的特殊权限之SUID(Set UID)***
***linux系统中的特殊权限之SGID(Set GID)***
***linux系统中的特殊权限之SBIT(Sticky BIT)***

前言

之前,简单的讲解了SUID,有需要的可以使用上面的链接跳转,查看关于SUID的相关知识。
下面,来为大家介绍SGID这一特殊权限。

SGID(Set GID)

SGID的作用

SGID最常见的作用对象是目录,即对目录添加SGID权限。
当一个目录的属组拥有w权限(写权限),并且拥有SGID权限时,所有属于此目录的属组的用户,在以属组的身份在这个目录中新建文件(包括目录)时,新文件的属组不是用户的基本组,而是和此目录的属组相同。
光看概念的话可能不好理解,下面还是以实例来讲解。

实例讲解

默认情况(不使用SGID)

假设tom和jerry属于同一工作组,他们使用的文件,都放在同一个目录下,可以这样设置;

  • #创建一个新的组,并将tom和jerry添加到组中
[root@centos7u6 tmp]# groupadd  workgroup
[root@centos7u6 tmp]# usermod -a -G workgroup tom
[root@centos7u6 tmp]# usermod -a -G workgroup jerry
[root@centos7u6 tmp]# id tom
uid=1004(tom) gid=1004(tom) groups=1004(tom),1006(workgroup)
[root@centos7u6 tmp]# id jerry
uid=1005(jerry) gid=1005(jerry) groups=1005(jerry),1006(workgroup)
  • #创建一个共享目录,并将目录的属组改为workgroup
[root@centos7u6 tmp]# mkdir /tmp/test_SGID
[root@centos7u6 tmp]# ls -ld test_SGID/
drwxr-xr-x 2 root root 6 Mar 30 11:09 test_SGID/
[root@centos7u6 tmp]# chown :workgroup /tmp/test_SGID/
[root@centos7u6 tmp]# ls -ld test_SGID/
drwxr-xr-x 2 root workgroup 6 Mar 30 11:09 test_SGID/
  • #需要给/tmp/test_SGID目录的属组赋予写权限,否则,tom和jerry无法在该目录中新建文件
[tom@centos7u6 test_SGID]$ touch /tmp/test_SGID/tom_test
touch: cannot touch ‘/tmp/test_SGID/tom_test’: Permission denied
  • #分别使用tom和jerry用户在/tmp/test_SGID目录中创建文件
[tom@centos7u6 ~]$ echo "tom" > /tmp/test_SGID/tom.test
[tom@centos7u6 ~]$ cat /tmp/test_SGID/tom.test
tom

[jerry@centos7u6 test_SGID]$ echo "jerry" > /tmp/test_SGID/jerry.test
[jerry@centos7u6 test_SGID]$ cat /tmp/test_SGID/jerry.test 
jerry
  • #查看被创建的文件的属组,分别为tom和jerry的基本组
[root@centos7u6 test_SGID]# ls  -l 
total 8
-rw-rw-r-- 1 jerry jerry 6 Mar 30 13:16 jerry.test
-rw-rw-r-- 1 tom   tom   4 Mar 30 13:14 tom.test

以上是默认不使用SGID的情况,但是这种情况下,用户tom只能查看jerry.test,但是无法修改jerry.test的内容。 

[root@centos7u6 test_SGID]# su tom
[tom@centos7u6 test_SGID]$ cat jerry.test 
jerry
[tom@centos7u6 test_SGID]$ echo "tom2" >> jerry.test 
bash: jerry.test: Permission denied

现在,当tom和jerry需要可以互相修改对方的文件时,SGID便派上用场了。

使用SGID权限

  • #现在赋予/tmp/test_SGID目录特殊权限SGID
    注意,拥有SGID权限后,文件属组的x权限(执行权限)位,变成了小s
drwxrwxr-x 2 root workgroup 40 Mar 30 13:27 /tmp/test_SGID/
[root@centos7u6 test_SGID]# chmod g+s /tmp/test_SGID/
[root@centos7u6 test_SGID]# ls -ld /tmp/test_SGID/
drwxrwsr-x 2 root workgroup 40 Mar 30 13:27 /tmp/test_SGID/
  • #现在我们再分别用tom和jerry创建文件,并查看文件的属性
    可以看到新创建的文件的属主不变,但是属组不再是用户的基本组,而是变成了/tmp/tset_SGID目录的属组
[tom@centos7u6 test_SGID]$ echo "tom2" > /tmp/test_SGID/tom2.test

[jerry@centos7u6 test_SGID]$ echo "jerry2" > /tmp/test_SGID/jerry2.test
[root@centos7u6 test_SGID]# ls -l /tmp/test_SGID/
total 16
-rw-rw-r-- 1 jerry workgroup 5 Mar 30 13:40 jerry2.test
-rw-rw-r-- 1 jerry jerry     6 Mar 30 13:27 jerry.test
-rw-rw-r-- 1 tom   workgroup 5 Mar 30 13:40 tom2.test
-rw-rw-r-- 1 tom   tom       4 Mar 30 13:14 tom.test
  • 现在,tom和jerry可以互相修改对方创建的文件的内容了
[tom@centos7u6 test_SGID]$ echo "tom is coming..." >> jerry2.test 
[tom@centos7u6 test_SGID]$ cat jerry2.test 
[tom@centos7u6 test_SGID]$ cat jerry2.test 
jerry2
tom is coming...
chmod
[jerry@centos7u6 test_SGID]$ echo "jerry is coming" >> /tmp/test_SGID/tom2.test 
[jerry@centos7u6 test_SGID]$ cat tom2.test 
tom2
jerry is coming

通过对比,我们应该能更清晰的看到SGID的作用了。

SGID的用法

同之前的SUID类似:

  • 第一种方法:
    chmod g+|-s FILENAME
    • 设置权限:chmod g+s /tmp/test
    • 取消:chmod g-s /tmp/test
  • 第二种方法:
    使用8进制赋权
    • 设置权限:chmod 2775 /tmp/test
    • 取消:chmod 775 /tmp/test
SUIDSGIDSBIT八进制权限
0000
0011
0102
0113
1004
1015
1106
1117

判断是否有SGID权限

SGID的权限展示位,在文件属组的x权限(执行权限)位上。

  • 如果有SGID
    • 属组原本有执行权限,则属组的执行权限位,显示为小s
    • 属组原本没有执行权限,则属组的执行权限位,显示为大写S
  • 如果没有SUID
    • 属组的执行权限位,仍然按其基本权限,显示为x或者-
[root@centos7u6 test_SGID]# ls -ld /tmp/test_SGID/
drwxrwsr-x 2 root workgroup 40 Mar 30 13:27 /tmp/test_SGID/

加点小料:locate命令

在linux系统中,SGID多用于目录,但是也可以用于文件,locate命令就是其中一个。

  • #locate命令文件的存放路径如下,文件的属主是root,属组为是locate。
[root@centos7u6 test_SGID]# ls /usr/bin/locate -l
-rwx--s--x 1 root slocate 40520 Apr 11  2018 /usr/bin/locate

locate命令查找是基于对数据库中索引的搜索完成的,数据库的路径和名称是/var/lib/mlocate/mlocate.db,可以看到mlocate.db文件的属主是root,属组为slocate。

[root@centos7u6 ~]# ls -l /var/lib/mlocate/mlocate.db 
-rw-r----- 1 root slocate 597052 Mar 30 14:32 /var/lib/mlocate/mlocate.db

由于locate命令文件拥有SGID权限,所以在一般用户tom去使用locate命令查找,发起一个进程时,tom会临时被添加到slocate组中,而slocate组中的用户对mlocate.db文件有r权限(读权限),所以这个进程可以读取数据库文件中的内容,完成查找操作。

[tom@centos7u6 ~]$ locate fstab
/etc/fstab
/usr/lib/dracut/modules.d/95fstab-sys
/usr/lib/dracut/modules.d/95fstab-sys/module-setup.sh
/usr/lib/dracut/modules.d/95fstab-sys/mount-sys.sh
/usr/lib/systemd/system-generators/systemd-fstab-generator
/usr/share/man/man5/fstab.5.gz
/usr/share/man/man8/systemd-fstab-generator.8.gz

如果,我们将locate命令SGID权限取消,那么tom在去执行locate命令,则不会被临时添加至slocate组中,当这个进程以other用户的身份去访问数据库时,会因为没有read权限而被拒绝,最终导致查找操作失败。

[root@centos7u6 ~]# chmod g-s /usr/bin/locate 
[root@centos7u6 ~]# ls -l /usr/bin/locate
-rwx--x--x 1 root slocate 40520 Apr 11  2018 /usr/bin/locate
[root@centos7u6 ~]# su tom
[tom@centos7u6 root]$ locate fstab
locate: can not stat () `/var/lib/mlocate/mlocate.db': Permission denied
[tom@centos7u6 root]$

注: 测试完后,记得将其修改回去。

使用SGID的注意事项

  • 可以针对二进制文件使用
    • 文件的属组需要有x权限
    • SGID的生命周期:当这个程序运行为进程时SGID有效,进程结束后,SGID权限也随之消失
  • 可以针对目录使用
    • 目录的属组需要有r权限,这样才能进入到目录
    • 目录的属组需要拥有w权限,这样用户才可以在目录中创建文件
    • 目录的属组需要拥有x权限 ,这样SGID才能生效
313531159
关注
专栏目录
SGID权限测试
Z_xiao_feng的博客
05-20 367
SGID权限测试 1)将mkdir命令程序复制为/bin/mymd2,为其添加SGID权限,并完成下列操作。 2)以用户lisi登入,使用mkdir创建子目录snew01、使用mymd2创建子目录snew02,查看子目录snew01、snew02的权限及归属。 3)创建/nsdpublic目录,将属组改为tarena 4)新建子目录nsd01、子文件test01.txt,查看两者的权限及归属。 5...
linux 特殊权限大写S,Linux特殊权限之SUID、SGID、SBIT的使用指南
weixin_33318791的博客
05-08 875
1. 前言Linux文件权限除了r、w、x外还有s、t、i、a权限,本文将会讲解这三个特殊权限的使用方法已经注意事项。2. 了解特殊权限我们先来看一下[root@zcwyou ~]# ll /usr/bin/passwd-rwsr-xr-x. 1 root root 27832 6月 10 2014 /usr/bin/passwd我们可以看到,rws,这就是一个具有特殊权限的文件。再来看一个例子...
Linux】彻底搞懂Linux权限(超详细解析,小白必看系列)
最新发布
m0_73494049的博客
08-16 2702
Linux权限管理包括用户分类、权限表示、权限管理命令和特殊权限。用户分为超级用户和普通用户,权限分为读、写、执行。主要命令有chmod、chown、chgrp和umask。粘滞位用于保护公共目录的文件。
Linux sgid功能
weixin_34399060的博客
05-03 231
sgid与suid不同的是,sgid即可以针对文件也可以针对目录设置!sgid是针对用户组权限修改的。也就是9位权限间的3位。对于文件,sgid的功能如下:1.sgid仅对二进制命令程序有效。2.二进制命令或程序需要有可执行权限x。3.执行程序的任意用户可以获得该命令程序执行期间所属组的权限。对于目录,sgid的功能如下:1.用户在些目录下创建的文件和目录,具有和此目录相同...
linuxsgid
qq_37126193的博客
11-12 2188
情境模拟题一:假设系统有两个帐号,分别是 alex 与 arod ,这两个人除了自己群组之外还共同支持一个名为 project 的群组。假设这两个用户需要共同拥有 /srv/ahome/ 目录的开发权,且该目录不许其他人进入查阅。 请问该目录的权限配置应为何?请先以传统权限说明,再以 SGID 的功能解析。 目标:了解到为何专案开发时,目录最好需要配置 SGID权限! 前提:多个帐号支持...
linux sgid用法,Linux SetGIDSGID)文件特殊权限用法详解
weixin_29223603的博客
05-13 391
前面学习了 SetUID,那么,什么是 SetGID 呢?很简单,当 s 权限位于所属组的 x 权限位时,就被称为SetGID,简称SGID 特殊权限。例如:[root@localhost ~]# ll /usr/bin/locate-rwx--s--x. 1 root slocate 35612 8月24 2010 /usr/bin/locate与 SUID 不同的是,SGID 既可以对文件...
linux权限标志位sgid,Linux上文件的特殊权限SUID,SGID,SBIT详解
weixin_31792645的博客
04-30 1036
文件的特殊权限SGID, SUID..SBIT大家都知道文件和目录的权限最常见的有三个.可读(r)..可写(w)..可执行(x)..它们的级别分别是4..2..1..我们有时也会发现有些文件 所属主的权限上带有一个s的标志位.目录的所属组上也带有s标志位.很多人不理解这是为什么....下面我们举例来看一下...#ls -l /usr/bin/passwd-rwsr-xr-x 1 root roo...
Linux特殊权限set_uid、set_gid、stick_bit
FUYY'S BLOG
08-30 363
set_uid:让执行文件的用户临时拥有文件所有者的权限 *必须是可执行的二进制文件才能设置set_uid,例如:passwd、ls等命令 下图可以看到passwd命令的所有者是root,但所有者权限不是rwx,而是rws,此处s就代表set_uid权限,再来看密码配置文件shadow的权限000,所以设置set_uid,普通用户在修改自己的密码时,可以临时拥有passwd文件所有者root的...
linux特殊权限问题
09-22
本文将深入探讨Linux特殊权限SUID、SGID和SBIT,以及与进程相关的ID。 首先,我们来看Linux的用户和权限。用户分为两种类型:超级用户(root)和普通用户。超级用户拥有系统的所有权限,而普通用户则受到一定...
Linux文件的特殊权限(SUID|SGID|SBIT)
qq_70756940的博客
04-17 2198
SUID是一种对二进制程序进行设置的特殊权限,能够让二进制程序的执行者临时拥有所有者的权限(仅对拥有执行权限的二进制程序有效)。
set uid ,set gid,sticky bit的三个权限的详细说明(转)
congjukun0600的博客
08-09 188
set uid ,set gid,sticky bit的三个权限的详细说明(转)[@more@]一个文件都有一个所有者, 表示该文件是谁创建的. 同时, 该文件还有一个组编号, 表示该文件所属的组, 一般为文件所有者所属的组....
深入剖析SUID和SGID权限Linux的安全要点
赚钱养家
07-10 1677
SUID和SGIDLinux操作系统的两种特殊权限,它们可以使普通用户执行某些命令时具有root用户的权限。本文将深入剖析SUID和SGID权限,包括它们的作用、如何设置和如何防止恶意使用,以及它们在Linux的安全要点。
linux特殊权限(suid、sgid、sbit)
m0_71163619的博客
06-05 2554
特殊权限suid、sgid、sbit
linuxsuid和sgid作用,LinuxSUID和SGID详解
weixin_27531501的博客
05-13 1242
如果你对SUID、SGID仍有迷惑可以好好参考一下!由 于用户在UNIX下经常会遇到SUID、SGID的概念,而且SUID和SGID涉及到系统安全,所以用户也比较关心这个问题。关于SUID、SGID的 问题也经常有人提问,但回答的人一般答得不够详细,加上曾经回答过两个网友的问题,还查了一些资料,决定整理成本文,以供大家参考。限于本人的水平问题, 文章如果有不当之处,请广大网友指正。一、UNIX下...
Linux学习---文件特殊权限(SGID)
车前猛跑
08-26 494
SetGID针对文件 1.    只有可执行文件才能设置SGID权限 2.    命令执行者要对该文件拥有x权限 3.    命令在执行时,组身份升级为该文件的所属组 4.    SetGID权限SetUID一样,只在文件(程序)执行过程有效   举例mlocate 命令 mlocate命令通过查找/var/lib/mlocate/mlocate.db文件的缓存数据来查找文件位
Linux 权限设置和 SUID, SGID 以及粘滞位
wellmikelan的专栏
08-01 7301
一. Linux 文件权限的表示方法           文件权限用 12 个二进制位表示,如果该位的值是 1,表示有相应的权限:         11 10 9 8 7 6 5 4 3 2 1 0         S G T r w x r w x r w x     第 11 位为 SUID 位,第 10 位为 SGID 位,第 9 位为 sticky 位,第 8
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值