特殊权限set_uid、set__gid、stick_bit

最新推荐文章于 2021-10-29 10:37:18 发布
最新推荐文章于 2021-10-29 10:37:18 发布
阅读量79 收藏
点赞数
文章标签: python
原文链接:https://my.oschina.net/u/3867265/blog/1825252
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

特殊权限平常用的不多,但也是需要了解的。

 

1、set_uid 权限

 

先看一下,下图例子,

150255_H9Gj_3867265.png

文件名称显示为红色,文件权限中出现了 s ,这个 s 就是 set_uid 权限,可以实现普通用户自己更改 passwd 密码。改密码的文件在 /etc/shadow 中,来看一下这个文件的权限,见下图,

150302_pa3B_3867265.png

可以看到 /etc/shadow 这个文件的权限是 000 ,非常安全的一个文件。但是 root 用户是超级用户,有着很高的权力,它就可以更改这个文件的权限。而普通用户就没有办法实现这个功能,所以才有了 set_uid 这个 s 权限。

下面来介绍 set_uid 的用法。

passwd 有 set_uid 权限,当普通用户执行这个命令的时候,就会临时拥有 root 的身份,此时就可以更改密码。给一个文件设置 set_uid 权限的前提是,这个文件是一个二进制文件并且是可执行的文件。怎么样给一个文件授权 set_uid 权限?先来看一下普通用户的权限,重新打开一个 Xshell 窗口来查看,

150308_OQLV_3867265.png

上图中,su 命令是切换当前用户的命令,下次再详细说明。先进入普通用户 lys 里面,再打开 root 目录,就会发现普通用户是没有权限进入 root 目录的。

回到原来的 Xshell 窗口,现在可以通过给 ls 命令设置 set_uid 权限,就可以使普通用户 lys 临时拥有 root 用户的权限。见下图,

150315_EmpC_3867265.png

执行完命令 chmod u+s /usr/bin/ls 之后,再用命令 ls -l /usr/bin/ls 查看,可以看到 ls 有了 set_uid 权限,而且文件 /usr/bin/ls 也变成了红色,说明 ls 命令现在拥有了 root 权限,可以更改密码了。

再到另一个 Xshell 窗口上来看一下 root 目录,

150323_13Xp_3867265.png

上图说明命令 ls 拥有了 set_uid 权限之后,可以进入 root 目录。再重新查看用户权限,发现权限没有变,还是 550 ,普通用户还是没有查看 root 的权限,说明这是 ls 命令有了 set_uid 权限的结果。

要去掉 set_uid 权限也是很简单的,输入命令 chmod u-s /usr/bin/ls 即可。

我们现在更改一下命令的写法,来讨论一下,

150333_2KIj_3867265.png

上图可以看出,第一个红色框框里面是一个大写的 S ,为什么会有大写的 S 出现呢?这是因为所有者没有 x 权限,后面给所有者加上 x 权限之后大写的 S 就变成 小写的 s 了。实际上大写的 S 和小写的 s ,是没有什么影响的。见下图,

150341_MLCK_3867265.png

150346_6Aah_3867265.png

ls 命令还是可以进入 root 目录的。

150354_QF0l_3867265.png

root 用户也是可以执行。

 

目录也是可以加上 set_uid 权限的,但是没有什么意义。

 

2、set_gid 权限

 

set_gid 权限和 set_uid 权限挺像的,只不过 set_gid 权限是作用在所属组上面的,同样也是一个小写的 s 。还是用命令 ls 来做实验,见下图,

150403_E2Gq_3867265.png

先将所有者上的 s 权限还原,输入命令 chmod u=rwx /usr/bin/ls ,回车,再在所属组上加入 s 权限,输入命令 chmod g+s /usr/bin/ls ,然后用命令 ls -l /usr/bin/ls 查看,可以发现用户权限上,所属组上有一个小 s ,而且文件的颜色变成黄色了。

set_gid 权限和 set_uid 权限作用在文件上的功能是相像的,set_uid 是作用在所有者上,临时拥有了所有者的身份。而 set_gid 是作用在所属组上,临时拥有的是所属组的身份。

来看一下,加上了 set_gid 权限,还是可以查看 root 目录的,

150410_Av7m_3867265.png

root 目录对于所属组来讲,权限是 r-x ,有读和打开的权限,所以设置 set_gid 权限的时候,是可以查看 /root/ 目录的。

 

set_gid 权限也是可以作用在目录上,见下图,

150418_oNWH_3867265.png

目录的颜色没有变化,所属组上的权限有了小 s 。现在来更改一下当前的所属组为 user1,见下图,

150425_3p44_3867265.png

可以看出,set_gid 命令作用所属组 user1 上,之后创建的子目录和子文件上所属组的用户全部是 user1 ,然后去掉所属组上的 set_gid 权限之后,再次创建的子目录和子文件上所属组的用户全部是 root 。

以上说明, root 用户创建的目录和文件,不仅所有者是 root ,所属组也是 root 。只有在所属组上增加 set_gid 权限之后,接下来创建的子目录和子文件,会跟随所属组,而不是默认 root 。

 

3、stick_bit 权限

 

系统上的目录 /tmp/ ,是有这个 stick_bit 权限的。见下图,

150439_uFC1_3867265.png

可以看到文件的颜色是绿色,其他用户的权限上有个 t ,这个 t 就是 stick_bit ,也可以叫做防删除位。

150443_7Pes_3867265.png

/tmp/ 这个目录的权限是 777 ,即所有的用户都可以对这个目录进行读取、编辑和执行。其中,其他用户权限上 t 是包含了 x 权限的。

来做一个实验,见下图,

150450_sSy1_3867265.png

在 lys 用户下,进入目录 /tmp/ ,再创建一个文件 lys ,可以看到 lys 所有者和所属组都是 lys 用户。接着输入命令 vi lys ,来随便写一些文件内容,见下图,

150459_h73J_3867265.png

保存退出后,再更改一下 lys 目录的权限,见下图,

150504_YJEA_3867265.png

再回到原来的 Xshell 窗口,切换当前的用户为 user1 ,

150511_IhOI_3867265.png

再看一下,是否可以更改 lys 这个文件,

150521_el7m_3867265.png

保存退出后,发现可以更改。再看看能不能删除?

150526_41Pm_3867265.png

不能删除,所以 t 这个权限位置叫防删除位,只有有权限的用户才能删除,比如 root 用户。

总结一下,stick_bit 这个权限的命令就是防止别人删除自己的文件,root 用户除外。

 

还有一个知识点,见下图,

150537_N3tl_3867265.png

150541_EpBH_3867265.png

创建一个新的目录 user1 ,然后设置用户权限为 777 。进入另一个 Xshell 窗口,查看一下,

150545_oXpO_3867265.png

进入目录 user1 ,新建一个文件 1.txt ,再新建一个目录 234 ,发现都可以执行,且所有者和所属组都是 lys 用户。再回到原来的 Xshell 窗口,见下图,

150550_4FJv_3867265.png

进入目录 user1 ,查看该目录下有一个子目录 234 和一个子文件 1.txt ,再查看一下这两者的用户权限,然后执行删除命令,发现都可以被删除。这时候就会有疑问了,普通用户对 234 和 1.txt 根本就没有 w 权限,为什么可以删除这两者?

这是因为,关键在于我们删除的这个文件所在的目录有没有 w 权限,而不是看删除的文件本身有没有 w 权限。这两者所在的目录是 user1 ,而 user1 目录刚才设置的权限是 777 ,即任何用户都有可读、可写和可执行命令。但是,我们如果在这边加上 stick_bit 权限,防删除位,就不可以删除了。

 

这三个权限都不太容易理解,好在我们在工作中几乎用不到,做个了解就可以了。

转载于:https://my.oschina.net/u/3867265/blog/1825252

weixin_33923148
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux进程--setuid/setgid
RT的博客
03-31 1171
文件setuid/setgid linux文件的权限标志除了大家熟知的读(r)、写(w)、执行(x)外,还有三个比较特殊权限位: setuid/setgid/sticky bit setuid只作用于二进制可执行文件(不包含shell/python/perl等脚本),它允许当前用户以文件所有者的权限运行文件。 如系统的passwd命令 ls -l /usr/bin/passwd -rwsr-xr-x 1 root root 54256 Mar 27 2019 /usr/bin/passwd 这个文
php中安全模式safe_mode配置教程
09-30
设置为`off`可避免文件访问权限问题,特别是在需要执行文件操作时。 3. **安全模式下执行程序的主目录**:使用`safe_mode_exec_dir`设定可执行程序的路径,例如`safe_mode_exec_dir = D:/usr/bin`。不过,出于安全...
特殊权限set_uid特殊权限set_gid特殊权限stick_bit、软链接文件、硬连接文件...
weixin_34384915的博客
10-27 153
2019独角兽企业重金招聘Python工程师标准>>> ...
Set-UID
qq_45631882的博客
10-29 517
1. Task 1 先使用 env 查看环境变量如下图所示 再使用 export MY123=456 设置环境变量MY123为456,如下 此时查看环境变量,可以找到名为MY123的环境变量 再运行unset MY123进行清除 此时查看环境变量,已经找不到了名为 MY123 的环境变量 原因分析: export 和 unset 都是shell自身的命令,操作的是...
特殊权限set_uidset_gidstick_bit 、软链接文件 、硬连接文件
wangshuang_2013的博客
06-10 169
2.18 特殊权限set_uidset_uid 作用:普通用户临时拥有该命令所有者的身份 给一个文件设置set_uid权限,前提是该文件是二进制文件,可执行文件给目录加此权限无意义。/usr/bin/passwd  文件有set_uid权限 [root@wangshuang-01 ~]# ls -l /usr/bin/passwd -rwsr-xr-x. 1 root root 27832 6月 ...
GID.zip_GID_GID画网格_MFC GID绘图_site:www.pudn.com
09-24
标题中的"GID.zip_GID_GID画网格_MFC_GID绘图"暗示了这是一个关于使用GID(可能是指Grid Interface或Generic ID)在MFC(Microsoft Foundation Classes)环境中进行图形绘制的教程或代码示例。MFC是微软提供的C++库...
linux-kernel.zip_linux 框架
09-22
9. **安全性与权限管理**:Linux内核使用权限模型来保护系统资源,包括用户ID(UID)、组ID(GID)、文件权限等。此外,还有SELinux这样的强制访问控制机制来增强安全。 通过"linux-kernel.png"这张图,我们可以...
UGQM.rar_GID
09-23
UGQM.rar_GID 是一个与有限元分析相关的压缩包,主要包含了一个名为 Qpreprocess.c 的源代码文件。这个文件是为 GiD 设计的前处理程序,GiD 是一款广泛应用的三维几何建模和有限元求解的前/后处理软件。在本文中,...
GDI.rar_GID
09-24
这个名为“GDI.rar_GID”的压缩包文件包含了关于GID(可能是GDI+的一个特定应用或扩展)以及如何在Visual C++ 6.0环境中使用GDI+的详细教程。 在Windows编程中,GDI+提供了一套丰富的API,使得开发者能够创建出具有...
Linux下Setuid命令!
热门推荐
全世界的屋顶
12-16 2万+
在Linux系统中每个普通用户都可以更改自己的密码,这是合理的设置。 问题是:用户的信息保存在文件/etc/passwd中,用户的密码保存在文件/etc/shadow中,也就是说用户更改自己密码时是修改了/etc/shadow文件中的加密密码,但是, -rw-r--r-- 1 root root 1787 Oct 27  2009 /etc/passwd -r-------- 1 root
linux附加权限特殊权限SET UID /GID/BIT详解
刘大可1017的博客
09-10 2767
一:Set UID 1:设置对象:可执行文件. 设置完成后,此文件的使用者在使用此文件的过程中会临时获得该文件的所有者的身份及部分权限. 2:设置位置:Set UID附加在文件所有者的x权限位上 3:设置后的变化:此文件的所有者的x权限位上会变为s. 4:命令: chmod u+s 可执行文件 ...
setuid()与setgid() -- 设置 UIDGID
宝剑锋从磨砺出,梅花香自苦寒来!
10-22 2164
setuid() 设置实际用户 UID 和有效用户 UID。 用 setgid() 设置实际组 ID 和有效组 ID。 两个函数声明如下: -- 设置 UID 和 GID" height="85" alt="setuid()与setgid() -- 设置 UID 和 GID" src="http://s6.sinaimg.cn/middle/70137129gadefa656c325&6
linux特殊权限set_uidset_gidstick_bit
哞哞牛的博客
02-05 804
可以看到某些文件的权限是rws  这里的s就是set_uid权限体现。 set_uid权限意思是,让普通用户临时拥有该命令所有者的身份,前提这个文件是二进制文件且是可执行文件。 如何授权set_uid权限 chmod u+s 【可执行的二进制文件】 以上试验可以看到ls加了set_uid权限以后,普通用户可以查看root下的文件 当可执行的二进制文件没
Set-Uid特权程序
qq_43674956的博客
01-12 1081
特权程序存在的必要性 很多特殊的敏感操作需要特权,但是操作系统往往不能提供足够的颗粒度,大部分时候操作系统只能达到文件层次的颗粒度 而不能精准到文件中某段记录的修改权限。所以特权程序就因此诞生 特权程序的类型 守护进程和set-UID程序 守护进程是以特权用户的身份如root运行的进程,当用户需要做一些特殊操作的时候可以请求他的帮助,在Windows中叫做服务而不是守护进程 set-uid 他通过一个比特位的标记告诉操作系统自己是特权程序 set-Uid机制 在Unix操作系统中,一个进程有三个用户ID:真
Set-UID机制
、moddemod
02-06 1796
Set-UID Set-UID是Unix系统中一个重要的安全机制。当一个Set-UID程序运行的时候,它被假设为具有拥有者的权限。例如,如果程序的拥有者是root,那么任何人运行这个程序时都会获得程序拥有者的权限。 从上面可以看出,将passwd拷贝后,权限发生变化,在原来目录下suid位被设置,复件没有了修改密码的权限。 对于su sudo命令也同样不再具有root权限。 可以看出/bin...
【Linux文件权限管理】关于SetUID、SetGID的说明
阿强的一亩三分地,一分耕耘一分收获
05-17 2326
1、什么是SetUID 我们知道,在linux的命令行下执行“ps”命令时,就会列出当前系统中的所有进程,在其中可以看到每个进程都和用户的真实id关联,实际上,Linux中的每个进程还跟一个称为有效用户id(set User id)紧密关联。前者用于表示该进程由那个用户控制,后者用于为新建立的文件分配所有权,检查文件访问许可等操作,同时有效用户为该文件的所有者。linux系统内核允许一个进程以调
Linux基础——所属主特殊权限set_uid ==suid
热心市民王先生
03-03 373
所属主特殊权限set_uid ==suid
软件安全(一)Set-UID特权程序
qq_44109982的博客
12-15 1136
一.特权程序存在的必要性 1.1密码困境 shadow文件存放用户密码,如果给普通用户修改密码的权限,那么某用户就可以修改其他用户的密码了,但是不给权限的话,普通用户连自己的密码都没法修改 为了解决这种困境,大多数计算机中采取特权程序的方式,例如,unix通过实现一个扩展程序(passwd),使用特权程序帮助用户修改影子文件。 特权程序实际上是操作系统保护壳上的窗口,避免因为一刀切造成的功能的局限。 这些程序具有普通用户所不具有的额外特权,被叫做特权程序,有两种常见的存在方式:守护进程和set-uid
AttributeError: 'Figure' object has no attribute 'set_size'. Did you mean: 'set_gid'?
最新发布
05-23
这个错误通常是因为在代码中尝试使用 `set_size` 方法来设置图形大小,但是这个方法在 `Figure` 对象中不存在。可能的原因是你使用了过时的 Matplotlib 版本或者这个方法在当前版本中已被移除。 如果你想设置图形的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值