文件特殊权限SetUID、SetGID、Stick BIT

最新推荐文章于 2022-03-29 20:23:05 发布
最新推荐文章于 2022-03-29 20:23:05 发布
阅读量605 收藏 2
点赞数
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40995778/article/details/115223306
版权

一、SetUID

1.SetUID是什么

SetUID功能可以这样理解:

  • 只有可以执行的二进制程序才能设定SUID权限
  • 命令执行者要对该程序拥有x权限
  • 命令执行者在执行该程序时获得该程序文件属主的身份(在执行程序的过程中灵魂附体为文件的属主)
  • SetUID权限只在该程序执行过程中有效,也就是说身份改变只在程序执行过程中有效

2.举例

在这里插入图片描述

因为
在这里插入图片描述

/user/bin/passwd命令拥有特殊权限SetUID,也就是在属主的权限位的执行权限上是s。可以这样来理解:当一个具有执行权限的文件设置SetUID权限后,用户执行这个文件时将以文件所有者的身份执行。/user/bin/passwd命令件拥有SetUID权限,所有者为root(Linux中命令默认所有者都是root),也就是说当普通用户使用passwd更改自己密码时,那一瞬间突然灵魂附体,实际是在用passwd命令所有者root的身份在执行passwd命令,root当然可以将密码写入/etc/shadow文件(root什么事都可以干),所以普通用户可以修改/etc/shadow文件,命令执行完成后该身份也随之消失
在这里插入图片描述
如果取消SetUID权限,则普通用户就不能修改自己密码了

3.危险的SetUID

在这里插入图片描述

如果vim加上SetUID权限后,普通用户就可以通过vim命令文件打开任何文件,及其危险

4.建议

  • 关键目录应严格控制写权限。比如“/”、“usr”等
  • 用户的密码设置要严格遵守密码三原则
  • 对系统中默认应该具有SetUID权限的文件作一列表,定时检查有没有这之外文件被设置了SetUID权限

5.检测SetUID的脚本

在这里插入图片描述
在这里插入图片描述

二、SetGID

1.针对文件的作用

SGID既可以针对文件生效,也可以针对目录生效,这和SUID明显不同。如果针对文件,SGID的含义如下:

  • 只有可执行的二进制程序才能设置SGID权限
  • 命令执行者要对该程序拥有x权限
  • 命令执行在执行程序时,组身份升级为该程序文件的属组
  • SetGID权限同样只在程序执行过程中有效,也就是说组身份改变只在程序执行过程中有效

在这里插入图片描述
可见,属主权限是r、w,属组权限是r,其他人权限是0
在这里插入图片描述
当普通用户执行locate命令时,会发生如下事情:

  • /usr/bin/locate是可执行二进制程序,可以赋予SGID
  • 普通执行用户对/usr/bin/locate命令拥有执行权限
  • 执行/usr/bin/locate命令时,组身份会升级为slocate组,而slocate组对/var/lib/mlocate/mlocate.db数据库拥有r权限,所以普通用户可以使用locate命令查询mlocate.db数据库
  • 命令结束,普通用户的组身份返回为自己的组身份

2.针对目录的作用

如果SGID针对目录设置,含义如下:

  • 普通用户必须对此目录拥有r和x权限,才能进入此目录
  • 普通用户在此目录中的有效组会变成此目录的属组
  • 若普通用户对此目录拥有w权限时,新建的文件默认属组是这个目录的属组

在这里插入图片描述

在这里插入图片描述
test目录权限更改为777,标绿色是存在风险的,这时普通用户也可以进入test目录,也可以创建文件,所有者与所属组都是mcc
在这里插入图片描述

如果用root用户给test目录所属组加入SGID权限
在这里插入图片描述
这时普通用户mcc在test目录中创建新文件,bcd的所属组不再是mcc,而是test目录本身的所属组
在这里插入图片描述

三、Sticky BIT

Sticky BIT粘着位,简称为SBIT。SBIT目前仅针对目录有效,它的作用如下:

  • 粘着位目前只对目录有效
  • 普通用户对该目录拥有w和x权限,即普通用户可以在此目录拥有写入权限
  • 如果没有粘着位,因为普通用户拥有w权限,所以可以删除此目录下所有文件,包括其他用户建立的文件。一旦赋予了粘着位,除了root可以删除所有文件,普通用户就算拥有w权限,也只能删除自己建立的文件,但是不能删除其他用户建立的文件

四、设定文件特殊权限

  • 4代表SUID
  • 2代表SGID
  • 1代表SGIT
chmod 4755 ftest #赋予SUID权限
chmod 2755 ftest #赋予SGID权限
mkdir dtest #创建目录
chmod 1755 dtest/ #赋予SGIT权限

五、文件系统属性chattr权限

1.命令格式

chattr [+-=] [选项] 文件或目录名
选项:
	+:增加权限
	-:删除权限
	=:等于某权限
	i:如果对文件设置i属性,那么不允许对文件进行删除、改名,也不能添加和修改数据;如果对目录设置i属性,那么只能修改目录下文件的数据,但不允许建立和删除文件
	a:如果对文件设置a属性,那么只能在文件中增加数据,但是不能删除、修改数据;如果对目录设置a属性,那么只允许在目录中建立和修改文件,但是不允许删除
	e:Linux中绝大多数的文件都默认拥有e属性,表示该文件是使用ext文件系统进行存储的,而且不能使用“chattr -e”命令取消e属性

2.查看文件系统属性lsattr

lsattr 选项 文件名
选项:
	-a:显示所有文件和目录
	-d:若目标是目录,仅列出目标本身的属性,而不是子文件的
迷路的小绅士
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
权限管理-文件特殊权限SetGID
10-17
首先,让我们明确文件权限的基本概念。每个文件或目录都有三个权限集,分别对应所有者、所属组和其他用户。每个权限集由三个位组成,分别代表读(r)、写(w)和执行(x)权限。当这些位前的符号为"-"时,表示没有该...
day13-文件特殊权限.pdf
04-28
这些特殊权限包括setuid、setgid和粘滞位(sticky),它们都是12位权限模式的一部分,除了常见的读(r)、写(w)和执行(x)这三种基本权限。 **一、特殊权限概述** 1. **setuid位(八进制表示为4000)**:setuid...
set UID,set GID,sticky命令用法理解
junjun1314520520的博客
03-23 513
根据自我学习的过程中对set uid, set gid, sticky三个特殊权限的设置的理解。
Linux中特殊权限setuid setgid stick bit详解
Jian Sun_的博客
09-21 400
linux中除了常见的读(r)、写(w)、执行(x)权限以外,还有3个特殊权限,分别是setuid、setgidstick bit 1、setuid、setgid 先看个实例,查看你的/usr/bin/passwd 与/etc/passwd文件权限 。 [root@MyLinux ~]# ls -l /usr/bin/passwd /etc/passwd -rw-r--r-- 1 ...
Linux特殊权限 setuid setgid stick bit
michael_linux的博客,一个小小小学生。滴水穿石,步步为营,只为那刹那芳华。
01-03 199
一个文件权限有十个位,分为三组来表示。 第一个位为一组,表示文件的类型: -:表示一般文件 d:表示目录文件 l:表示链接文件 b:表示块设备 c:表示字符设备 p:表示管道 s:表示套接字 第二位 到 第十位 表示权限u,g,o的rwx权限; 但还有三个比较特殊权限,分别是:setuid,setgidstick bit (粘滞位)。 1、setuid 和setgid: 2、stick ...
Linux三个特殊权限 setuid setgid stick bit
dongyanxia1000的专栏
11-16 1124
1)  SMART: 自我检测分析和报告技术(Self-Monitoring Analysis and Reporting Technology)成为一种自动监控硬盘驱动器 完好状况和报告潜在问题的技术标准。 Volatile memory = Volatile Storage 易失性存储器/非永久性存储器 Volatile memory loses data when power i
linux特殊文件权限,Linux三个特殊权限 setuid setgid stick bit
weixin_42561040的博客
04-28 365
文件权限的机制是Linux系统的一大特色,对于初学Linux的人对可读(r)、可写(w)、可执行(x)这都是比较基本的权限。一个文件权限有十个位,分为三组来表示。第一个位为一组,表示文件的类型:-:表示一般文件d:表示目录文件l:表示链接文件b:表示块设备c:表示字符设备p:表示管道s:表示套接字但是Linux还有三个比较特殊权限,分别是:setuid,setgidstick bit (粘滞...
[linux]文件特殊权限 SetUid SetGid StickBit
WWShaw的博客
06-01 542
文件权限的机制是Linux系统的一大特色,对于初学Linux的人对可读(r)、可写(w)、可执行(x)这都是比较基本的权限。一个文件权限有十个位,分为三组来表示。第一个位为一组,表示文件的类型: -:表示一般文件 d:表示目录文件 l:表示链接文件 b:表示块设备 c:表示字符设备 p:表示管道 s:表示套接字 但是Linux还有三个比较特殊权限,分别是:setuid,setg
setuid setgid stick bit 特殊权限 粘滞位
02-28 79
1、setuid与setgid讲解 看一下系统中用到它的地方,以/etc/passwd和/usr/bin/passwd为例: 分析一下,/etc/passwd的权限为 -rw-r--r-- 也就是说:该文件的所有者拥有读写的权限,而用户组成员和其它成员只有查看的权限。我们知道,在系统中我们要修改一个用户的密码,root用户和普通用户均可以用/usr/bin/passwd s...
linux权限管理三——文件特殊权限SetUID、SetGidStick Bit
一别两宽丶各生欢喜
07-06 596
01. setuid和setgid 001. 设置uid和gid权限的条件 02. 设置uid和gid权限的用途 [root@0vo /]# ll /usr/bin/passwd /usr/bin/cat -rwxr-xr-x. 1 root root 54080 11月 6 2016 /usr/bin/cat -rwsr-xr-x. 1 root root ...
setuid、setgidstick bit简要介绍
sk983671939的博客
03-28 486
      linux系统的文件权限机制,是该系统中的一大特色,除了我们大家常用的读(r)、写(w)、执行(x)权限外,还有三个比较特殊权限,分别是:setuid、setgidstick bit(粘滞位)。1、setuid与setgid介绍以系统中用到的地方举例来看:/etc/passwd/和/usr/bin/passwd为例:[root@Salve1 school]# ll /etc/pas...
linux三个特殊权限setuid、setgidstick bit.docx
09-26
Linux 三个特殊权限 setuid、setgidstick bit Linux 系统中除了我们熟知的读(r)、写(w)、执行(x)权限外,还有三个比较特殊权限,分别为:setuid、setgidstick bit(粘滞位)。这三个特殊权限在 Linux ...
linux系统权限管理文件特殊权限PPT学习教案.pptx
10-01
文件特殊权限是指在 Linux 系统中,文件拥有的一些特殊权限,包括 SetUID、SetGIDSticky Bit 等。这些权限可以影响文件的访问控制和执行结果。 SetUID 权限 SetUID(Set User ID)权限是一种特殊权限,允许...
详解Linux系统中特殊文件权限
01-09
深深的感受到权限控制的困难,文件权限的机制是Linux系统中的一大特色,除了我们现在所熟知的读(r)、写(w)、执行(x)权限外,还有三个比较特殊权限,分别为:setuid、setgidstick bit(粘滞位)。...
vi和vim编辑器
迷路的小绅士之家
03-15 8777
一、vi编辑器简介 vim是一个全屏幕纯文本编辑器,是vi编辑器的增强版,我们主要讲解的是vim编辑器。可以利用别名让输入vi命令的时候,实际上执行vim编辑器,例如: alias vi = 'vim' 这样定义的别名是临时生效,如果需要永久生效,请放入环境变量配置文件(~/.bashrc) 二、vim基本使用 1.vim工作在三种模式之下 命令模式:是主要使用快捷键的模式,是我们后面学习的重点。命令模式想要进入输入模式,可以使用以下的方式: 命令 作用 a 在光标所在字符后插入
网络连接的三种模式
迷路的小绅士之家
03-14 5479
文章目录前言一、图解网络连接的三种模式二、文字说明网络连接的三种模式总结 前言 我们在使用VMware来配置虚拟机时发现存在三种网络连接模式,桥接模式、NAT模式和仅主机模式,接下来我们就来分析下为什么选择NAT模式。 一、图解网络连接的三种模式 主机A、B、C在同一个网段,所以他们之间可以相互通讯 主机A的虚拟机是桥接模式,所以虚拟机与主机处于同一网段,故主机A与主机B可以相互通讯 如果同一网络环境下存在超过255个主机并创建的虚拟机都是桥接模式,那么会造成IP冲突 C主机的虚拟机是NAT模式,C
VMware中的虚拟机克隆
迷路的小绅士之家
03-29 4180
Linux从入门到精通 第一章 macOS Linux_CentOS7.6安装 文章目录Linux从入门到精通前言一、方式一:拷贝一份成功安装后的虚拟机文件二、方式二:使用VMware自带的克隆功能总结 前言 当成功的安装了一个Linux操作系统,如果想到更多的Linux操作系统或Linux操作系统集群,那么就可以采用克隆的方式,而非重装。 一、方式一:拷贝一份成功安装后的虚拟机文件 打开VMware,找到Linux系统的安装路径 将该文件夹拷贝到任意磁盘,然后用VMware打开(Ctrl+O),
挂载命令
迷路的小绅士之家
03-12 3973
1.mount命令基本格式 linux所有存储设备都必须挂载使用,包括硬盘 命令名称:mount 命令所在路径:/bin/mount 执行权限:所有用户 2.光盘挂载 光盘挂载的前提依然是指定光盘的设备文件名,不同版本的Linux,设备文件名并不相同: CentOS5.x以前的系统,光盘设备文件名是/dev/hdc CentOS 6.x以后的系统,光盘设备文件名是/dev/sr0 不论哪个系统都有软连接/dev/cdrom,与可以作为光盘的设备文件名 mount -t iso9660 /dev/
setuid setgid
最新发布
05-28
setuid和setgid都是一些UNIX系统提供的系统调用函数,用于设置进程或者文件的用户ID或者组ID。下面分别给你介绍一下setuid和setgid的用途: 1. setuid setuid用于设置进程的用户ID,即进程从当前用户切换到另一个用户。通常情况下,只有root用户才有权限使用setuid函数,因为它可以让其他用户拥有root权限,如果滥用setuid,就会对系统的安全性造成威胁。 2. setgid setgid用于设置进程的组ID,即进程从当前组切换到另一个组。与setuid类似,只有root用户才有权限使用setgid函数,因为它可以让其他用户拥有root权限,如果滥用setgid,也会对系统的安全性造成威胁。 总之,setuid和setgid是UNIX系统提供的一些非常重要的系统调用函数,需要谨慎使用。在实际开发中,我们可以根据具体的需求来选择是否使用这两个函数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值