第1关:Linux文件/目录setuid和setgid
任务描述
假设由用户A
创建了一个可执行文件testA
,此时想让用户B
以A
的身份去执行testA
文件该如何实现,通过本关的学习,我们将学会解决以上问题。
本关任务:设置文件/目录的特殊权限setuid
和setgid
。
相关知识
Linux
中文件/目录除了有可读、可写和可执行这三种权限外,还存在比较特殊的权限,这些特殊权限就包括setuid
和setgid
这两种。
setuid
和setgid
位是让普通用户可以以root
用户的角色运行只有root
帐号才能运行的程序或命令。例如我们用普通用户运行passwd
命令来更改自己的口令,实际上最终更改的是/etc/passwd
文件,我们知道/etc/passwd
文件是用户管理的 配置文件,只有root
权限的用户才能更改,正是因为passwd
命令被设置了setuid
权限才能使得普通用户也可以修改其配置文件的内容。
Linux
文件/目录权限是使用常见的八进制权限掩码来表示的,通常都是用三位数表示,但确切地说,它是用四位数表示的,因为除了读、写和执行权限以外还有特殊的权限。
-
setuid
的八进制表示为4000
-
setgid
的八进制表示为2000
同样setuid
和setgid
也可以使用字母s
表示。
如果文件/目录的拥有者的可执行位是s
,则表示该文件/目录被设置了setuid
权限。同样,如果同组用户的可执行为是s
,则表示该文件/目录被设置了setgid
权限。
接下让我们详细的学习setuid
和setgid
的使用方法。
setuid
setuid
的作用是让执行该命令的用户以该命令拥有者的权限去执行。
例如:普通用户执行passwd
时会拥有root
的权限,这样就可以修改/etc/passwd
这个文件,正是因为passwd
命令被设置了setuid
权限,passwd
命令的详细权限如下所示:
可以看到passwd
命令的拥有者的可执行位是s
,则说明passwd
命令被设置了setuid
权限。
设置setuid
命令有两种方法,一种是数字设置,另一种是通过助记语法。(建议使用助记语法设置)
- 数字设置命令:
chmod 4xxx 文件/目录
其中xxx
表示文件/目录的所有者、同组用户和其他用户的权限(读写执行)。
- 助记语法设置命令:
chmod u [+|-] s 文件/目录
+ 添加setuid权限;
- 取消setuid权限;
注意:chmod
命令的其他参数都可以与setuid
权限设置结合使用。 在设置setuid
前必须保证文件/目录的所有者具有可执行权限,否则设置则无效。
执行权限:chmod
必须以root
权限才能执行,如果是普通用户想执行chmod
时,需要在命令前加sudo
命令来提升权限为root
权限。
案例演示1
:
创建一个新文件testFile
,使用数字设置方法为文件testFile
添加setuid
权限,具体使用如下命令:
touch testFile
ls -l testFile
sudo chmod 4764 testFile
ls -l testFile
第一条命令是创建新文件testFile
; 第二条命令是查看testFile
现有的权限; 第三条命令是在保证testFile
原有权限的情况下为其添加setuid
权限; 第四条命令是查看是否添加成功;
案例演示2
:
创建一个新目录testDir
,使用助记语法设置方法为目录testDir
添加setuid
权限,具体使用如下命令:
mkdir testDir
sudo chmod u+s testDir
ls -l .
案例演示3
:
创建一个新文件testFile
,使用助记语法为文件testFile
添加setuid
权限,具体使用如下命令:
touch testFile
sudo chmod u+x,u+s testFile
ls -l testFile
第一条命令是创建新文件testFile
; 第二条命令是在设置testFile
为可执行权限并为其添加setuid
权限; 第三条命令是查看是否添加成功;
如果不给文件testFile
设置可执行权限直接设置setuid
权限后,标记为是S
而不是s
,详细结果如下图所示:
setgid
setgid
的作用是让执行该命令的用户以该命令所有者的同组用户的权限去执行。
设置setgid
命令有两种方法,一种是数字设置,另一种是通过助记语法。建议使用助记语法设置setgid
权限。
数字设置命令:
chmod 2xxx 文件/目录
其中xxx
表示文件/目录的所有者、同组用户和其他用户的权限(读写执行)。
助记语法设置命令:
chmod g [+|-] s 文件/目录
+ 添加setgid权限;
- 取消setgid权限;
注意:chmod
命令的其他参数都可以与setgid
权限设置结合使用。 在设置setgid
前必须保证文件/目录的同组用户具有可执行权限,否则设置则无效。
执行权限:chmod
必须以root
权限才能执行,如果是普通用户想执行chmod
时,需要在命令前加sudo
命令来提升权限为root
权限。
案例演示1
:
创建一个新文件testFile
,使用数字设置方法为文件testFile
添加setgid
权限,具体使用如下命令:
touch testFile
ls -l testFile
sudo chmod 2674 testFile
ls -l testFile
第一条命令是创建新文件testFile
; 第二条命令是查看testFile
现有的权限; 第三条命令是在保证testFile
原有权限的情况下为其添加setgid
权限; 第四条命令是查看是否添加成功;
案例演示2
:
创建一个新目录testDir
,使用助记语法设置方法为目录testDir
添加setgid
权限,具体使用如下命令:
mkdir testDir
sudo chmod g+s testDir
ls -l .
编程要求
在右侧编辑器中补充代码,具体编程要求如下:
-
使用助记语法为系统已存在文件
oldFile1
(默认权限为:rw_rw_r__
)设置setuid
权限; -
使用助记语法为系统已存在目录
oldDir1
(默认权限为:rwxrwxrwx
)设置setgid
权限; -
使用助记语法为系统已存在文件
oldFile2
取消setuid
权限; -
使用助记语法为系统已存在目录
oldDir2
取消setgid
权限。
测试说明
平台会对你编写的代码进行评测:
预期输出:
设置oldFile1文件权限成功
#!/bin/bash #在以下部分写出完成任务的命令 #***********begin*************# chmod u+x,u+s oldFile1 chmod g+s oldDir1 chmod u-s oldFile2 chmod g-s oldDir2 #************end**************#
设置oldDir1目录权限成功
设置oldFile2文件权限成功
设置oldDir2目录权限成功
当一个人用工作去迎接光明,光明很快就会来照耀着他。——冯学峰
开始你的任务吧,祝你成功!
#!/bin/bash
#在以下部分写出完成任务的命令
#***********begin*************#
chmod u+x,u+s oldFile1
chmod g+s oldDir1
chmod u-s oldFile2
chmod g-s oldDir2
#************end**************#
第2关:Linux目录stick bit
#!/bin/bash
#在以下部分写出完成任务的命令
#***********begin*************#
chmod o+t oldDir1
chmod o-t oldDir2
#************end**************#
第3关:Linux文件/目录特殊属性
#!/bin/bash
#在以下部分写出完成任务的命令
#***********begin*************#
chattr +i /root/oldFile1
lsattr /root/oldFile2
chattr -i /root/oldFile3
#************end**************#