setuid和setgid 位

5、setuid和setgid 位;

本部份内容做为了解,看看就行了;


5.1 setuid和setgid的解说 ;

setuid 和setgid位是让普通用户可以以root用户的角色运行只有root帐号才能运行的程序或命令。比如我们用普通用户运行passwd命令来更改自己的口令,实际上最终更改的是/etc/passwd文件。我们知道/etc/passwd文件是用户管理的配置文件,只有root权限的用户才能更改。

 

[root@localhost ~]# ls -l /etc/passwd
-rw-r--r-- 1 root root 2379 04-21 13:18 /etc/passwd

作为普通用户如果修改自己的口令通过修改/etc/passwd肯定是不可完成的任务,但是不是可以通过一个命令来修改呢。答案是肯定的,作为普通用户可以通过passwd 来修改自己的口令。这归功于passwd命令的权限。我们来看一下;

 

[root@localhost ~]# ls -l /usr/bin/passwd
-r-s--x--x 1 root root 21944 02-12 16:15 /usr/bin/passwd

因为/usr/bin/passwd 文件已经设置了setuid 权限位(也就是r-s--x--x中的s),所以普通用户能临时变成root,间接的修改/etc/passwd,以达到修改自己口令的权限。

我们在《Linux 系统中的超级权限的控制》中有提到过。我们知道Linux的用户管理是极为严格的,不同的用户拥有不同的权限,为了完成只有root用户才能完成的工作,我们必须为普通用户提升权限,最常用的方法就是su或sudo。虽然setuid 和setgid也是让普通用户超越自身拥有的普通权限达到root权限的方法,但我不推荐大家使用,因为它能为系统带来安全隐患!!

注意:setuid和setgid会面临风险,所以尽可能的少用,了解了解既可~~~


5.2 setuid和setgid的实例应用;

我们想让一个普通用户beinan拥有root用户拥有超级rm删除权限,我们除了用su或sudo 临时切换到 root身份操作以外,还能怎么做呢???

 

[root@localhost ~]#cd /home  注:进入/home目录 
[root@localhost home]# touch beinantest.txt  注:创建一个测试文件;

[root@localhost home]# ls -l beinantest.txt  注:查看文件属性;
-rw-r--r-- 1 root root 0 04-24 18:03 beinantest.txt  注:文件的属性;

[root@localhost home]# su beinan  注:切换到普通用户 beinan 
[beinan@localhost home]$ rm -rf beinantest.txt  注:以普通用户身份来删除beinantest.txt文件; 

rm: 无法删除 “beinantest.txt”: 权限不够

那我们怎么才能让beinan 这个普通用户也拥有root超级的rm 删除功力呢?

 

[root@localhost ~]# ls -l /bin/rm 
-rwxr-xr-x 1 root root 93876 02-11 14:43 /bin/rm 

[root@localhost ~]# chmod 4755 /bin/rm  注:设置rm的权限为4755 , 就把setuid 位设置好了。
[root@localhost ~]# ls -l /bin/rm
-rwsr-xr-x 1 root root 43980 02-11 14:43 /bin/rm

[root@localhost ~]# cd /home/
[root@localhost home]# su beinan  注:切换到beinan用户身份;
[root@localhost home]$ ls -l beinantest.txt  注:查看文件属性;
-rw-r--r-- 1 root root 0 04-24 18:03 beinantest.txt  注:文件的属性;

[beinan@localhost home]$ rm -rf beinantest.txt 注:删除beinantest.txt文件;

我们只是设置了rm的setuid位,让普通用户在rm指令上有超级root的删除超级权力。

通过这个例子,我们应该能明白setuid和setgid位的应用了,如同前面所说,让普通用户超越本身的能力,让普通用户能执行只有root才能执行的命令。在这一点,我们要和su和sudo 区分开来。请参见su和sudo的文档:《Linux 系统中的超级权限的控制》


5.3 setuid和setgid的设置方法;


第一种方法:八进制方法:

setuid位是的设置用八进制的4000,setgid占用的是八进制的2000 ;比如我们前面所说的 chmod 4755 /bin/rm 就是设置的setuid位;

至于setuid的设置方法,只是在我们通过chmod设置文件或目录权限位的八进制方法的前面多加一个数字,也就是4。比如:

 

[root@localhost ~]# chmod 4755 /bin/rm  注:设置rm的权限为4755 , 就把setuid 位设置好了。


作为setgid 位占用的是八进制的2000位,我们下面举个例子;

 

[root@localhost ~]# cd /home/
[root@localhost home]# mkdir slackdir

[root@localhost home]# ls -ld slackdir/
drwxr-xr-x 2 root root 4096 04-24 18:25 slackdir/

[root@localhost home]# chmod 2755 slackdir/

[root@localhost home]# ls -ld slackdir/
drwxr-sr-x 2 root root 4096 04-24 18:25 slackdir/

我们看到 slackdir这个目录,经过改变权限后的,目录所归属用户组的那三个权限位是 r-s。 如果我们见到的是小写的s,表明文件所归属的用户组位有执行权限x。因为我们用了2755 ,意思是说文件属主拥有可读可写可执行权限,所归属的用户组拥有可读可执行权限,并且设置了setuid,所以这时本来文件所归属的用户组拥有r-x,现在加了setgid位,就把其中的x换成了s。如果文件所归属的用户组没有执行权限,这个权限应该是S。同理setuid位的中的大写的S和小写的s,也是这个原理。见下面的例子;

 

[root@localhost home]# chmod 2740  slackdir/
[root@localhost home]# ls -ld slackdir/
drwxr-S--- 2 root root 4096 04-24 18:25 slackdir/

这个例子是因为目录slackdir所归属的组没有执行权限,这时本来在执行权限位上显示-,由于有了setuid,所以显示为S。

如果我们为一个文件的权限拥有 属主可读可写可执行、所归的组拥有可读可执行,其它用户可读可执行,并且同时设置setuid和setgid位,我们应该怎么运行命令呢?

 

[root@localhost ~]# touch gooddoc.txt

[root@localhost ~]# ls -l gooddoc.txt
-rw-r--r-- 1 root root 0 04-24 18:47 gooddoc.txt

[root@localhost ~]# chmod 6755 gooddoc.txt

[root@localhost ~]# ls -l gooddoc.txt
-rwsr-sr-x 1 root root 0 04-24 18:47 gooddoc.txt

所以,同时设置setuid和setgid,就是把setuid和setgid两个八进位的值相加 (4000+2000=6000),然后加上文件或目录的权限位的三位数值(上面的例子是755),然后通过chmod 运行就行了。所以上面例子中用了6755 。


第二种方法:通过助记语法;

还是延用chmod的助记语法,通过u+s 或u-s 来增减setuid位,同理,我们可以通过g+s 或g-s 来setgid位;

 

[root@localhost ~]# touch  mydoc.txt  注:创建一个文件;

[root@localhost ~]# ls -l mydoc.txt
-rw-r--r-- 1 root root 0 04-24 19:00 mydoc.txt

[root@localhost ~]# chmod u+s mydoc.txt

[root@localhost ~]# ls -l mydoc.txt
-rwSr--r-- 1 root root 0 04-24 19:00 mydoc.txt

我们也可以用file命令来查看setuid和setgid位,当然也能用file来查看文件的类型;

比如:

[root@localhost ~]# file /usr/bin/passwd


6、粘贴位及设置方法;

粘贴位的理解,我们还是先看一个例子;

 

[root@localhost ~]# ls -ld /tmp/

drwxrwxrwt 12 root root 4096 04-24 18:36 /tmp/

我们看到/tmp权限位最后的一个字母是 t。这就是设置了粘贴位。

粘贴位的设置,可以用八进制的1000位来设置。比如

 

[root@localhost ~]# mkdir googledir
[root@localhost ~]# ls -ld googledir/
drwxr-xr-x 2 root root 4096 04-24 21:59 googledir/
[root@localhost ~]# chmod 1755 googledir/
[root@localhost ~]# ls -ld googledir/
drwxr-xr-t 2 root root 4096 04-24 21:59 googledir/

也可以用chmod 的助记语法来设置。用o+t表示设置粘帖位,用o-t表示取消粘贴位;

 

[root@localhost ~]# ls -ld googledir/
drwxr-xr-x 2 root root 4096 04-24 21:59 googledir/

[root@localhost ~]# chmod o+t googledir/

[root@localhost ~]# ls -ld googledir/
drwxr-xr-t 2 root root 4096 04-24 21:59 googledir/

粘贴位现在也很少用了,不过对于象/tmp目录这样的,是整个系统临时文件存放在,还是有点意义。一个目录既使它的所有权限都开放rwxrwxrwx,如果是设置了粘帖位,除非目录的属主和root用户有权限删除它,除此之外其它用户不能删除这个目录。用途一般是把一个文件夹的的权限都打开,然后来共享文件,象/tmp目录一样。

建议最好不要用!

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值