linux文件的特殊权限

最新推荐文章于 2023-06-14 12:03:26 发布
最新推荐文章于 2023-06-14 12:03:26 发布
阅读量709 收藏 1
点赞数
分类专栏: linux new
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zkxfoo/article/details/40541991
版权
所涉及知识
  安全上下文:
        进程访问文件时的权限匹配机制,当使用都执行cat 打开一个文件时,如果进程发起者属主对该文件有读权限则使用属主的权限,否则检查属组,如果属组也没有,则应用其它位权限
            进程的发起者:进程属主
            进程的属组:通常是进程属主的基本组

linux文件的特殊权限有三种:
         可执行文件:suid、目录文件:sgid、 粘滞位:sticky


一、可执行文件:suid
   suid表现为文件属主执行权限位上的s或S
      当属主的x(执行位)为 x 时:则显示小写s
     当属主的x(执行位)为  - 时: 则显示大写 S

仅可用在binary program(二进制程序)上面
    当任何用户执行该特殊权限的二进制程序时, 不再以用户 自己身份当作时程的属主,而是 以文件属主当作 进程属主

众所周知当用户执行passwd命令修改密码时,是修改了/etc/passwd和/etc/shadow两个文件,这两个文件权限如下: 
   
   

    
    

     
     -rw-r--r--. 1 root root 1535 Dec  9  2014 /etc/passwd
    
    

    
    

     
     [root@serverln tmp]# ls -l /etc/shadow
    
    

    
    

     
     ----------. 1 root root 1024 Dec  9  2014 /etc/shadow
    
    

    
    

     
     # 这两个文件都比较特殊,第一个文件属主属组都是root也就是只有root还能更改这个文件,第二个更是特殊,不过权限对于root用户来说形同虚设,但对于其它用户呢,怎么办。。。
    
    

   
   
    
    

     
     

      
      [root@serverln tmp]# ls -l /usr/bin/passwd     # 执行密码修改的二进制程序passwd的路径
     
     

     
     

      
      -rwsr-xr-x. 1 root root 30768 Feb 22  2012 /usr/bin/passwd
     
     

     
     

      
      # 从上面发现passwd程序带有suid权限,这下好办了,当用户执行passwd时其实不是以自己的身份去执行而是己root用户去执行修改passwd和shadow这两件文件。也就可以完成密码修改拉
   
如何设定suid权限(sudi二制进位为 4)
格式:chmod u+s FILE ... 
    或者原来的权限是755 chmod 4755   

 
二、目录文件:sgid
    具有sgid的目录,在此目录下创建文件时,新建文件的其属组不再是用户所属的基本组,而是目录的基本组
 
suid表现为文件属主执行权限位上的s或S
    属组x位为   x  时表现为:s
    属组x位为   -  时表现为:S

如何设定sgid权限
格式:chmod g+s FILE...
    或者原来的权限是755  chmod 2755   (sgid二制进位为 2)
 
注:能不能删除一个目录里面一的一个文件,取决于目录的权限w而不是文件的权限
       能不能打开一个止录取决于文件的x和r权限(目录的X权限,能够使用cd命令,r权限能够使用ls命令)

 
三、粘滞位:sticky

       sticky bit: 该位可以理解为防删除位.  一个文件是否可以被某用户删除, 主要取决于该文件所属的组是否对该用户具有写权限. 如果没有写权限, 则这个目录下的所有文件都不能被删除, 同时也不能添加新的文件.如果希望用户能够添加文件但同时不能删除文件, 则可以对文件使用sticky bit位.  设置该位后, 就算用户对目录具有写权限, 也不能删除该文件.

    删除目录中的内容:权限取决于,带粘滞位的目录的权限,如属主,属组,其它,不看目录 里面文件或目录的权限。
    对于公共可写的目录,用户可以创建文件,可以删除自己的文件,但无法删除别人用户的文件
 
sticky 表示为文件其它执行权限位上的T或t
    当其它用户x位为  x 时表现为:t
    当其它用户x位为  - 时表现为:T

如何设定sticky权限
     chmod o+t FILEE...
    或者原来的权限是755  chmod 1755  (sticky二制进位为 2)
 
--------------------------------------------------------------------------------------------
总结:
       系统是这样规定的, 如果本来在该位上有x, 则这些特殊标志显示为小写字母 (s, s, t).  否则, 显示为大写字母 (S, S, T) 
   
   

    
    

     
     [root@serverln tmp]# umask 
    
    

    
    

     
     0022 # 权限掩码为4位,最前面那位其实就是特殊权限位。
更改权限:   

 SUID的十进制数为:4        SGID 的十进制数为: 2          SBIT 的十进制数为: 1
所以我们更改权限可以写成:
   [ root@serverln tmp ]#  chmod  4777  filename 

也可以通过符号来加:其中 SUID 为 u+s ,而 SGID 为 g+s ,SBIT 则是 o+t       
  
  

   
   

    
    [root@serverln tmp]# chmod u+s filename
----------------------------------------------------------------------------------------------

 
 
续习:1、使用复制cat命令至/tmp目录,普通用户用/tmp/cat命令能查看root用户有权限查看的所有文件 
   
   

    
    

     
     [root@serverln ~]# cp /bin/cat /tmp
    
    

    
    

     
     [root@serverln ~]# ls -l /tmp
    
    

    
    

     
     total 5452
    
    

    
    

     
     -rwxr-xr-x. 1 root root   48568 Dec  5 17:10 cat
    
    

    
    

     
     [root@serverln ~]# cd /tmp
    
    

    
    

     
     [root@serverln tmp]# chmod u+s /tmp/cat  # 要想其它用户以root身份运行cat程序给其加上suid权限
    
    

    
    

     
     [root@serverln tmp]# ls -l
    
    

    
    

     
     total 5452
    
    

    
    

     
     -rwsr-xr-x. 1 root root   48568 Dec  5 17:10 cat  # 己经添加了SUID权限
    
    

    
    

     
     [root@serverln tmp]# su marry    # 这里我们用su从管理员用户到普通用户
    
    

    
    

     
     [marry@serverln tmp]$ /tmp/cat /etc/passwd  # 用带有suid权限的命令执行cat,这时将会以cat文件自己的权限来执行的
    
    

    
    

     
     root:x:0:0:root:/root:/bin/bash
    
    

    
    

     
     bin:x:1:1:bin:/bin:/sbin/nologin
    
    

    
    

     
     daemon:x:2:2:daemon:/sbin:/sbin/nologin
    
    

    
    

     
     adm:x:3:4:adm:/var/adm:/sbin/nologin
    
    

    
    

     
     lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
    
    

    
    

     
     sync:x:5:0:sync:/sbin:/bin/sync

    2、新建/tmp/test目录
    要求openstack和docker用户对其有写权限,且在目录创建的文件的属组都为cloud组
    要求每个用户不能册除别人的文件,但可以编 辑 

   
   

    
    

     
     [root@serverln tmp]# useradd openstack
    
    

    
    

     
     [root@serverln tmp]# useradd docker
    
    

    
    

     
     [root@serverln tmp]# groupadd cloud
    
    

    
    

     
     [root@serverln tmp]# usermod -a -G cloud openstack
    
    

    
    

     
     [root@serverln tmp]# usermod -a -G cloud docker
    
    

    
    

     
     [root@serverln tmp]# chown .cloud test #改变test的属组为cloud
    
    

    
    

     
     [root@serverln tmp]# chmod g+w test
    
    

    
    

     
     [root@serverln tmp]# ll
    
    

    
    

     
     drwxrwxr-x. 2 marry cloud    4096 Dec  6 09:13 test
    
    

    
    

     
     [root@serverln tmp]# su openstack  # 切换用户到 openstack
    
    

    
    

     
     [openstack@serverln tmp]$ cd test/  #切换到目录
    
    

    
    

     
     [openstack@serverln test]$ touch openstack_file  #新建一个文建测试是否有写入的权限
    
    

    
    

     
     [openstack@serverln test]$ ll
    
    

    
    

     
     total 0
    
    

    
    

     
     -rw-rw-r--. 1 openstack openstack 0 Dec  6 10:27 openstack_file
    
    

    
    

     
     [openstack@serverln test]$ exit
    
    

    
    

     
     exit
    
    

    
    

     
     [root@serverln tmp]# su docker  #切换用户
    
    

    
    

     
     [docker@serverln tmp]$ touch /tmp/test/docker_file  #新建一个文件看是否能有写入的权限
    
    

    
    

     
     [docker@serverln tmp]$ cd test/
    
    

    
    

     
     [docker@serverln test]$ ll
    
    

    
    

     
     total 0
    
    

    
    

     
     -rw-rw-r--. 1 docker    docker    0 Dec  6 10:31 docker_file
    
    

    
    

     
     -rw-rw-r--. 1 openstack openstack 0 Dec  6 10:27 openstack_file
    
    

    
    

     
     #以上两个用户都有写入的权限而且写入的文件权限属主属组都属于自己,因为test目录的关系各自都可以删除对方的文件
    
    

    
    

     
     [root@serverln tmp]# chmod g+s test/  #由于需要在test目录中创建的文件都属于cloud组,所以我们给目录加上sgid权限
    
    

    
    

     
     [root@serverln tmp]# ll
    
    

    
    

     
     drwxrwsr-x. 2 marry  cloud     4096 Dec  6 10:33 test  #己组加了suid权限的目录
    
    

    
    

     
      
    
    

    
    

     
     [root@serverln tmp]# su openstack
    
    

    
    

     
     [openstack@serverln tmp]$ cd test/
    
    

    
    

     
     [openstack@serverln test]$ touch openstack_file
    
    

    
    

     
     [openstack@serverln test]$ ll
    
    

    
    

     
     total 0
    
    

    
    

     
     -rw-rw-r--. 1 docker    docker 0 Dec  6 10:31 docker_file
    
    

    
    

     
     -rw-rw-r--. 1 openstack cloud  0 Dec  6 10:41 openstack_file   #由于test拥用SGID权限所以创建的文件属组现在是cloud了。
    
    

    
    

     
      
    
    

    
    

     
     # 由于要求每个用户不能删除别人的文件所以我们还需要创建 粘滞位sticky,也就是防删位权限
    
    

    
    

     
     [root@serverln tmp]# chmod o+t test/  添加防删位权限
    
    

    
    

     
     [root@serverln tmp]# ll
    
    

    
    

     
     drwxrwsr-t. 2 marry  cloud     4096 Dec  6 10:41 test  #己经拥有防删位权限的目录
    
    

    
    

     
      
    
    

    
    

     
     docker@serverln test]$ touch docker_file
    
    

    
    

     
     [docker@serverln test]$ ll
    
    

    
    

     
     total 0
    
    

    
    

     
     -rw-rw-r--. 1 docker    cloud 0 Dec  6 10:52 docker_file
    
    

    
    

     
     -rw-rw-r--. 1 openstack cloud 0 Dec  6 10:41 openstack_file
    
    

    
    

     
     #这时候我们再删除别人的文件就会提示不允许操作,但我们可以修改别人文件内容也能清空文件的内容
    
    

    
    

     
     [docker@serverln test]$ whoami
    
    

    
    

     
     docker
    
    

    
    

     
     [docker@serverln test]$ rm -i openstack_file 
    
    

    
    

     
     rm: remove regular empty file `openstack_file'? y
    
    

    
    

     
     rm: cannot remove `openstack_file': Operation not permitted
    
    

    
    

     
      
    
    

    
    

     
      
    
    

    
    

     
      
    
    

    
    

     
      
    
    

    
    

     
      

zkxfoo
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux文件设置特殊权限,linux中的文件特殊权限
weixin_29195137的博客
05-07 985
一、SetUID:1、只有可以执行的二进制程序才能设定SUID权限2、命令执行者要对该程序拥有执行权限3、命令执行者在执行该程序时获得该程序文件属主的身份4、etUID权限只在该程序执行过程中有效,也就是说身份改变只在程序执行过程中有效passwd命令是可执行的文件并且拥有SetUID权限,所以普通用户可以修改自己的密码,修改密码其实就是修改/etc/shadow文件,普通用户对于这个文件是没有任...
linux下用chmod修改文件权限详解(文件权限特殊权限)
gscaiyucheng的专栏
03-17 6649
chmod 是一条在Unix系统中用于控制用户对文件权限的命令(change mode单词前缀的组合)和函数。只有文件所有者和超级用户可以修改文件或目录的权限。可以使用绝对模式,符号模式指定文件权限。 一.八进制语法 chmod命令可以使用八进制数来指定权限文件或目录的权限位是由9个权限位来控制,每三位为一组,它们分别是文件所有者(user)的读、写、执行,用户组(group
文件、目录管理
10-22 276
Linux注意事项: 语法格式 命令+空格+选项或参数+空格+文件或目录(路径) 命令 文件名 目录名 都是严格区分字母大小的 Linux约定 使用路径要以路径分隔符'/'结尾。例如: cd /tmp 应该要在...
理解 Linux 文件权限
Jia ming 的日常学习笔记
03-06 802
Linux 的安全性、使用 Linux 组、理解文件权限、改变安全性设置、共享文件
Linux 文件权限讲解(一般权限特殊权限、隐藏权限、访问控制列表、Umask)
m0_49864110的博客
02-14 1万+
umask 【参数】 【权限】 修改/查看文件权限掩码-p 完整打印umask内容-S 以符号的形式显示权限掩码什么是umask值umask值表示文件的默认权限掩码,通过该掩码定义了不同用户创建文件/目录的默认权限默认umask值通过umask 直接查看该用户默认的umask值root用户的umask值为0022;普通用户的umask值为0002第一位代表特殊位(对应文件特殊权限,只有配置了SUID、SGID、SBID此值才有效),暂不考虑。
Linux系统文件和目录的属性及权限
diaodingzhi6175的博客
04-11 646
1 文件属性概述 Linux系统中的文件或目录的属性主要包括:索引节点(inode)、文件类型、权限属性、硬链接数、所归属的用户和用户组、最近修改时间等内容(文件名严格来说不属于文件的属性): 下面是我们执行ls –lih命令显示的结果: 文字解释 第一列:inode索引节点编号(如人的身份证全国唯一)  系统读取文件是首先通过文件名找到ino...
Linux系统文件的默认权限特殊权限
09-14
本文主要探讨的是Linux系统文件的默认权限特殊权限,这对于理解和操作Linux系统至关重要。 首先,让我们了解一下**默认权限**。在Linux中,当你创建一个新的文件或目录时,它们会有一定的初始权限。例如,使用`...
linux特殊权限
01-09
Linux上的特殊权限 特殊权限:SUID SGID STICKY 安全上下文: 1.进程以某用户的身份运行,进程是发起此进程用户的代理,因此以此用户的身份和权限完成所有操作 2.权限匹配模型: (1)判断进程的属主,是否为被访问的...
Linux文件特殊权限SGID-UID详解
08-13
Linux文件特殊权限SGID-UID详解
Linux系统文件权限1
08-08
此外,`chattr`命令可以为文件添加特殊权限,如`-I`选项禁止文件被修改,`a`选项禁止文件被删除。`lsattr`则用于查看具有这些特殊权限文件。 理解并熟练运用这些命令和权限机制,对于管理和保护Linux系统中的数据...
linux特殊权限问题
09-22
Linux操作系统中,权限管理是核心安全机制之一。...总结来说,Linux权限系统通过用户、用户组、文件属性和特殊权限,以及进程ID来确保系统的安全性和灵活性。理解这些概念对于有效管理和维护Linux系统至关重要。
chmod 4755和chmod 755的区别
studyvcmfc的专栏
07-28 1742
chmod 4755和chmod 755的区别[日期:2009-07-04]来源:  作者:[字体:大 中 小] chmodLinux下设置文件权限的命令,后面的数字表示不同用户或用户组的权限。一般是三个数字:第一个数字表示文件所有者的权限第二个数字表示与文件所有者同属一个用户组的其他用户的权限
chmod权限设置
wujianyongw4的博客
03-29 3030
今天执行sudo 的时候突然报错:sudo: /usr/bin/sudo must be owned by uid 0 and have the setuid bit set谷歌一下终于知道以前所忽略的一些文件权限相关的知识点。上述问题的解决方案是:如果能够以root用户登录系统那么就修改/usr/bin/sudo 的权限chmod 4755 /usr/bin/sudo如果不能就比较困难了。下面介...
Linux特殊权限
qq_33441128的博客
04-03 1087
Linux的SID,GID,Stickty的使用
Linux】基本权限&特殊权限
weixin_49383196的博客
03-17 1335
一个要努力学习的菜鸟的技术进阶之路4······
Linux特殊权限
qq_57289939的博客
06-14 1763
是为了让一般用户在执行某些程序的时候, 在程序的运行期间,暂时获得该程序拥有者的权限文件---如果SGID设置在二进制文件上,则不论用户是谁,在执行该程序的时候, 它的有效用户组将会变成该程序的用户组所有者真正的组,原来的组目录--- 如果SGID是设置在A目录上,则在A目录内所建立的文件或目录的用户组,将会是此A 目录的用户组一 般来说,SGID多用在特定的多人团队的项目开发上,在系统中用的很少Sticky Bit定义在具有SBIt。
Linux文件特殊权限suid、sgid、sticky(有图详细讲解)
热门推荐
MssGuo的博客
10-14 2万+
前言 环境:centos 7.9 linux文件普通权限rwx Linux文件的普通权限一般为:rwx,对应与数字表示:421,除此之外,文件还有三种特殊权限,就这是我们本节要讲的三种特殊文件权限linux文件特殊权限 suid、sgid、sticky linux文件的三种特殊权限分别是:suid权限、sgid权限、sticky权限;其中suid权限作用于文件属主,sgid权限作用于属组上,sticky权限作用于other其他上。 suid权限 作用:让普通用户临时拥有该文件的属主的执行权限,suid
linux文件特殊权限
最新发布
06-28
### 回答1: Linux文件系统中的文件特殊权限有三种,分别是SUID(Set User ID)、SGID(Set Group ID)和Sticky Bit。 SUID权限表示在执行该文件时,将该文件的所有者作为执行者的身份来执行,而不是当前用户的身份。这通常用于需要特定权限才能执行的程序,例如passwd命令。只有root用户可以设置SUID权限。 SGID权限表示在执行该文件时,将该文件所属的组作为执行者的组身份来执行,而不是当前用户所在的组身份。这对于需要在团队环境中共享访问权限文件非常有用。只有root用户可以设置SGID权限。 Sticky Bit权限通常用于目录,表示只有该目录的所有者和root用户才能删除其中的文件或目录,其他用户只能更改其自己的文件。这在/tmp等目录中非常有用,以防止其他用户误删其他用户的文件。任何用户都可以设置Sticky Bit权限。 要设置文件特殊权限,可以使用chmod命令,例如: - 设置SUID权限chmod u+s file - 设置SGID权限chmod g+s file - 设置Sticky Bit权限chmod +t directory ### 回答2: 在Linux系统中,文件权限由三部分组成,即用户权限、用户组权限和其他用户权限。其中,用户权限包括读、写、执行,用户组权限和其他用户权限仅包括读和执行权限。这些权限可以通过chmod命令来设置。除了这些基本的权限外,Linux系统还提供了一些特殊权限,包括SUID、SGID和Sticky Bit。 1. SUID权限:SUID是Set user ID的缩写,即设置用户ID。在一个文件的SUID权限被设置后,当该文件被一个普通用户执行时,该文件将会以该文件拥有者的特权级别来执行,而不是当前用户的特权级别。SUID权限对于某些特定的程序来说非常有用,可以保证这些程序以管理员权限运行,从而可以完成一些只有管理员才能够完成的操作。 2. SGID权限:SGID是Set Group ID的缩写,即设置组ID。在一个文件的SGID权限被设置后,当该文件被一个普通用户执行时,该文件将会以该文件所属的组的特权级别来执行,而不是当前用户所在的组的特权级别。SGID权限对于一些需要共享资源的程序来说非常有用,可以让所有用户都可以共享一个文件夹或者以相同的权限来执行某个程序。 3. Sticky Bit权限:Sticky Bit权限又称粘滞位权限,即当一个文件夹的Sticky Bit权限被设置后,只有该文件夹的所有者才有权对该文件夹内的文件进行删除、重命名等操作,其他用户只有对自己创建的文件有这些操作的权限。这种权限对于在多用户环境下保护公共文件夹非常有用。 总之,Linux文件特殊权限可以提供更加灵活和精细的文件管理方式,可以满足不同用户和程序的需求,提高系统的安全性和稳定性。 ### 回答3: 在Linux中,文件权限分成三个部分,分别是所有者权限、群组权限和其他用户权限。其中,每个部分又分为读权限、写权限和执行权限。但是,除了这三种基本权限之外,Linux还提供了一些特殊权限,用来进行更细致的权限控制。 具体来说,Linux文件特殊权限包括以下三种:SUID、SGID和sticky位。 1. SUID权限 SUID是Set User ID的缩写,即设置用户ID权限。通过这种权限,一个普通用户可以以拥有文件所有者的权限来执行该文件。也就是说,如果一个用户没有权限执行该文件,但该文件具有SUID权限,该用户就可以通过执行该文件来获得执行该文件所有者的权限。 举个例子,假如有一个具有SUID权限的可执行文件,其所有者是root,其他用户组拥有可执行权限,但其他用户并没有可执行权限。当一个普通用户执行此文件时,该用户就会拥有root用户的权限,从而可以执行具有root权限的操作。 2. SGID权限 SGID是Set Group ID的缩写,即设置群组ID权限。通过这种权限,一个普通用户可以以文件所在群组的权限来执行该文件。也就是说,如果一个用户没有权限执行该文件,但该文件具有SGID权限,该用户就可以通过执行该文件来获得文件所在群组的权限。 例如,一个具有SGID权限的可执行文件所在目录的群组为developers,用户A属于该群组,用户B不属于该群组。则用户B如果想要在该目录中操作文件,必须通过执行该具有SGID权限的可执行文件来获得该目录所在群组的权限。 3. sticky位 sticky位指的是一个目录的权限,用于限制只有文件所有者或root才能删除该目录中的文件。也就是说,当一个目录具有sticky位时,其他用户只能在该目录中创建文件,但不能删除其他用户的文件。 例如,当一个目录的权限为drwxrwxrwt,它的末尾有一个“t”字符,就表示该目录具有sticky位,此时只有文件所有者和root用户才能够删除该目录中的文件。 总之,Linux文件特殊权限是一种更加细致的文件访问权限控制方式,通过它可以更加灵活地对文件或目录的访问权限进行控制,满足不同用户对文件的不同访问需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值