linux文件的特殊权限

所涉及知识
  安全上下文：
        进程访问文件时的权限匹配机制，当使用都执行cat 打开一个文件时，如果进程发起者属主对该文件有读权限则使用属主的权限，否则检查属组，如果属组也没有，则应用其它位权限
            进程的发起者：进程属主
            进程的属组：通常是进程属主的基本组

linux文件的特殊权限有三种：
         可执行文件：suid、目录文件：sgid、 粘滞位：sticky


一、可执行文件：suid

   suid表现为文件属主执行权限位上的s或S

      当属主的x（执行位）为 x 时：则显示小写s

     当属主的x（执行位）为  - 时: 则显示大写 S

仅可用在binary program（二进制程序）上面

    当任何用户执行该特殊权限的二进制程序时， 不再以用户 自己身份当作时程的属主，而是 以文件的 属主当作 进程属主

众所周知当用户执行passwd命令修改密码时，是修改了/etc/passwd和/etc/shadow两个文件，这两个文件权限如下：

   
   

    
    

     
     -rw-r--r--. 1 root root 1535 Dec  9  2014 /etc/passwd
    
    
    
    

     
     [root@serverln tmp]# ls -l /etc/shadow
    
    
    
    

     
     ----------. 1 root root 1024 Dec  9  2014 /etc/shadow
    
    
    
    

     
     # 这两个文件都比较特殊，第一个文件属主属组都是root也就是只有root还能更改这个文件，第二个更是特殊，不过权限对于root用户来说形同虚设，但对于其它用户呢，怎么办。。。
    
    
   
   

    
    

     
     

      
      [root@serverln tmp]# ls -l /usr/bin/passwd     # 执行密码修改的二进制程序passwd的路径
     
     
     
     

      
      -rwsr-xr-x. 1 root root 30768 Feb 22  2012 /usr/bin/passwd
     
     
     
     

      
      # 从上面发现passwd程序带有suid权限，这下好办了，当用户执行passwd时其实不是以自己的身份去执行而是己root用户去执行修改passwd和shadow这两件文件。也就可以完成密码修改拉
     
     
    
    

   

如何设定suid权限（sudi二制进位为 4）

格式：chmod u+s FILE ... 

    或者原来的权限是755 chmod 4755   

 

二、目录文件：sgid

    具有sgid的目录，在此目录下创建文件时，新建文件的其属组不再是用户所属的基本组，而是目录的基本组

 

suid表现为文件属主执行权限位上的s或S

    属组x位为   x  时表现为：s

    属组x位为   -  时表现为：S

如何设定sgid权限

格式：chmod g+s FILE...

    或者原来的权限是755  chmod 2755   （sgid二制进位为 2）

 

注：能不能删除一个目录里面一的一个文件，取决于目录的权限w而不是文件的权限

       能不能打开一个止录取决于文件的x和r权限（目录的X权限，能够使用cd命令，r权限能够使用ls命令）

 

三、粘滞位：sticky

       sticky bit: 该位可以理解为防删除位.  一个文件是否可以被某用户删除, 主要取决于该文件所属的组是否对该用户具有写权限. 如果没有写权限, 则这个目录下的所有文件都不能被删除, 同时也不能添加新的文件.如果希望用户能够添加文件但同时不能删除文件, 则可以对文件使用sticky bit位.  设置该位后, 就算用户对目录具有写权限, 也不能删除该文件.

    删除目录中的内容：权限取决于，带粘滞位的目录的权限，如属主，属组，其它，不看目录 里面文件或目录的权限。

    对于公共可写的目录，用户可以创建文件，可以删除自己的文件，但无法删除别人用户的文件

 

sticky 表示为文件其它执行权限位上的T或t

    当其它用户x位为  x 时表现为：t

    当其它用户x位为  - 时表现为：T

如何设定sticky权限

     chmod o+t FILEE...

    或者原来的权限是755  chmod 1755  （sticky二制进位为 2）

 

--------------------------------------------------------------------------------------------

总结：

       系统是这样规定的, 如果本来在该位上有x, 则这些特殊标志显示为小写字母 (s, s, t).  否则, 显示为大写字母 (S, S, T)

   
   

    
    

     
     [root@serverln tmp]# umask 
    
    
    
    

     
     0022 # 权限掩码为4位，最前面那位其实就是特殊权限位。
    
    
   
   

更改权限：   

 SUID的十进制数为：4        SGID 的十进制数为： 2          SBIT 的十进制数为： 1

所以我们更改权限可以写成：

   [ root@serverln tmp ]#  chmod  4777  filename 

也可以通过符号来加：其中 SUID 为 u+s ，而 SGID 为 g+s ，SBIT 则是 o+t      

  
  

   
   

    
    [root@serverln tmp]# chmod u+s filename
   
   
  
  

----------------------------------------------------------------------------------------------

 

 

续习：1、使用复制cat命令至/tmp目录，普通用户用/tmp/cat命令能查看root用户有权限查看的所有文件

   
   

    
    

     
     [root@serverln ~]# cp /bin/cat /tmp
    
    
    
    

     
     [root@serverln ~]# ls -l /tmp
    
    
    
    

     
     total 5452
    
    
    
    

     
     -rwxr-xr-x. 1 root root   48568 Dec  5 17:10 cat
    
    
    
    

     
     [root@serverln ~]# cd /tmp
    
    
    
    

     
     [root@serverln tmp]# chmod u+s /tmp/cat  # 要想其它用户以root身份运行cat程序给其加上suid权限
    
    
    
    

     
     [root@serverln tmp]# ls -l
    
    
    
    

     
     total 5452
    
    
    
    

     
     -rwsr-xr-x. 1 root root   48568 Dec  5 17:10 cat  # 己经添加了SUID权限
    
    
    
    

     
     [root@serverln tmp]# su marry    # 这里我们用su从管理员用户到普通用户
    
    
    
    

     
     [marry@serverln tmp]$ /tmp/cat /etc/passwd  # 用带有suid权限的命令执行cat，这时将会以cat文件自己的权限来执行的
    
    
    
    

     
     root:x:0:0:root:/root:/bin/bash
    
    
    
    

     
     bin:x:1:1:bin:/bin:/sbin/nologin
    
    
    
    

     
     daemon:x:2:2:daemon:/sbin:/sbin/nologin
    
    
    
    

     
     adm:x:3:4:adm:/var/adm:/sbin/nologin
    
    
    
    

     
     lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
    
    
    
    

     
     sync:x:5:0:sync:/sbin:/bin/sync
    
    
   
   

    2、新建/tmp/test目录

    要求openstack和docker用户对其有写权限，且在目录创建的文件的属组都为cloud组

    要求每个用户不能册除别人的文件，但可以编 辑

   
   

    
    

     
     [root@serverln tmp]# useradd openstack
    
    
    
    

     
     [root@serverln tmp]# useradd docker
    
    
    
    

     
     [root@serverln tmp]# groupadd cloud
    
    
    
    

     
     [root@serverln tmp]# usermod -a -G cloud openstack
    
    
    
    

     
     [root@serverln tmp]# usermod -a -G cloud docker
    
    
    
    

     
     [root@serverln tmp]# chown .cloud test #改变test的属组为cloud
    
    
    
    

     
     [root@serverln tmp]# chmod g+w test
    
    
    
    

     
     [root@serverln tmp]# ll
    
    
    
    

     
     drwxrwxr-x. 2 marry cloud    4096 Dec  6 09:13 test
    
    
    
    

     
     [root@serverln tmp]# su openstack  # 切换用户到 openstack
    
    
    
    

     
     [openstack@serverln tmp]$ cd test/  #切换到目录
    
    
    
    

     
     [openstack@serverln test]$ touch openstack_file  #新建一个文建测试是否有写入的权限
    
    
    
    

     
     [openstack@serverln test]$ ll
    
    
    
    

     
     total 0
    
    
    
    

     
     -rw-rw-r--. 1 openstack openstack 0 Dec  6 10:27 openstack_file
    
    
    
    

     
     [openstack@serverln test]$ exit
    
    
    
    

     
     exit
    
    
    
    

     
     [root@serverln tmp]# su docker  #切换用户
    
    
    
    

     
     [docker@serverln tmp]$ touch /tmp/test/docker_file  #新建一个文件看是否能有写入的权限
    
    
    
    

     
     [docker@serverln tmp]$ cd test/
    
    
    
    

     
     [docker@serverln test]$ ll
    
    
    
    

     
     total 0
    
    
    
    

     
     -rw-rw-r--. 1 docker    docker    0 Dec  6 10:31 docker_file
    
    
    
    

     
     -rw-rw-r--. 1 openstack openstack 0 Dec  6 10:27 openstack_file
    
    
    
    

     
     #以上两个用户都有写入的权限而且写入的文件权限属主属组都属于自己，因为test目录的关系各自都可以删除对方的文件
    
    
    
    

     
     [root@serverln tmp]# chmod g+s test/  #由于需要在test目录中创建的文件都属于cloud组，所以我们给目录加上sgid权限
    
    
    
    

     
     [root@serverln tmp]# ll
    
    
    
    

     
     drwxrwsr-x. 2 marry  cloud     4096 Dec  6 10:33 test  #己组加了suid权限的目录
    
    
    
    

     
      
    
    
    
    

     
     [root@serverln tmp]# su openstack
    
    
    
    

     
     [openstack@serverln tmp]$ cd test/
    
    
    
    

     
     [openstack@serverln test]$ touch openstack_file
    
    
    
    

     
     [openstack@serverln test]$ ll
    
    
    
    

     
     total 0
    
    
    
    

     
     -rw-rw-r--. 1 docker    docker 0 Dec  6 10:31 docker_file
    
    
    
    

     
     -rw-rw-r--. 1 openstack cloud  0 Dec  6 10:41 openstack_file   #由于test拥用SGID权限所以创建的文件属组现在是cloud了。
    
    
    
    

     
      
    
    
    
    

     
     # 由于要求每个用户不能删除别人的文件所以我们还需要创建 粘滞位sticky，也就是防删位权限
    
    
    
    

     
     [root@serverln tmp]# chmod o+t test/  添加防删位权限
    
    
    
    

     
     [root@serverln tmp]# ll
    
    
    
    

     
     drwxrwsr-t. 2 marry  cloud     4096 Dec  6 10:41 test  #己经拥有防删位权限的目录
    
    
    
    

     
      
    
    
    
    

     
     docker@serverln test]$ touch docker_file
    
    
    
    

     
     [docker@serverln test]$ ll
    
    
    
    

     
     total 0
    
    
    
    

     
     -rw-rw-r--. 1 docker    cloud 0 Dec  6 10:52 docker_file
    
    
    
    

     
     -rw-rw-r--. 1 openstack cloud 0 Dec  6 10:41 openstack_file
    
    
    
    

     
     #这时候我们再删除别人的文件就会提示不允许操作，但我们可以修改别人文件内容也能清空文件的内容
    
    
    
    

     
     [docker@serverln test]$ whoami
    
    
    
    

     
     docker
    
    
    
    

     
     [docker@serverln test]$ rm -i openstack_file 
    
    
    
    

     
     rm: remove regular empty file `openstack_file'? y
    
    
    
    

     
     rm: cannot remove `openstack_file': Operation not permitted