文件特殊權限
阿新 • • 發佈:2017-10-01
size 比較 返回 運行 控制 com 們的 locate lin 
3.取消SetUID的方法
4.危險的SetUID
a>.關鍵目錄應嚴格控制寫權限。比如“/”,“/usr”等
b>.用戶和密碼設置要嚴格遵守密碼的三原則;
c>.對系統中默認應該具有SetUID權限的文件作一列表,定時檢查有沒有這之外的文件被設置了SetUID權限。
溫馨提示:
一旦你給一個命令設置了SUID權限,那麽任何一個普通用戶在運行這個命令編輯文件是,就會立刻獲得root權限喲!所以要慎重解決你的操作呢! 
從上圖我們可以看出:
a>."/usr/bin/locate"是可執行二進制程序,可以賦予SGID;
b>.其他用戶對"/usr/bin/locate"命令時,組身份會升級為slocate組,而slocate組對"/var/lib/mlocate/mlocate.db"數據庫擁有r權限,所以其他用戶可以使用locate命令查詢mlocate.db數據庫。
c>.命令結束,其他用戶的組身份返回為其原來的組身份。
2.SetGID針對目錄的作用
a>.普通用戶必須對此目錄擁有r和x權限,才能進入此目錄;
b>.普通用戶再次目錄中的有效組會變成此目錄的數組;
c>.若普通用戶對此目錄擁有w權限時,新建的文件的默認屬組是這個目錄的數組;
3.設定SetGID的方法
2代表SGID權限
4.取消SetGID的方法。
三.Skicky BIT +
1.SBIT粘著位作用
a>.粘著位目前只對目錄有效;
b>.普通用戶對該目錄擁有w和x權限,即普通用戶可以再次目錄擁有寫入權限;
c>.如果沒有粘著位,因為普通用戶又有w權限,所以可以刪除此目錄下所有文件,包括其他用戶建立的文件,一旦賦予了黏著位,除了root可以刪除所有文件,普通用戶就算擁有w權限,也只能刪除自己建立的文件,但是不能刪除其他用戶建立的文件。
2.SBIT黏著位的設置與取消
1代表BIT權限。
3.黏著位的應用實戰
總結:
SUID:只針對可執行文件(二進制文件),不建議設置且要定時檢查系統中被修改的文件;
SGID:既可以針對可執行文件,也可以針對可執行目錄;
SBIT:只針對目錄生效;一旦給目錄設置了該權限,某個用戶在這個目錄下創建的文件只能尤其自己刪除或是root用戶刪除,其他用戶都是沒有權限刪除的喲。
文件特殊權限
作者:尹正傑
版權聲明:原創作品,謝絕轉載!否則將追究法律責任。
歡迎加入: 高級運維工程師之路 598432640
Liunx學問博大精深,今天我們一起來學習一下比較有意思的三個特殊權限,雖然我們平時不常用,但是我們必須得知道,因為他們的作用在Linux操作系統的管理上起著舉足輕重的作用,我們可不能小看他們喲,我們今天的主句就是SUID,SGID,SBIT三個權限的展示。
一.SetUID 1.setUID的功能 a>.只有可以執行的二進制程序才能設定SUID權限; b>.命令執行者要對該程序擁有x(執行)權限; c>.命令執行者在執行該程序時獲得該程序文件(擁有SUID權限的文件)屬主的身份(在執行程序的靈魂附體為文件的屬主); d>.SetUID權限只在改程序執行過程中有效,也就是說身份改變只在程序執行過程中有效; 案例: passwd命令擁有SetUID權限,所以普通用戶可以修改自己的密碼。cat命令沒有SetUID權限,所以普通用戶不能查看/etc/shadow文件內容:
3.取消SetUID的方法
4.危險的SetUID
a>.關鍵目錄應嚴格控制寫權限。比如“/”,“/usr”等
b>.用戶和密碼設置要嚴格遵守密碼的三原則;
c>.對系統中默認應該具有SetUID權限的文件作一列表,定時檢查有沒有這之外的文件被設置了SetUID權限。
溫馨提示:
一旦你給一個命令設置了SUID權限,那麽任何一個普通用戶在運行這個命令編輯文件是,就會立刻獲得root權限喲!所以要慎重解決你的操作呢!
從上圖我們可以看出:
a>."/usr/bin/locate"是可執行二進制程序,可以賦予SGID;
b>.其他用戶對"/usr/bin/locate"命令時,組身份會升級為slocate組,而slocate組對"/var/lib/mlocate/mlocate.db"數據庫擁有r權限,所以其他用戶可以使用locate命令查詢mlocate.db數據庫。
c>.命令結束,其他用戶的組身份返回為其原來的組身份。
2.SetGID針對目錄的作用
a>.普通用戶必須對此目錄擁有r和x權限,才能進入此目錄;
b>.普通用戶再次目錄中的有效組會變成此目錄的數組;
c>.若普通用戶對此目錄擁有w權限時,新建的文件的默認屬組是這個目錄的數組;
3.設定SetGID的方法
2代表SGID權限
4.取消SetGID的方法。
三.Skicky BIT +
1.SBIT粘著位作用
a>.粘著位目前只對目錄有效;
b>.普通用戶對該目錄擁有w和x權限,即普通用戶可以再次目錄擁有寫入權限;
c>.如果沒有粘著位,因為普通用戶又有w權限,所以可以刪除此目錄下所有文件,包括其他用戶建立的文件,一旦賦予了黏著位,除了root可以刪除所有文件,普通用戶就算擁有w權限,也只能刪除自己建立的文件,但是不能刪除其他用戶建立的文件。
2.SBIT黏著位的設置與取消
1代表BIT權限。
3.黏著位的應用實戰
總結:
SUID:只針對可執行文件(二進制文件),不建議設置且要定時檢查系統中被修改的文件;
SGID:既可以針對可執行文件,也可以針對可執行目錄;
SBIT:只針對目錄生效;一旦給目錄設置了該權限,某個用戶在這個目錄下創建的文件只能尤其自己刪除或是root用戶刪除,其他用戶都是沒有權限刪除的喲。
文件特殊權限