2. 程式人生 > >CentOS SUID/SGID/SBIT許可權與其在專案協作中的運用

CentOS SUID/SGID/SBIT許可權與其在專案協作中的運用

阿新 發佈:2018-11-02

本文總結自鳥哥的linux私房菜 檔案與目錄管理篇:http://linux.vbird.org/linux_basic/0220filemanager.php

目錄

一、幾個特殊許可權

1、SUID

當s這個標誌出現在檔案擁有者的x許可權上時,例如使用者資訊檔案/usr/bin/passwd的許可權狀態為:

-rwsr-xr-x. 1 root root 27832 610 2014 /usr/bin/passwd

這樣的許可權就被稱為Set UID ,簡稱SUID。
對於SUID有如下限制和功能:

  • SUID 許可權僅對二進位程式(binary program)有效
  • 執行者對於該程式需要具有x 的可執行許可權
  • 本許可權僅在執行該程式的過程中有效(run-time)
  • 執行者將具有該程式擁有者(owner) 的許可權

舉個例子來說,我們的Linux系統中,所有帳號的密碼都記錄在/etc/shadow這個檔案裡面,這個檔案的許可權為:【———- 1 root root】,意思是這個檔案僅有root可讀且僅有root可以強制寫入而已。既然這個檔案僅有root可以修改,但是我們知道,在centos中一般使用者(例如使用者dmtsai)是能夠用【 passwd 】指令修改自己的密碼的,也就是說一般使用者在修改密碼時也同時改動了/etc/shadow這個檔案的內容,這是否和該檔案的許可權衝突了呢?

當然沒有,這就引出了SUID的功能,因為滿足之前所列的四點限制和功能:

  • passwd是一個二進位制程式
  • dmtsai使用者對passwd具有x許可權
  • 該許可權在執行過程中有效
  • dmtsai會暫時取得passwd擁有者(root)的許可權

由此,dmtsai獲得root的許可權後便可以修改/etc/shadow中自己的密碼資訊,整個過程如下圖所示:
這裡寫圖片描述

不過如果dmtsai 使用cat 去讀取/etc/shadow 時,由於cat 沒有SUID許可權,所以無法讀出其內容。

另外,SUID僅可用在binary program上,不能夠用在shell script上面!這是因為shell script只是將很多的binary執行檔案叫進來執行而已!所以SUID的許可權部分,還是得要看shell script呼叫進來的程式的設定,而不是shell script本身。當然,SUID對於目錄也是無效的。

2、SGID

a)應用於檔案:

當s 標誌在檔案擁有者的x 專案為SUID,那s 在群組的x 時則稱為Set GID,簡稱SGID,對程式和檔案來說,它的限制和功能如下:

  • SGID 對二進位程式有用
  • 程式執行者對於該程式來說,需具備x 的許可權
  • 執行者在執行的過程中將會獲得該程式群組的支援

舉例來說,locate 是centos中一個查詢檔案位置的命令,它是通過讀取和檢索/var/lib/mlocate/mlocate.db中的內容來進行快速搜尋的,我們來看看兩個檔案的許可權:

-rwx--s--x. 1 root slocate /usr/bin/locate
-rw-r-----. 1 root slocate /var/lib/mlocate/mlocate.db

可以看到mlocate.db 除了擁有者和群組支援外其他人是不能讀取的,但是由於locate具有SGID許可權,所以普通使用者在執行locate之後會獲得locate所在群組slocate的支援,而mlocate.db屬於slocate群組,所以這時便能夠讀取mlocate.db檔案。

b)應用於資料夾

除了binary program 之外,事實上SGID 也能夠用在目錄上,這也是非常常見的一種用途!當一個目錄設定了SGID 的許可權後,他將具有如下的功能:

  • 使用者若對於此目錄具有r 與x 的許可權時,該使用者能夠進入此目錄;
  • 使用者在此目錄下的有效群組(effective group)將會變成該目錄的群組;

也就是說,如果使用者在此目錄下具有w 的許可權,則使用者所建立的新檔案的群組與此目錄的群組相同。這就給在該目錄下工作的不同使用者提供了互相訪問對方檔案的可能,這對於協同工作尤為重要。

具體的例子見下文的專案協作部分

3、SBIT

SBIT 即 Sticky Bit,t 標誌在其他成員x許可權的位置。目前只針對目錄有效,對於檔案已經沒有效果了。SBIT 對於目錄的作用是:

  • 當使用者對於此目錄具有w, x 許可權,亦即具有寫入的許可權時
  • 當使用者在該目錄下建立檔案或目錄時,僅有自己與root 才有權力刪除該檔案

舉例來說就是:當甲這個使用者於A目錄是具有群組或其他人的身份,並且擁有該目錄w的許可權,這表示【甲使用者對該目錄內任何人建立的目錄或檔案均可進行”刪除/更名/搬移”等動作】。不過,如果將A目錄加上了SBIT的許可權專案時,則甲只能夠針對自己建立的檔案或目錄進行刪除/更名/移動等動作,而無法刪除他人的檔案。

以上三種許可權的設定

這裡只介紹常用的數字型設定方式
以上三種許可權的數字位於常規三個許可權數字之前,其中:

  • 4 為SUID
  • 2 為SGID
  • 1 為SBIT

例如設定file檔案為SUID與SGID可以這樣寫:

chmod 6774 file

其許可權變為:
-rws rws r--

有時候,設定file檔案為:

chmod 7666 file

其許可權變為:
-rwS rwS rwT

為什麼此處的S和T變為大寫了呢?
當 s 與 t 所在位置的 x 許可權為【空】時,s與t會顯示為大寫字母

二、專案協作

有時候在進行一些專案開發時,需要多人合作在同一環境下進行作業,我們一般會選擇將專案組成員放在一個群組裡,規定一個目錄作為工作空間,但是這存在一個問題:儘管是在同一工作空間同一群組,但是成員之間可能仍舊無法互相訪問對方的檔案,比如像下面這種情況:

A與B都是專案組的成員,系統管理員將他們都放到project這個群組裡,同時給他們分配了一個工作空間為/srv/wplace,並設定該工作空間的許可權為 : drwx rwx — root project 。操作如下:

先製作兩人的帳號資料

[root@tang ~]# groupadd project                <==增加新的群組 
[root@tang ~]# useradd -G project alex         <==建立alex帳號,且支援project 
[root@tang ~]# useradd -G project arod         <==建立arod帳號,且支援project 
[root@tang ~]# id manA                         <==查閱alex帳號的屬性 
uid=1001(manA) gid=1002(agroup) groups=1002(agroup), 1001(project ) 
[root@tang ~]# id manB
uid=1002(manB) gid=1003(bgroup) groups=1003(bgroup), 1001(project)

再建立專案工作空間:

[root@tang ~]# mkdir /srv/wplace
[root@tang ~]# ll -d /srv/wplace
drwxr-xr-x. 2 root root 6 Jun 17 00:22 /srv/wplace

修改工作空間許可權

[root@tang ~]# chgrp project /srv/wplace 
[root@tang ~]# chmod 770 /srv/wplace 
[root@tang ~]# ll -d /srv/wplace 
drwx rwx ---. 2 root project 6 Jun 17 00:22 /srv/wplace

從上面可以看出A B兩人已經在同一群組裡,且該群組可以為他們提供wplace目錄的群組許可權。這時候貌似沒有什麼問題了,但是大多數時候A與B的有效群組並非都為project,如A的有效群組為agroup,B的有效群組為bgroup,這時我們來測試看看兩個使用者的工作情況:

[root@tang ~]# su - manA        <==先切換身份成為manA來處理 
[manA@www ~]$ cd /srv/wplace    <==切換到群組的工作目錄去 
[manA@www ahome]$ touch abcd  <==建立一個空的檔案出來!
[manA@www ahome]$ exit         <==離開manA的身份

[root@tang ~]# su - manB 
[manB@www ~]$ cd /srv/wplace 
[manB@www wplace]$ ll abcd 
-rw-rw-r--. 1 manA agroup 0 Jun 17 00:23 abcd
#仔細看一下上面的檔案,由於群組是agroup ,manB並不支援!
#因此對於abcd這個檔案來說, manB只是屬於其他人範圍,只有r的許可權而
[arod@www ahome]$ exit

由上面的結果我們可以知道,若單純使用傳統的rwx,則對剛剛A建立的abcd這個檔案來說, B可以刪除他,但是卻不能編輯他,然而我們需要的是A B之間能夠互相訪問編輯彼此的檔案,這時候我們便可以引入SGID許可權了


[root@tang ~]# chmod 2770 /srv/wplace 
[root@tang ~]# ll -d /srv/wplace
drwx rws ---. 2 root project 17 Jun 17 00:23 /srv/wplace

測試:使用manA去建立一個檔案,並且查閱檔案許可權看看: 
[root@tang ~]# su - manA
[manA@www ~]$ cd /srv/wplace 
[manA@www wplace]$ touch 1234 
[manA@www wplace]$ ll 1234 
-rw- rw- r--. 1 manA project 0 Jun 17 00:25 1234

可以看到,當wplace擁有SGID許可權時,在其中建立的檔案的群組會強制變為project,這樣A與B都在群組project的支援裡,故而能夠互相訪問和編輯彼此的檔案,從而達到專案協作的目的。

相關推薦

CentOS SUID/SGID/SBIT許可權與其專案協作運用

本文總結自鳥哥的linux私房菜 檔案與目錄管理篇:http://linux.vbird.org/linux_basic/0220filemanager.php 目錄 目錄 一、幾個特殊許可權

讓PHP以ROOT許可權執行系統命令的方法&SUID,SGID,SBIT許可權的作用和設定

SUID:只對二進位制程式支援,只要擁有該程式的所有者擁有SUID的許可權,那麼其它使用者或者同組使用者擁有該程式的x許可權,就可以在程式執行過程中擁有所有者的許可權支援。 例如:(在root下操作) 有一檔案text的內容是hello world!,現在編寫一個讀出該檔案內容的程式 程式如下: 程式名為r

Linux 特殊許可權 SUID,SGID,SBIT

setuid 和 setgid 分別是 set uid ID upon execution 和 set group ID upon execution 的縮寫。我們一般會再次把它們縮寫為 suid 和 sgid。它們是控制檔案訪問的許可權標誌(flag),它們分別允許使用者以可執行檔案的 owner 或 ow

Linux之特殊許可權SUID/SGID/SBIT

特殊許可權的介紹Set UID當s這個標誌出現在檔案所有者的x許可權上時,如/usr/bin/passwd這個檔案的許可權狀態:“-rwsr-xr-x.”,此時就被稱為Set UID,簡稱為SUID。那麼這個特殊許可權的特殊性的作用是什麼呢?1、SUID許可權僅對二進位制程式

Linux 文件特殊權限 SUID SGID SBIT

我們 swd 讀取 root權限 sgid 能夠 可用 配置文件 name   文件除了常規的權限r, w, x 還有一些特殊的權限,s與t權限,具體的用處如下   1 SetUID   當s 這個標誌出現在文件所有者的x權限上時, 例如/usr/bin/passw

linux chattr lsattr SUID SGID SBIT

有效 fec 沒有效果 文件隱藏 註意 -a layout rem att chattr(配置文件案隱藏屬性) chattr [+-=][ASacdistu]文件或目錄名稱 選項與參數: + :增加某一個特殊參數,其他原本存在參數則不動。 - :移除某一個特殊參數,其他原本

SUIDSGIDSBIT許可權的作用

一、SUID許可權 當s這個標誌出現在檔案所有者的x許可權上時,此時就被稱為Set UID,簡稱SUID。 作用: SUID許可權僅對可執行檔案有效 執行者對於該可執行檔案需要具有x許可權 在執行過程中,呼叫者會暫時獲得該檔案的擁有者許可權 該許可權只在程式執

linux特殊許可權SUID,SGIDSBIT的介紹

先來看看兩個特殊的檔案與目錄 [[email protected] ~]# ls -l /usr/bin/passwd -rwsr-xr-x. 1 root root 26968 Jan 29  2010 /usr/bin/passwd [[email 

Linux檔案許可權與屬性詳解--SUIDSGID & SBIT

<三>Linux檔案許可權與屬性詳解--SUID、SGID & SBIT 前言 我們有時候在操作Linux系統的時候,往往會遇到一些奇怪的字元,例如對某一個檔案/目錄執行ll時,可能會出現以下情況: [niesh@niesh ~]$ ll /usr/bin/passwd -rwsr-

linux,centos,redhat SUID,SGID ,Sticky Bit權限作用是什麽

創建目錄 bit 沒有 分享 /etc/ 都是 刪除 正常 寫入 SUID Set Uid 當我我們使用 ls 看passwd與shadow的權限時,會發現shadow文件只有root用戶具有所有權限,其余所有都沒喲任何權限,shadow文件是保存各個用戶密碼相關

SUID,SGIDSBIT

命令 splay lena size file style sgid 所有 pla SUID:文件執行者可以暫時獲得文件所有者的身份; 註意事項: Θ只有可執行的二進制文件才能設定SUID權限,也可以給文件夾添加SUID權限,不會報錯,但沒有意義; Θ命令執行者必須對文件有

linux檔案許可權suid,sgid,貼上位

rwx和UGO這些許可權很好理解。 下面主要總結suid,sgid,貼上位。之所以總結是因為我曾經把這個概念弄懂過,但是沒過幾天我就給忘記了,所以還是踏踏實實記錄下來吧。 要理解這些特殊許可權最好是結合《深入理解linux核心》這本書來。 檔案的特殊許可權SUID/SGID

【Linux】檔案特殊許可權 SUID/SGID/Sticky Bit

linux中除了常見的讀(r)、寫(w)、執行(x)許可權以外,還有3個特殊的許可權,分別是setuid、setgid和stick bit 1、setuid、setgid 先看個例項,檢視你的/usr/bin/passwd 與/etc/passwd檔案的許可權 [[email pr

IOS 專案協作開發遇到apple push notification 提示開發者許可權enrolled需求提示

和同事協作開發ios專案,在同事添加了 apple push  apn 證書及遠端訊息提醒程式碼後,程式碼同步到另一個賬戶時提示開發賬號沒有遠端訊息提醒許可權,需重新註冊,但賬號已為開發者賬號,xcode7.1.1中的Capabilities選項卡中又沒有apple pus

suid sgid sticky-bit 三種特殊許可權簡介

三種特殊許可權簡介SUID當一個設定了SUID 位的可執行檔案被執行時,該檔案將以所有者的身份執行,也就是說無論誰來執行這個檔案,他都有檔案所有者的特權。如果所有者是 root 的話,那麼執行人就有超級使用者的特權了。SGID當一個設定了SGID 位的可執行檔案執行時,該檔

SUID&SGID&Sticky&setfacl

suid sgid sticky setfacl 一、特殊權限文件: ls -l /bin/passwd 特殊權限:SUID,SGID,STICKY 進程的權限取決於發起者:用戶 屬主--->屬組--->其他人 //根據文件的權限位置進行匹配 //這就叫做安全上下文 安全上下文:

024特殊權限suid,sgid,sticky

suid sgid sticky 特殊權限suid,sgid,sticky查看umask(set_uid=4,set_gid=2,stick_bit=1)set_uid(給普通用戶擁有當前文件用戶的執行權)ls -l 可以看見文件屬性(執行二進制文件)(root用戶不受限制)chmod u+s X

特殊權限 suid sgid sticky

chmod u+s passwd 屬組 uid 執行權 如果 目錄 u+ -s passwd:sSUID: 運行某程序時,相應進程的屬主是程序文件自身的屬主,而不是啟動者 chmod u+s filename chmod u-s filename 如果fi

Linux淺談SUID,SGID,Sticky粘滯位對目錄以及文件的相關作用

刪除文件 分配 神奇 淺談 出了 哪裏 配置 cdd 可執行程序 我們知道在Linux中,root管理員的權限是很大的,能夠支持執行絕大部分程序以及命令進而對文件進行相對應的修改,寫入。當然這些作用只能體現在root管理員上。但是有一個現象,有些普通用戶是可以通過p

centos下svn分組許可權管理

1、開啟svn安裝目錄。可以通過ps aux|grep svn 查詢svn的安裝目錄 2、編輯svnserve.conf, 基本保留這些內容 [general] anon-access=none auth-access=write password-db=passwd // 這裡可