2. 程式人生 > >Linux之特殊許可權

Linux之特殊許可權

阿新 發佈:2018-11-22

特殊許可權(基於執行權的)

1、suid 設定使用者編號

只針對檔案

suid 作用:給一個執行檔案設定該許可權後,任何能夠執行該檔案的

使用者都以該檔案擁有者的身份去執行

設定完畢後所屬組位置的x會被替換為s,若s小寫則表示所屬人的執行許可權還在,

若S大寫則表示所屬人的執行許可權不在

例子:/usr/bin/passwd檔案的許可權是-rwsr-xr-x,普通使用者(other)對該檔案無w許可權,但因為有x許可權,且具有suid的特殊許可權,所以以該檔案擁有者(root)的身份去執行,在執行該檔案過程中擁有root賬戶的許可權,從而可以實現修改密碼

設定方法

chmod u+s 檔案路徑

-rwxr-xr-x. 1 root root 2289656 Jun 10 2014 /usr/bin/vim

注:SetUID很危險,如果把vim命令設定了SUID,那麼普通使用者就可以用vim修改系統所有配置檔案,比如把/etc/passwd檔案中自己的使用者分類修改成0(超級使用者)。

2、Sgid 設定組編號

針對檔案時:

給一個執行檔案設定該許可權後,任何能夠執行此檔案的

使用者都以該檔案的屬組的身份去

執行

設定完畢後所屬組位置的x會被替換為s,若s小寫則表示所屬人的執行許可權還在,若S大寫則表示所屬人的執行許可權不在

針對目錄時:

許可權的繼承,給目錄設定sgid許可權後

任何人在此目錄下

建立內容,內容的屬組與該目錄所屬組一致,

設定完畢後所屬組位置的x會被替換為s,若s小寫則表示所屬人的執行許可權還在, 若S大寫則表示所屬人的執行許可權不在

設定方法

chmod g+s 路徑 /share

設定完畢後所屬組位置的x會被替換為s,若s小寫則表示所屬人的執行許可權還在,

若S大寫則表示所屬人的執行許可權不在

例子: 在/tmp 目錄下新建一個目錄,設定sgid 許可權後,新建使用者,在/tmp目錄中新建目錄,檢視許可權

3、sbit 對許可權的收縮

只對目錄有效,一旦設定,那麼該目錄中存放的內容只能被內容的所屬人刪除,也就是說使用者在該目錄下只能刪除屬於自己的檔案

設定方法

chmod o+t 目錄路徑

設定完畢後其他人位置的x會被替換為t,若t小寫則表示所屬人的執行許可權還在,

若T大寫則表示所屬人的執行許可權不在

SUID/SGID/SBIT許可權設定

有兩種方式,一種是以字元,一種是以數字。

特殊許可權 數字表達 許可權設定方法

suid 4

sgid 2

sbit 1

下面我們就來看看如何設定,並看看達到的效果。

先看SUID的作用及設定

ls -l /usr/bin/vim

-rwxr-xr-x. 1 root root 2289656 Jun 10 2014 /usr/bin/vim 是一個二進位制檔案

講vim 命令賦予 suid 許可權

chmod u+s /usr/bin/vim

-rwsr-xr-x. 1 root root 2289656 Jun 10 2014 /usr/bin/vim

我們使用 vim 直接編輯我們的/etc/passwd 這個存放使用者資訊的檔案,看看其他使用者能否編輯(在不設定suid 的情況下肯定其他使用者是不可以編輯的)

su - hjk

vim /etc/passwd

切換到hjk普通使用者上,我們可以直接把hjk使用者的uid 改為0

那就表示 我們的hjk 使用者借用了我們vim 擁有者的root的身份去執行

這樣會給我們的系統造成很大的威脅 , 所以 請善用 suid 許可權

接著看 sgid 的效果

這裡我就直接演示 目錄設定sgid 許可權的效果

給/tmp 目錄設定sgid 許可權後,切換使用者,在/tmp目錄中新建目錄,檢視許可權

ls -ld /tmp

drwx---rwx. 10 root root 4096 Apr 11 22:37 /tmp

任何使用者都可以在/tmp 目錄下去建立內容

chmod g+s /tmp

ls -ld /tmp

su - hjk

cd /tmp

mkdir test

我們發現 建立的test 目錄的所屬組 變為了我們 父目錄tmp 目錄的所屬組root

這就表明,我們在此目錄下建立內容,我們的root管理員都可以進行管理

最後 我們 看下 sbit 許可權的效果

同樣 我們還是以 /tmp 目錄作為例子 ,設定 sbit 許可權

[[email protected] tmp]# ls -ld /tmp

drwx---rwx. 9 root root 4096 Apr 11 22:51 /tmp

[[email protected] tmp]# chmod o+t /tmp 設定sbit 許可權

[[email protected] tmp]# ls -ld /tmp

drwx---rwt. 9 root root 4096 Apr 11 22:51 /tmp

su - hjk 切換到 hjk 普通使用者上

mkdir /tmp/test

ls -ld/tmp/test

drwxrwxr-x 2 hjk hjk 4096 Apr 11 22:54 test

su - test 切換到 test 普通使用者上

mkdir /tmp/hjk

ls -ld /tmp/hjk

drwxrwxr-x 2 test test 4096 Apr 11 22:57 hjk

看看是否可以刪除 hjk 使用者的test 目錄

rm -rf test

許可權拒絕

那麼 ,我們就可以得到結論,任何使用者在設定sbit 的目錄下建立的內容只能自己和root 超級管理員可以管理,其他使用者沒有許可權管理!

ok ,那我們 標準的共享目錄的許可權 就是 3777 (sgid + sbit )

裝載自:https://baijiahao.baidu.com/s?id=1597532383959518765&wfr=spider&for=pc

相關推薦

Linux特殊許可權

特殊許可權(基於執行權的) 1、suid 設定使用者編號 只針對檔案 suid 作用:給一個執行檔案設定該許可權後,任何能夠執行該檔案的 使用者都以該檔案擁有者的身份去執行 設定完畢後所屬組位置的x會被替換為s,若s小寫則表示所屬人的執行許可權還在, 若S大寫則表示所屬人的執

Linux特殊許可權及facl

Linux特殊許可權 Linux引入suid、sgid、sticky這三種特殊許可權,能夠更加方便、有效和安全地控制檔案。     當在一個目錄或檔案上加入suid特殊許可權時,如過原來目錄或檔案的屬主具有x(執行)許可權,就會用小寫的s來替代x;如果原來檔案或目錄不具有

Linux特殊許可權(SUID/SGID/SBIT)

特殊許可權的介紹Set UID當s這個標誌出現在檔案所有者的x許可權上時,如/usr/bin/passwd這個檔案的許可權狀態:“-rwsr-xr-x.”,此時就被稱為Set UID,簡稱為SUID。那麼這個特殊許可權的特殊性的作用是什麼呢?1、SUID許可權僅對二進位制程式

linux -- 檔案特殊許可權和程序

<0>.建立目錄和檔案的預設許可權[umask] (1)umask ---> 檢視系統目錄預設預留許可權位;檔案預設預留許可權位 ---> 目錄許可權減去<111> (2)umask 007 ---> 臨時修改系統目錄預設預留許可權位 為 00

LINUX學習—特殊許可權

passwd:s SUID: 執行某程式時,相應程序的屬主是程式檔案自身的屬主,而不是啟動者; chmod u+s FILE chmod u-s FILE 如果FILE本身原來就有執行許可權,則SUID顯示s;否則顯示為S SGID:執行某程式時,相應程序的屬組是程式檔案自身的屬主

Linux特殊許可權

一、關於SUID: SUID的目的就是讓本來沒有相應許可權的使用者執行這個程式時,可以訪問到他沒有許可權訪問的資源。例如:/usr/bin/passwd,許可權為:-rwsr-xr-x 。某個使用者執行passwd命令時就擁有了root許可權,因此才能修改/etc/shad

linux檔案 特殊許可權的使用

1.說明 i屬性不能修改 a只能追加在6以後 [[email protected] ~]# chattr +i a.txt [[email protected] ~]# chattr +a a.txt [[email protected] ~]# lsattr-------

Linux檔案特殊許可權SUID,SGID,SBIT

SUID:Set UID (s) 當s這個標誌出現在檔案的擁有者(owner)的x許可權上時,此時稱為Set UID,簡稱為SUID的特殊許可權。例如:/usr/bin/password [[email protected] ~]# ls -l /usr/bin

Linuxacl許可權

ACL許可權是為了解決身份不夠的問題,預設的身份只有三個,使用者,使用者組,其他人,在一些特殊情況下不能滿足要求。 在預設的情況下,每個分割槽都是支援ACL許可權的,可以通過dumpe2fs /dev/sda?來檢視,如果不支援,手動新增即可,在/etc/fstab下修改defalu

Linux檔案許可權管理命令

一、檢視檔案屬性。 1、命令ls -l filename 檢視長格式形式檢視檔案詳細屬性。 ls -l file1 ##檢視檔案file1的詳細屬性 結果: - |rw-r--r--| 1 |kiosk| kiosk| 0| Jul 21 09:18 | file

Linux sudo許可權

1、當我們許可權不夠時可以使用sudo $sudo cat /dev/null > /var/log/wtmp 但是使用sudo一樣會提示許可權不夠,因為sudo只能讓cat命令以sudo許可權執行,而對於>符號沒有sudo許可權,可是使用 $sudo sh

Linux檔案特殊許可權——SetUID、SetGID、Sticky BIT

對於 SetUID、SetGID、Sticky BIT 這三個檔案特殊許可權,分別介紹如下: 1. SetUID 許可權 只有可以執行的二進位制程式才能設定SetUID許可權,並且命令執行者要對該程式

Linux特殊的環境變量IFS以及如何刪除帶有空格的目錄

ping skip 系統 但是 成了 有時 我們 直接 nal 1、IFS是什麽? Linux下有一個特殊的環境變量叫做IFS,叫做內部字段分隔符(internal field separator)。IFS環境變量定義了bash shell用戶字段分隔符的一系列字符。默認情

Linux 學習路(九):特殊許可權及終端

特殊許可權及SUID xargs find /etc -size +1M -exec echo {} >> /tmp/etc.largefiles\; find /etc -size +1M | xargs echo >> /tmp/et

linux特殊的檔案許可權ACL許可權

1、ACL許可權簡介 按之前學習的linux基本許可權的知識,linux中的一個檔案(或資料夾)有三個使用者身份,所有者,所屬組,其他人等。在上圖,如果給一個資料夾/av設定所有者Tony為:rwx許可權,所屬組stu為:rwx許可權,其他人為無許可權,但現在想給老王設定許可權:r-x許可

Linux Shell編程特殊變量

Linux Bash編程的簡單操作$0 這個是腳本文件的路徑本身(相對路徑)如果當前目錄下有執行腳本文件,就不能寫絕對路徑進行執行。$# 這個變量用來記錄輸入參數的個數6就是本次執行命令時輸入的參數個數。$* 這個變量記住了所有輸入的參數$@ 這個變量也記住了所有輸入的參數那麽$@ 和$* 有什麽區別的?$@

Linux組管理和許可權管理【重點】

一、Linux組基本介紹 在linux中的每個使用者必須屬於一個組,不能獨立於組外。在linux中每個檔案 有所有者、所在組、其它組的概念。 1) 所有者 2) 所在組 3) 其它組 4) 改變使用者所在的組 示意圖如下: 二、檔案/目錄 所有者 一般為檔案的

Linux 使用者、許可權 Linux文件與目錄結構

  目錄結構 Linux和Windows目錄結構的組織形式有很大不同,   Windows     劃分出了“盤”的概念(C盤、D盤、E盤),已經建立檔案系統的硬碟分割槽被掛載到某一個目錄下,使用者通過操作目錄來實現磁碟讀寫。     以反斜槓(\)分割目錄   Linu

Linux s、t、x特殊許可權

當s許可權在檔案所有者 x 許可權上時,即當執行該檔案時將具有該檔案所有者的許可權。 s:當s許可權在檔案組 x 許可權上時,執行者在執行該檔案時將具有該檔案所屬組的許可權。 t:當t許可權在other x許可權上時,任何人都可以在目錄內新增、修改檔案,但是隻有該檔案或目錄的建立都與

linux基礎篇(二):基於Redhat7系統的特殊許可權與acl許可權列表

新建目錄和檔案的預設許可權 新建目錄和檔案的預設許可權是由系統中umask值來決定的。 新建FILE許可權:666-umask (對位相減)    由數字法賦許可權的過程中,我們能夠發現,凡是奇數許可權,總是包含執行許可權的。而一個檔案如果預設就包含執行許可權其實是非常危險的。因此如果所