2. 程式人生 > >這三種特殊許可權(suid、sgid、sticky)

這三種特殊許可權(suid、sgid、sticky)

阿新 發佈:2019-01-01
先看看這兩個檔案的許可權: [[email protected] ~]# ls -ld /usr/bin/passwd  /tmp drwxrwxrwt 4 root root  4096 Jun  2 17:33 /tmp -rwsr-xr-x 1 root root 22984 Jan  7  2007 /usr/bin/passwd 這裡的s和t是針對執行許可權來講的。 這個s許可權,是為了讓一般使用者臨時具有該檔案所屬主/組的執行許可權。就比如/usr/bin/passwd在執行它的時候需要去修改/etc/passwd和/etc/shadow等檔案,這些檔案除了root外,其他使用者都沒有寫許可權,但是又為了能讓普通使用者修改自己的密碼,只能時臨時讓他們具有root的許可權。所以這個s許可權就是用來完成這個特殊任務的。s許可權只能應用在二進位制的可執行檔案上。 如果你不想讓普通使用者修改自己的密碼,只需要 [
[email protected] ~]# chmod u-s /usr/bin/passwd  或者 [[email protected] ~]# chmod 0755 /usr/bin/passwd 0755最前面的0表示不使用任何特殊許可權,該位上的數字可以是0,1(--t),2(-s-),3(-st),4(s--),5(s-t),6(ss-),7(sst) 那個t許可權只針對目錄生效,它表示只能讓所屬主以及root可以刪除(重新命名/移動)該目錄下的檔案。比如/tmp目錄本來就是任何使用者都可以讀寫,如果別人可以任意刪除(重新命名/移動)自己的檔案,那豈不是很危險。所以這個t許可權就是為了解決這個麻煩的。下面舉一個例子,說明一下這個許可權的用法: drwxrwxrwt 2 root root 4096 Jun  2 18:10 test total 4 -rw-r--r-- 1 test1 test 0 Jun  2 18:12 1.txt [
[email protected] tmp]$ ls -l test/1.txt -rwxrwxrwx 1 test1 test 6 Jun  2 18:12 test/1.txt rm: cannot remove `test/1.txt': Operation not permitted 提示不能刪除1.txt 去掉t許可權。 drwxrwxrwx 2 root root 4096 Jun  2 18:13 test [[email protected] tmp]$ rm -f test/1.txt 再次刪除,則刪除成功。 ls: test/1.txt: No such file or directory ----------------------------------------------------------------------------------------------- 2,特殊許可權使用
 前面我們學習過linux的基本許可權,但如果只有基本許可權,可能無法滿足各式各樣的要求 例如:建立一個公共目錄任何人都可以在目錄裡建立自己的檔案,但只能刪除自己的檔案,此時基本許可權就無能為力了. 如果你想要完成這種需求就必須要藉助linux的特殊許可權;特殊許可權可以更精密的定義檔案的許可權; 之前我們看到的umask0022,其中第一個0就是描述的特殊許可權. 這類特殊許可權共有三種; suid  sgid  sticky 那現在來看下第一個特殊許可權 suid 限定:只能設定在二進位制可執行程式上,對目錄無效和文字無效 功能:不管誰來執行程式,linux都以程式的擁有者身份進入許可權獲取流程中從而決定存取許可權,相當於許可權下發 特徵:uesr位的x顯示為Ss,s代表包含了x許可權,S代表未包含x許可權 試驗演示: 試驗一:使用者修改密碼藉助root身份   # ll /usr/bin/passwd              -rwsr-xr-x 1 root root  /usr/bin/passwd          # chmod u-s /usr/bin/passwd          # ll /usr/bin/passwd              -rwxr-xr-x 1 root root  /usr/bin/passwd          # su - aming          $ passwd              Changing password for user seker.              Changing password for seker              (current) UNIX password:              passwd: Authentication token manipulation error          $ 試驗二:使用者無法讀取/etc/shadow,借用root身份使用cat命令則可 # ll /etc/shadow           ---------- 1 root root  /etc/shadow          # su - aming          $ cat /etc/shadow              cat: /etc/shadow:許可權不夠          $ exit              logout          # chmod u+s /bin/cat          # su - aming          $ cat /etc/shadow              root:$1$EV/a2BnK$pRN0qjwqLf8zvpK8w1MFT.:14360:0:99999:7::: 瞭解了suid,我們再來看看sgid 限定:sgid既可以作用於二進位制檔案又可以作用於目錄,但兩者的意義卻截然不同 功能: 先說在二進位制檔案上,與前面講的SUID類似:不管是誰來執行,都以檔案的所屬組身份來決定許可權 大家自己測試,跟suid一樣 再說作用於目錄上:預設情況下使用者建立檔案時,檔案的所屬組是使用者的主組,如果在設定了SGID目錄下建立檔案,則檔案的所屬組是繼承目錄的屬組,並且新建立的目錄也繼承g+s許可權 特徵:group位的x顯示為Ss,s代表包含了x許可權,S代表未包含x 試驗一:       # mkdir /public          # chmod 777 /public          # chmod g+s /public          # su - lishiming          $ cd /public          $ mkdir lishiming          $ ls -l lishiming -d              -rwxr-xr-x 1 lishiming root lishiming          $ touch sgid_yes          $ ll sgid_yes              -rw-rw-r-- 1 lishiming root sgid_yes
sticky 冒險位(黏貼位) 限定:只作用於目錄 功能:任何人都可以在一個目錄下建立檔案,卻只有root和建立者本人才可以刪除檔案 特徵:other位的x顯示為Tt,t代表包含了x許可權,T代表未包含x許可權          # chmod o+t /public               drwxrwxrwt 5 root root /public          # su - lishiming          $ cd /public               -rw-r--r-- 1 leiqin leiqin test-file          $ rm -rf test-file               rm:無法刪除“test-file:不允許的操作 (充分說明lishiming這個賬戶在/public目錄下無法刪除leiqin這個使用者的檔案,雖然/public的目錄許可權是777)

相關推薦

特殊許可權suidsgidsticky

先看看這兩個檔案的許可權: [[email protected] ~]# ls -ld /usr/bin/passwd  /tmp drwxrwxrwt 4 root root  4096 Jun  2 17:33 /tmp -rwsr-xr-x 1 root root 22984 Jan  7 

suid sgid sticky-bit 特殊許可權簡介

三種特殊許可權簡介SUID當一個設定了SUID 位的可執行檔案被執行時,該檔案將以所有者的身份執行,也就是說無論誰來執行這個檔案,他都有檔案所有者的特權。如果所有者是 root 的話,那麼執行人就有超級使用者的特權了。SGID當一個設定了SGID 位的可執行檔案執行時,該檔

Linux之特殊許可權SUID/SGID/SBIT

特殊許可權的介紹Set UID當s這個標誌出現在檔案所有者的x許可權上時,如/usr/bin/passwd這個檔案的許可權狀態:“-rwsr-xr-x.”,此時就被稱為Set UID,簡稱為SUID。那麼這個特殊許可權的特殊性的作用是什麼呢?1、SUID許可權僅對二進位制程式

Linux檔案的特殊許可權SUIDSGID,SBIT

SUID 具有該許可權的檔案的所有者的x標誌會被s標誌取代。 該許可權僅對二進位制可執行檔案有效。 執行該檔案的使用者(當然這個使用者必須具有對該檔案的可執行許可權)將會暫時獲得該檔案所有者的許可權,這種效果僅在執行該檔案的過程中有效。 例項: 當普通使用者使用命令p

Linux 檔案目錄特殊許可權設定(SUIDSGID,SBIT)

Linux檔案及目錄的許可權設定,除了我們孰知的讀寫執行(rwx)之外,還有一些特殊的許可權設定用來滿足特定的目錄。這些特殊許可權的設定主要是SUID,SGID以及SBIT。這幾個值並非一個單獨的rwx,而是在檔案或目錄上的x許可權上做動作,來達到實現檔案或目錄

關於最大公約數的解法之一歐幾里得演算法

亞歷山大時期的歐幾里得所著的《幾何原本》中這樣定義了最大公約數的演算法,兩個不全為0的非負整數m,n的最大公約數記為gcd(m,n),代表能夠整除(即餘數為0)m,n的最大正整數。歐幾里得演算法的方法就是重複應用下列等式,一直到m  mod n等於0。            

動畫效果Frame, View, Property實現

> 動畫效果(Frame, View, Property)的區別: 動畫通過不斷的呼叫OnDraw方法來進行UI的繪製,而屬性動畫一般只調用ViewGroup進行繪製。 ViewGroup的繪製: ViewGroup通常是不需要繪製的,因為本身就沒有需要繪製的東西。

CentOS6.5下搭建ftp服務器認證模式:匿名用戶本地用戶虛擬用戶

所有者 start 生效 用戶權限 密碼 新建 over 使用 則無 CentOS 6.5下搭建ftp服務器 vsftpd(very secure ftp daemon,非常安全的FTP守護進程)是一款運行在Linux操作系統上的FTP服務程序,不僅完全開源而且免費,此外,

深入理解【缺頁中斷】及FIFOLRUOPT置換算法

利用 剔除 存在 table repl 重新 PE 刪除 上下文 缺頁中斷(英語:Page fault,又名硬錯誤、硬中斷、分頁錯誤、尋頁缺失、缺頁中斷、頁故障等)指的是當軟件試圖訪問已映射在虛擬地址空間中,但是目前並未被加載在物理內存中的一個分頁時,

oracle的row_number()over rank()over和dense_rank()over分析函數(轉)

from 聚合 數值 空值 cor net 排名 sel () 假設現在有一張學生表student,學生表中有姓名、分數、課程編號,現在我需要按照課程對學生的成績進行排序。 select * from student 1. rank over ()可以實現對學生排名,特點

作業系統8程序--同步互斥介紹;同步問題的解決方案:禁用硬體中斷基於軟體更高階抽象

文章目錄 1. 背景 2. 同步問題的一個例子 3. 同步問題的初步解決方案 1. 方法一 禁用硬體中斷 2. 方法二 基於軟體的同步辦法 3. 方法三 更高階的抽象方法

JavaSE之特殊String類

String類的兩種例項化方式  (1)、直接賦值: public class Test1{ public static void main(String[] args) { String str = "hello"; // str是一個物件,

selenium模組選擇器idcssxpath

三種查詢元素方式 :id、css、xpath 最常用xpath,css更靈活。 from selenium import webdriver from selenium.webdriver import ActionChains from selenium.webdriver.commo

selenium方法isEnableisDisplayed和isSelected()的區別

isEnable()、isDisplayed()和isSelected()  1、以上三個為布林型別的函式  2、isEnable用於儲存input、select等元素的可編輯狀態,可以編輯返回true,否則返回false  3、isDisplayed()這個有點陌生,在大神

C# 委託的呼叫示例同步呼叫非同步呼叫非同步回撥

首先,通過程式碼定義一個委託和下面三個示例將要呼叫的方法: 程式碼如下: public delegate int AddHandler(int a,int b); public class 加法類 { public static int A

梯度下降法的形式BGD批量梯度下降SGD隨機梯度下降以及MBGD小批量梯度下降

在應用機器學習演算法時,我們通常採用梯度下降法來對採用的演算法進行訓練。其實,常用的梯度下降法還具體包含有三種不同的形式,它們也各自有著不同的優缺點。   下面我們以線性迴歸演算法來對三種梯度下降法進行比較。   一般線性迴歸函式的假設函式為:          

斐波那契數列的實現方式遞迴迴圈矩陣

《劍指offer》裡講到了一種斐波那契數列的 O(logN) 時間複雜度的實現,覺得挺有意思的,三種方法都記錄一下。 一、遞迴     一般來說遞迴實現的程式碼都要比迴圈要簡潔,但是效率不高,比如遞迴計算斐波那契數列第n個元素。 long long Fibonacci

.NET Core採用的全新配置系統[6]: 深入瞭解針對檔案JSONXML與INI的配置源

物理檔案是我們最常用到的原始配置的載體,最佳的配置檔案格式主要由三種,它們分別是JSON、XML和INI,對應的配置源型別分別是JsonConfigurationSource、XmlConfigurationSource和IniConfigurationSource。 [ 本文已經同步到《ASP.NET Co

JspVelocityFreeMarker模板引擎的區別

        模板引擎是Web方向的重要方向之一,收集了一下網路上關於JSP、Velocity、FreeMarker的應用,將幾種模板引擎技術進行簡要的介紹,希望大家能夠得到自己想要的結果。 JS

Android動畫View Animation(補間動畫) Drawable Animation(幀動畫) Property Animation(屬性動畫)

轉載:http://blog.csdn.net/lmj623565791/article/details/38092093 三種動畫的優缺點: (1)Frame Animation(幀動畫)主要用於播放一幀幀準備好的圖片,類似GIF圖片,優點是使用簡單