2. 程式人生 > >Linux檔案特殊許可權——SetUID、SetGID、Sticky BIT

Linux檔案特殊許可權——SetUID、SetGID、Sticky BIT

阿新 發佈:2019-02-03

對於 SetUID、SetGID、Sticky BIT 這三個檔案特殊許可權,分別介紹如下:

1. SetUID 許可權

只有可以執行的二進位制程式才能設定SetUID許可權,並且命令執行者要對該程式擁有x(執行)許可權。對於設定了 SetUID 許可權的命令來說,其功能是命令執行者在執行該程式檔案時獲得該程式檔案所有者的身份。SetUID 許可權只在該程式執行過程中有效,也就是說身份改變只在程式執行過程中有效。

例如:

使用者真正的加密密碼存在於 /etc/shadow 檔案中,通過 passwd 命令修改密碼即是修改 /etc/shadow 檔案,通過 ll 命令可以看出該檔案的許可權為 000:


所以按道理說,一個普通使用者是不能修改自己的密碼的,但事實上是可以做到的。我們再通過 ll 命令檢視 passwd 命令:



可以看到其所有者許可權上有一個 s,這個 s 就表示 passwd 命令擁有 SetUID 許可權。因此,一個普通使用者在執行 passwd 命令時會獲得它的所有者 root 的身份,而 root 是可以修改 /etc/shadow 檔案的,從而一個普通使用者可以可以修改自己的密碼。
再檢視 cat 命令,發現它沒有 SetUID 許可權:


所以普通使用者不能檢視 /etc/shadow 檔案內容。
可以通過下圖來理解:


設定與取消 SetUID 的方法如下:
在所有者許可權之前加上 4 代表SetUID,設定方法為:chmod 4755 檔名,相應的取消 SetUID 方法為:chmod 755 檔名


還有設定方法為: chmod u+s 檔名,相應的取消 SetUID 方法為:chmod u-s 檔名

例如:


SetUID 許可權是存在一定的危險的,使用 SetUID 要注意以下三點:

  • 關鍵目錄應嚴格控制寫許可權,比如 /、/usr、/etc 等 ;
  • 使用者的密碼設定要嚴格遵守密碼三原則;
  • 對系統中預設應該具有 SetUID 許可權的檔案作一列表,定時檢查有沒有這些之外的檔案被設定了 SetUID 許可權。

2. SetGID 許可權

可以對可執行的二進位制程式檔案設定 SetGID 許可權,也可以對目錄設定 SetGID 許可權。
(1)  SetGID 針對檔案的作用
對於檔案只有可執行的二進位制程式才能設定 SetGID 許可權,並且命令執行者要對該程式擁有 x(執行)許可權。對於設定了 SetGID 許可權的二進位制程式來說,

命令執行者在執行程式的時候,組身份升級為該程式檔案的所屬組。SetGID 許可權同樣只在該程式執行過程中有效,也就是說組身份改變只在程式執行過程中有效。
例如:
對於 locate 命令,一個普通使用者可以通過它在檔案資料庫 /var/lib/mlocate/mlocate.db 中查詢檔案。下面先看一下檔案資料庫的許可權:


可以看到,從其許可權來看普通使用者對其是沒有任何許可權的,那為什麼卻可以訪問該檔案呢?
下面再看一下 locate 命令的許可權:


/usr/bin/locate是可執行二進位制程式,可以賦予SetGID,看到它的所屬組許可權上有一個 s,這個 s 就表示 locate 命令擁有SetGID 許可權。普通使用者對 /usr/bin/locate 命令擁有執行許可權因此,一個普通使用者在執行 locate 命令時組身份會升級為 locate 命令的所屬組 slocate,而 slocate 對檔案資料庫 /var/lib/mlocate/mlocate.db 擁有 r(讀)許可權,所以locate 命令可以訪問檔案資料庫,從而普通使用者可以通過 locate 命令查詢檔案。當然,命令結束後普通使用者的組身份返回為它原來的所屬組。

(2) SetGID 針對目錄的作用
普通使用者必須對一個目錄擁有r和x許可權,才能進入此目錄。對於設定了 SetGID 許可權的目錄來說,普通使用者在此目錄中的有效組會變成此目錄的所屬組,若普通使用者對此目錄擁有w許可權時,在目錄中新建的檔案的預設所屬組是這個目錄的所屬組。
例如:


設定與取消 SetGID 的方法如下:
在所有者許可權之前加上 2 代表SetGID,設定方法為:chmod 2755 檔名,相應的取消 SetGID 方法為:chmod 755 檔名。 
還有設定方法為: chmod g+s 檔名,相應的取消 SetGID 方法為:chmod g-s 檔名

(3) Sticky BIT 許可權

Sticky BIT 表示的是粘著位,主要是用來避免其他使用者對檔案的誤操作。
粘著位目前只對目錄有效,普通使用者要對該目錄擁有w和x許可權,即普通使用者可以在此目錄擁有寫入許可權。如果沒有粘著位,因為普通使用者擁有w許可權,所以可以刪除此目錄下所有檔案,包括其他使用者建立的檔案。一但賦予了粘著位,除了root可以刪除所有檔案,普通使用者就算擁有w許可權也只能刪除自己建立的檔案,但是不能刪除其他使用者建立的檔案。
例如:
最常見的系統中擁有粘著位的目錄是 /tmp,通過檢視許可權可以看到 /tmp 的其他人許可權有一個 t,表示擁有粘著位,即擁有 Sticky BIT 許可權:


設定與取消粘著位 Sticky BIT 許可權如下:
設定粘著位 :chmod 1777 目錄名  或  chmod o+t 目錄名
取消粘著位 :chmod 777 目錄名  或  chmod o-t 目錄名

相關推薦

Linux檔案特殊許可權——SetUIDSetGIDSticky BIT

對於 SetUID、SetGID、Sticky BIT 這三個檔案特殊許可權,分別介紹如下: 1. SetUID 許可權 只有可以執行的二進位制程式才能設定SetUID許可權,並且命令執行者要對該程式

linux -- 檔案特殊許可權和程序

<0>.建立目錄和檔案的預設許可權[umask] (1)umask ---> 檢視系統目錄預設預留許可權位;檔案預設預留許可權位 ---> 目錄許可權減去<111> (2)umask 007 ---> 臨時修改系統目錄預設預留許可權位 為 00

linux檔案 特殊許可權的使用

1.說明 i屬性不能修改 a只能追加在6以後 [[email protected] ~]# chattr +i a.txt [[email protected] ~]# chattr +a a.txt [[email protected] ~]# lsattr-------

Linux檔案特殊許可權SUID,SGID,SBIT

SUID:Set UID (s) 當s這個標誌出現在檔案的擁有者(owner)的x許可權上時,此時稱為Set UID,簡稱為SUID的特殊許可權。例如:/usr/bin/password [[email protected] ~]# ls -l /usr/bin

Linux檔案和目錄的粘滯位(sticky bit)

今天維護系統時發現一個非常詭異的問題:AAA使用者和BBB使用者同屬AAA組,但用AAA使用者建立的檔案,許可權設定為777後,還是不能用BBB使用者刪除。詭異!        幾經週轉,發現AAA使用者建立檔案位置的上層目錄的許可權是drwxrwxrwt

Linux檔案目錄許可權隱藏屬性特殊許可權

一、 Linux檔案及目錄許可權概念 1.1 檢視目錄或者檔案的許可權   “ls -al”命令可以檢視 1.2 目錄及檔案許可權分析 從上面的圖中可以看到,目錄或者檔案的屬性欄位為:   - - - - - - - - - - 從左至

setuidsetgidsticky許可權簡單用法

如何設定setuid、setgid、sticky的許可權: setuid :置於 u 的 x 位,原位置有執行許可權,就置為 s,沒有了為 S .  chmod 4xxx file  chmod u+s xxx file setgid:置於 g 的 x 位,原位置有執行許可權,就置

shell命令以及執行原理檢視或修改掩碼(umask)Linux許可權管理Linux設定檔案訪問許可權(chmod)粘滯位修改檔案的擁有者(chown)修改檔案的所屬組(chgrp)

shell命令以及執行原理:   Linux嚴格意義上說的是一個作業系統,我們稱之為”核心”,但是我們普通使用者,不能直接使用核心,而是通過核心的”外殼”程式,也就是所謂的shell,來與核心溝通。   Linux中的命令大多數都是可執行程式。但其實捕捉我們

Linux許可權管理 檔案特殊許可權

除了我們前面介紹的rwx許可權外,Linux中還有另外三種特殊許可權:SUID,SGID,SBIT   許可權    執行條件 執行示例 SUID s出現在檔案所有者的x許可權上。 1. SUID只能用於

linux學習筆記6-linux檔案特殊許可權

linux的檔案特殊許可權1、特殊許可權lsattr  列出檔案的特殊許可權,-R可以檢視目錄下所有檔案的特殊許可權;chattr  +i  filename   增加檔案的鎖定許可權,鎖定後,無法進行

Linux檔案特殊許可權 SUID/SGID/Sticky Bit

linux中除了常見的讀(r)、寫(w)、執行(x)許可權以外,還有3個特殊的許可權,分別是setuid、setgid和stick bit 1、setuid、setgid 先看個例項,檢視你的/usr/bin/passwd 與/etc/passwd檔案的許可權 [[email pr

linux檔案與目錄的基本操作linux命令(cptar歸檔lscdtrsumorelessvicat等)

  1、Linux下的目錄結構: /:根目錄,一般根目錄下只存放目錄,不要存放檔案,/etc、/bin、/dev、/lib、/sbin應該和根目錄放置在一個分割槽中 /bin:/usr/bin:可執行二進位制檔案的目錄,如常用的命令ls、tar、mv、cat等。 /boot

Linux檔案系統許可權詳解

Linux許可權說明: 444 r--r--r-- 600 rw------- 644 rw-r--r-- 666 rw-rw-rw- 700 rwx------ 744 rwxr--r-- 755 rwxr-xr-x 777 rwxrwxrwx

LINUX學習—特殊許可權

passwd:s SUID: 執行某程式時,相應程序的屬主是程式檔案自身的屬主,而不是啟動者; chmod u+s FILE chmod u-s FILE 如果FILE本身原來就有執行許可權,則SUID顯示s;否則顯示為S SGID:執行某程式時,相應程序的屬組是程式檔案自身的屬主

Linux特殊許可權

特殊許可權(基於執行權的) 1、suid 設定使用者編號 只針對檔案 suid 作用:給一個執行檔案設定該許可權後,任何能夠執行該檔案的 使用者都以該檔案擁有者的身份去執行 設定完畢後所屬組位置的x會被替換為s,若s小寫則表示所屬人的執行許可權還在, 若S大寫則表示所屬人的執

Linux特殊許可權及facl

Linux特殊許可權 Linux引入suid、sgid、sticky這三種特殊許可權,能夠更加方便、有效和安全地控制檔案。     當在一個目錄或檔案上加入suid特殊許可權時,如過原來目錄或檔案的屬主具有x(執行)許可權,就會用小寫的s來替代x;如果原來檔案或目錄不具有

linux 檔案訪問許可權chmod

常用下面這條命令: chmod 777  檔案或目錄 示例:chmod  777 /etc/squid 執行命令後,squid資料夾(目錄)的許可權就被修改為777(可讀可寫可執行)。 如果是Ubuntu系統,可能需要加上sudo來執行: sudo chmod

Linux檔案操作許可權說明和設定

所謂的檔案許可權,是指對檔案的訪問許可權,包括對檔案的讀、寫、刪除、執行。Linux 是一個多使用者作業系統,它允許多個使用者同時登入和工作。因此 Linux 將一個檔案或目錄與一個使用者和組聯絡起來。 我們設定許可權時會有777、666等數字出現,下面看下具

Linux特殊許可權

一、關於SUID: SUID的目的就是讓本來沒有相應許可權的使用者執行這個程式時,可以訪問到他沒有許可權訪問的資源。例如:/usr/bin/passwd,許可權為:-rwsr-xr-x 。某個使用者執行passwd命令時就擁有了root許可權,因此才能修改/etc/shad

Linux檔案許可權詳解

檔案許可權 1.  ls -l列印該目錄下的檔案 #輸出入下:-rw-rw-r--. 1 oldboy oldboy 134 10月 14 01:57 text.txt #解釋:-rw-rw-r-- *10個字元來確定不同使用者對檔案能做什麼 *第1個字元-:-普通檔案,d