【转】特殊权限控制之SUID、SGID、Sticky

原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://soysauce93.blog.51cto.com/7589461/1715583

一、SUID

定义:运行某程序时,相应进程的属主是程序文件自身的属主,而不是启动者

赋予SUID位方法:chmod u+s FILE

撤销SUID位方法:chmod u-s FILE

注:如果FILE本身原来就有执行权限,则SUID显示为s;否则显示S

[[email protected] ~]# ll `which tail`
-rwxr-xr-x. 1 root root 57560 Nov 22  2013 /usr/bin/tail    # 默认没有SUID位
[[email protected] ~]# su - user1                               # 切换至user1用户
[[email protected] ~]$ tail -1 /etc/shadow                # 此时tail进程的属主属组都为user1
tail: cannot open `/etc/shadow‘ for reading: Permission denied
[[email protected] ~]$ exit
logout
[[email protected] ~]# chmod u+s /usr/bin/tail                    # 赋予tail命令SUID位
[[email protected] ~]# ll /usr/bin/tail
-rwsr-xr-x. 1 root root 57560 Nov 22  2013 /usr/bin/tail
[[email protected] ~]# su - user1
[[email protected] ~]$ tail -1 /etc/shadow                # 此时tail进程的属主属组都为root
user2:!!:16760:0:99999:7:::

过程详述:

当tail命令没有SUID位时,user1用户发起tail进程,此时tail这个进程的属主为user1,属组为user1用户所在的基本组,当这个tail进程访问/etc/shadow文件时,tail进程的属主user1既不是/etc/shadow文件的属主,也不属于shadow文件的属组,于是以其他人的权限访问这个shadow文件,因为其他人并没有任何权限,所以读取不了,会提示权限拒绝;当tail命令有了SUID位时,任何用户发起tail进程时,tail进程的属主变为了这个tail文件本身的属主,属组变为了tail文件本身的基本组,再次访问/etc/shadow文件时,tail进程的属主刚好是shadow文件的属主,于是便应用属主的权限来访问。

二、SGID

定义:运行某程序时,相应进程的属组是程序文件自身的属组,而不是启动者所属的基本组

赋予SGID位方法:chmod g+s FILE

撤销SGID位方法:chmod g-s FILE

注:如果FILE本身原来就有执行权限,则SUID显示为s;否则显示S

对一个目录赋予SGID权限位时,任何用户在这个目录下创建文件时,文件的属组是这个目录的属组,而不是用户的基本组

例:user1,user2,user3都属于Develop组,且都需要在/tmp/project目录下编辑这个Develop组内其他用户创建的文件,此时就需要用到SGID了。

[[email protected] tmp]# groupadd Develop
[[email protected] tmp]# usermod -a -G Develop user1   # 将user1、user2、user3添加到Develop组
[[email protected] tmp]# usermod -a -G Develop user2
[[email protected] tmp]# usermod -a -G Develop user3
[[email protected] tmp]# id user1            # 此时可以看到user1有个附加组Develop
uid=500(user1) gid=500(user1) groups=500(user1),503(Develop)
[[email protected] tmp]# chown :Develop project/
[[email protected] tmp]# ll
total 820
-rw-r--r-- 1 root root    832104 Sep 18 12:54 nginx-1.8.0.tar.gz
drwxrwxr-x 2 root Develop   4096 Nov 21 20:26 project
[[email protected] tmp]# su - user1    # 切换为user1用户
[[email protected] ~]$ cd /tmp/project/
[[email protected] project]$ touch a
[[email protected] project]$ ll
total 0
-rw-rw-r-- 1 user1 user1 0 Nov 21 20:31 a        # a文件的属主属组都为user1
[[email protected] project]$ exit
logout
[[email protected] tmp]# su - user2               # 切换用户为user2
[[email protected] ~]$ cd /tmp/project/
[[email protected] project]$ echo "hello" >> a       # 往a文件中添加一行hello
-bash: a: Permission denied               # 其他用户并没有写权限
[[email protected] project]$ exit             # 退出,切换为root用户
logout
[[email protected] tmp]# chmod g+s /tmp/project/        # 给project目录添加SGID
[[email protected] tmp]# ll  -d /tmp/project/
drwxrwsr-x 2 root Develop 4096 Nov 21 20:31 /tmp/project/  # 此时project目录基本组已变为了Develop组
[[email protected] tmp]# su - user1            # 重新切换为user1用户
[[email protected] ~]$ touch /tmp/project/b         # 创建一个新文件b
[[email protected] ~]$ ll /tmp/project/b
-rw-rw-r-- 1 user1 Develop 0 Nov 21 20:39 /tmp/project/b    # b的基本组为Develop组
[[email protected] ~]$ exit
logout
[[email protected] tmp]# su - user2           # 切换为Develop组内的另一个用户user2
[[email protected] ~]$ echo "Hello" >> /tmp/project/b    # 往b文件中写字符串Hello
[[email protected] ~]$ cat /tmp/project/b
Hello     # 写入成功,此时Develop组内用户可以随意其他用户在/tmp/project目录下新创建的文件

三、Sticky

定义:运行某程序时,相应进程的属组是程序文件自身的属组,而不是启动者所属的基本组

赋予SGID位方法:chmod g+s FILE

撤销SGID位方法:chmod g-s FILE

注:如果FILE本身原来就有执行权限,则SUID显示为s;否则显示S

对一个目录赋予SGID权限位时,任何用户在这个目录下创建文件时,文件的属组是这个目录的属组,而不是用户的基本组

例:user1,user2,user3都属于Develop组,且都需要在/tmp/project目录下编辑这个Develop组内其他用户创建的文件,此时就需要用到SGID了。

[[email protected] tmp]# groupadd Develop
[[email protected] tmp]# usermod -a -G Develop user1   # 将user1、user2、user3添加到Develop组
[[email protected] tmp]# usermod -a -G Develop user2
[[email protected] tmp]# usermod -a -G Develop user3
[[email protected] tmp]# id user1            # 此时可以看到user1有个附加组Develop
uid=500(user1) gid=500(user1) groups=500(user1),503(Develop)
[[email protected] tmp]# chown :Develop project/
[[email protected] tmp]# ll
total 820
-rw-r--r-- 1 root root    832104 Sep 18 12:54 nginx-1.8.0.tar.gz
drwxrwxr-x 2 root Develop   4096 Nov 21 20:26 project
[[email protected] tmp]# su - user1    # 切换为user1用户
[[email protected] ~]$ cd /tmp/project/
[[email protected] project]$ touch a
[[email protected] project]$ ll
total 0
-rw-rw-r-- 1 user1 user1 0 Nov 21 20:31 a        # a文件的属主属组都为user1
[[email protected] project]$ exit
logout
[[email protected] tmp]# su - user2               # 切换用户为user2
[[email protected] ~]$ cd /tmp/project/
[[email protected] project]$ echo "hello" >> a       # 往a文件中添加一行hello
-bash: a: Permission denied               # 其他用户并没有写权限
[[email protected] project]$ exit             # 退出,切换为root用户
logout
[[email protected] tmp]# chmod g+s /tmp/project/        # 给project目录添加SGID
[[email protected] tmp]# ll  -d /tmp/project/
drwxrwsr-x 2 root Develop 4096 Nov 21 20:31 /tmp/project/  # 此时project目录基本组已变为了Develop组
[[email protected] tmp]# su - user1            # 重新切换为user1用户
[[email protected] ~]$ touch /tmp/project/b         # 创建一个新文件b
[[email protected] ~]$ ll /tmp/project/b
-rw-rw-r-- 1 user1 Develop 0 Nov 21 20:39 /tmp/project/b    # b的基本组为Develop组
[[email protected] ~]$ exit
logout
[[email protected] tmp]# su - user2           # 切换为Develop组内的另一个用户user2
[[email protected] ~]$ echo "Hello" >> /tmp/project/b    # 往b文件中写字符串Hello
[[email protected] ~]$ cat /tmp/project/b
Hello     # 写入成功,此时Develop组内用户可以随意其他用户在/tmp/project目录下新创建的文件

三、Sticky

定义:在一个公共目录,每个都可以创建文件,删除自己的文件,但不能删除别人的文件

赋予Sticky位方法:chmod o+t DIR

撤销Sticky位方法:chmod o-t DIR

注:如果FILE本身原来就有执行权限,则SUID显示为s;否则显示S

对一个目录赋予Sticky位时,用户只能删除在该目录下自己创建的文件,并不能删除其他用户的文件。

[[email protected] project]$ ll
total 4
-rw-rw-r-- 1 user1 Develop   0 Nov 21 20:31 a
-rw-rw-r-- 1 user1 Develop 6 Nov 21 20:40 b
[[email protected] project]$ rm -rf b        # 已经删除成功
[[email protected] project]$ touch c
[[email protected] project]$ ll
total 0
-rw-rw-r-- 1 user1 Develop   0 Nov 21 20:31 a
-rw-rw-r-- 1 user2 Develop 0 Nov 21 20:53 c
[[email protected] project]$ exit
logout
[[email protected] tmp]# chmod o+t /tmp/project/        # 给project目录添加Sticky权限位
[[email protected] tmp]# su - user1
[[email protected] ~]$ rm -rf /tmp/project/c           # 删除user2用户创建的文件,提示不允许
rm: cannot remove `/tmp/project/c‘: Operation not permitted
[[email protected] ~]$ rm -rf /tmp/project/a      # 可以删除自己创建的文件,并不能删除其他用户的文件

 

时间: 2024-11-09 07:55:16

【转】特殊权限控制之SUID、SGID、Sticky的相关文章

linux系统上的特殊权限SUID,SGID,STICKY

特殊权限:SUID SGID STICKY linux的安全上下文: 1.进程以用户的身份运行,进程是发起此用户的代理,因此以此用户的身份和权限完成所有的操作. 2.权限匹配模型: 1)判断进程的属主,是否以被访问的文件属主.如果是,则应用属主权限,否则进入第2步. 2)判断进程的属主,是否属于被访问的文件属组.如果是,则应用属组的权限,否则进入第3步. 3)应用other的权限. SUID: 默认情况下,用户发起的进程,进程的属主是其发起者,因此,其以发起者的身份在运行. SUID的功用:用户

linux文件系统特殊权限及suid sgid sticky

linux文件系统特殊权限及suid sgid sticky 1.Linux文件系统上的特殊权限 权限模型: u, g, o r, w, x 2.进程的安全上下文: 前提:进程有属主(进程以哪个用户的身份运行):文件有属主和属组: (1) 用户是否能够把某个可执行程序文件启动为进程,取决于用户对程序文件是否拥有执行权限: (2) 程序启动为进程后,此进程的属主为当前用户,也即进程的发起者:进程所属的组,为发起者的基本组: (3) 进程拥的访问权限,取决其属主的访问权限: (a) 进程的属主,同文

Linux文件系统上的特殊权限      SUID, SGID, Sticky(粘之位)

每个人都有自己的梦想,我想把它写出来. Linux文件系统上的特殊权限 SUID, SGID, Sticky(粘之位) 1 文件基本权限 r读, w写, x执行 user, group, other 2 安全上下文 前提:进程有属主和属组:文件有属主和属组: (1) 任何一个可执行程序文件能不能启动为进程:取决发起者对程序文件是否拥有执行权限: (2) 启动为进程之后,其进程的属主为发起者:进程的属组为发起者所属的组: (3) 进程访问文件时的权限,取决于进程的发起者: (a) 进程的发起者,同

文件的特殊权限:suid sgid sticky

一.文件的特殊权限:suid    展示于文件属主的执行权限位:    如果属主本来有执行权限,则展示为s:否则,展示为S; 功用:对于一个可执行文件来讲,任何用户运行此程序为进程时,进程的属主不再是发起者本人,而可执行程序文件自己的属主: 管理文件SUID权限的方法:        chmod u+|-s FILE... [[email protected] ~]# useradd fedora [[email protected] ~]# cp /bin/cat /var/tmp/ [[em

Suid,sgid,sticky的三个权限的详细说明

Suid,sgid,sticky的三个权限的详细说明 一个文件都有一个所有者, 表示该文件是谁创建的. 同时, 该文件还有一个组编号, 表示该文件所属的组, 一般为文件所有者所属的组.如果是一个可执行文件, 那么在执行时, 一般该文件只拥有调用该文件的用户具有的权限. 而setuid, setgid 可以来改变这种设置. setuid: 设置使文件在执行阶段具有文件所有者的权限. 典型的文件是 /usr/bin/passwd. 如果一般用户执行该文件, 则在执行过程中, 该文件可以获得root权

SUID&SGID&Sticky&setfacl

一.特殊权限文件: ls -l /bin/passwd 特殊权限:SUID,SGID,STICKY 进程的权限取决于发起者:用户 属主--->属组--->其他人 //根据文件的权限位置进行匹配 //这就叫做安全上下文 安全上下文: 1.进程以某用户的身份运行:进程是发起此进程用户的代理,因此以此用户的身份和权限完成所有操作 2.权限匹配模型: (1)判断进程的属主,是否为被访问的文件属主的权限,否则进入第2步 (2)判断进程的属主,是否属于被访问的文件属组,如果是,则应用属组的权限,否则进入第

SUID,SGID,Sticky Bit详解(转)

SUID属性 passwd命令可以用于更改用户的密码,一般用户可以使用这个命令修改自己的密码.但是保存用户密码的/etc/shadow文件的权限是400,也就是说只有文件的所有者root用户可以写入,那为什么其他用户也可以修改自己的密码呢?这就是由于Linux的文件系统中的文件有SUID属性. [[email protected] ~]# ll /etc/shadow -r-------- 1 root root 1128 Feb 15 14:33 /etc/shadow SUID属性只能运用在

linux suid sgid Sticky

SUID属性 passwd命令可以用于更改用户的密码,一般用户可以使用这个命令修改自己的密码.但是保存用户密码的/etc/shadow文件的权限是400,也就是说只有文件的所有者root用户可以写入,那为什么其他用户也可以修改自己的密码呢?这就是由于Linux的文件系统中的文件有SUID属性. [[email protected] ~]# ll /etc/shadow -r-------- 1 root root 1128 Feb 15 14:33 /etc/shadow SUID属性只能运用在

SUID ,SGID ,Sticky

SUID passwd:s SUID: 运行某程序时,相应进程的属主是程序文件自身的属主,而不是启动者: chmod u+s FILE chmod u-s FILE 如果FILE本身原来就有执行权限,则SUID显示为s:否则显示S: 如: chmod u+s /bin/cat 就能查看任何文件了 SGID: 运行某程序时,相应进程的属组是程序文件自身的属组,而不是启动者所属的基本组: chmod g+s FILE chmod g-s FILE develop team, hadoop, hbas