Linux的特殊权限
linux中除了有常见的读写执行三种常见的权限外,还有3中特殊的权限,分别是SUID,SGID,Striky。在了解特殊权限之前,先解释一下安全上下文的概念。
安全上下文:进程运行时能够访问那些资源或文件,不取决与进程文件的属主属组,而取决与运行该命令的用户身份的UID和GID,以该身份获取各种系统资源。
特殊权限位:
SUID:对一个可执行文件,不是以发起者身份来获取资源,而是以可执行文件的属主身份来执行,也就是说无论谁来执行这个文件,他都有文件所有者的特权。如果所有者是 root 的话,那么执行人就有超级用户的特权了。
SUID: 运行某程序是,相应进程的属主是程序文件自身的属主,而不是启动者。
chmod u+s FILE
chmod u-s FILE
如果FILE本身原来就有执行权限,则显示为s;否则显示S
eg.
-r--------. 1 root root 865 7月 26 02:17 /etc/shadow -rwxr-xr-x. 1 root root 54048 6月 10 2014 /bin/cat 有一个叫hadoop的用户,在hadoop用户下 [hadoop@RedHat ~]$ cat /etc/shadow cat: /etc/shadow: Permission denied cat进程启动起来以后,是以hadoop的身份运行的。而hadoop没有访问/etc/shadow这个文件的权限。所以访问不到。 [root@RedHat data]# chmod u+s /bin/cat [root@RedHat data]# ll /bin/cat -rwsr-xr-x. 1 root root 54048 Jun 10 2014 /bin/cat 再切换到hadoop用户下, [hadoop@RedHat ~]$ cat /etc/shadow
root:$6$DotZtyMiripQ.7bt$d171YFkJIRCfK/9G3A1qBLfOo4/ya6zZWxqyU5qEgaqE0hcM89Ig61:16585:0:99999:7::: bin:*:16231:0:99999:7::: daemon:*:16231:0:99999:7::: adm:*:16231:0:99999:7::: lp:*:16231:0:99999:7::: .... 访问成功,在设置SUID后,cat进程起来以后,不在以hadoop的身份运行,而是以cat文件自身的属主root来运行,而root用户对/etc/shadow具有访问权限。
应用场景:
写一个脚本获取某些系统的属性的时候,就必须给SUID权限。
[root@RedHat data]# ll /usr/bin/passwd
-rwsr-xr-x. 1 root root 27832 Jun 10 2014 /usr/bin/passwd
普通用户也要能修改自身的登录密码,所以必须给SUID权限。
SGID:对于一个可执行文件,不是以发起者身份来获取资源,而是以可执行文件的属组的身份来执行。也就是说该文件具有所属组的特权,任意存取这个组所能使用的系统资源。若一个目录设置了SGID,则所有被复制到这个目录下的文件,其所属组都会被重设为和这个目录一样,除非在复制时文件时加上-p参数,才能保留原来所属组的群组设置。
SGID:运行某程序是,相应进程的属组是程序文件自身的属主,而不是启动者的基本组。
chmod g+s FILE
chmod g-s FILE
eg.
假设有develop, team, hadoop, hbase, hive几个用户要在一个公共目录/tmp/project/下,建一个文件,相互都能访问,相互而且能编辑。
在root用户下
[root@RedHat tmp]# mkdir project
[root@RedHat tmp]# groupadd developteam
[root@RedHat tmp]# chown -R :developteam /tmp/project/
[root@RedHat tmp]# usermod -a -G developteam hadoop
[root@RedHat tmp]# usermod -a -G developteam hive
[root@RedHat tmp]# usermod -a -G developteam hbase
[root@RedHat tmp]# id hadoop
uid=1002(hadoop) gid=1002(hadoop) groups=1002(hadoop),1005(development),1007(developteam)
hadoop有developteam组权限
在hadoop用户下
[hadoop@RedHat project]$ touch a.hadoop
[hadoop@RedHat project]$ ll
-rw-rw-r--. 1 hadoop hadoop 0 7月 26 03:05 a.hadoop
在hbase用户下
[hbase@RedHat project]$ touch a.hbase
[hbase@RedHat project]$ ll
-rw-rw-r--. 1 hadoop hadoop 0 7月 26 03:05 a.hadoop
-rw-rw-r--. 1 hbase hbase 0 7月 26 03:06 a.hbase
新建的文件a.hadoop a.hbase都是属于用户的基本组,相互之间没有写权限。
给/tmp/project目录添加SGID权限
[root@RedHat project]# chmod g+s /tmp/project/
[root@RedHat project]# ls -ld .
drwxrwsr-x. 2 root developteam 4096 Jul 26 03:06 .
在hadoop用户下
[hadoop@RedHat project]$ touch b.hadoop
[hadoop@RedHat project]$ ll
-rw-rw-r--. 1 hadoop hadoop 0 7月 26 03:05 a.hadoop
-rw-rw-r--. 1 hbase hbase 0 7月 26 03:06 a.hbase
-rw-rw-r--. 1 hadoop developteam 0 7月 26 03:07 b.hadoop
在hbase用户下
[hbase@RedHat project]$ touch b.hbase
[hbase@RedHat project]$ ll
-rw-rw-r--. 1 hadoop hadoop 0 7月 26 03:05 a.hadoop
-rw-rw-r--. 1 hbase hbase 0 7月 26 03:06 a.hbase
-rw-rw-r--. 1 hadoop developteam 0 7月 26 03:07 b.hadoop
-rw-rw-r--. 1 hbase developteam 0 7月 26 03:07 b.hbase
发现新建的文件b.hadoop和b.hbase都属于developteam组。hadoop和hbase可以访问修改对方创建的文件。但是这样又有个缺陷,那就是hadoop和hbase能够删除对方建立的文件。
STICKY:粘滞位,通常对于目录而言。通常对于全局公共目录来说,让该目录具有Sticky后,删除只属于自己的文件有效(但是仍能编辑修改别人的文件,除了root)。不能根据安全上下文获取对别人的文件的写权限。
Sticky:在一个公共目录,每个都可以创建文件,删除自己的文件,但不能删除别人的文件;
chmod o+t DIRECTORY
chmod o-t DIRECTORY
给/tmp/project目录添加Sticky权限
[root@RedHat project]# chmod o+t /tmp/project/
[root@RedHat project]# ls -ld .
drwxrwsr-t. 2 root developteam 4096 Jul 26 03:15 .
这三位特殊权限组成一个八进制的权限位s,u,t,用二进制表示:
SUID SGID STICKY 最靠前的权限位
000
001
...
110
111
chmod 1755 /backup/test,标红的表示特殊权限位。
练习:新建一个公司的开发组developteam。有三个成员hadoop hbase hive,在工程目录/tmp/projct下,可以创建文件,可以访问修改其他组员创建的文件,可以
删除自己创建的文件,但是不能删除其他组员创建的文件
useradd hadoop
useradd hbase
useradd hive
groupadd developteam
usermod -a -G developteam hadoop
usermod -a -G developteam hive
usermod -a -G developteam hbae
mkdir /tmp/project/
#chmod g+w /tmp/project
chomd g+s /tmp/project
drwxrwsr-x. 2 root development 4096 6月 29 23:10 /tmp/project/
chomd o+t /tmp/project
drwxrwsr-t. 2 root development 4096 6月 29 23:10 /tmp/project/
su hbase
cd /tmp/project
touch a.habse
ls -l a.habse
-rw-rw-r--. 1 hbase development 0 6月 29 23:10 a.hbase
su hadoop
cd /tmp/project
touch a.hadoop
ls -l a.hadoop
-rw-rw-r--. 1 hadoop development 0 6月 29 23:10 a.hadoop