Linux权限管理 文件特殊权限
概述
除了我们前面介绍的rwx权限外,Linux中还有另外三种特殊权限:SUID,SGID,SBIT
权限 | 执行条件 | 执行示例 |
SUID |
s出现在文件所有者的x权限上。 1. SUID只能用于二进制可执行文件,对目录无效 2. 执行者若具有该文件的x权限,则将具有文件所有者的权限 3. 权限只在文件执行时有效,执行完毕不再拥有所有者权限 |
chmod u+s test #为test文件加上suid权限 chmod 4777 test #为test文件加上suid权限
|
SGID |
s出现在文件所属群组的x权限上。 SGID和SUID不同,可以用于目录 1. 使用者若有此目录的x,w权限,则可进入和修改此目录 2. 使用者在此目录下的群组将变成该目录的群组, 新建的文件,群组是此目录的群组。 SGID对于文件来说 1. SGID只对二进制可执行文件有效 2. 执行者若具有该文件的x权限,则将具有文件所属群组的权限 3. 权限只在文件执行时有效,执行完毕不再拥有所属群组权限 |
chmod g+s test #为test文件加上sgid权限 chmod 2777 test #为test文件加上sgid权限 |
SBIT |
t出现在文件其他用户的x权限上。 1. 和SUID,SGID不同的是,只能用于目录 2. 使用者在该目录下,仅自己与root才有权力删除新建的目录或文件 |
chmod o+t test #为test文件加上sbit权限 chmod 1777 test #为test文件加上sbit权限 |
使用SUID特殊权限
在 Linux 系统中我们已经学习过 r(读)、w(写)、 x(执行)这三种文件普通权限,但是我们在査询系统文件权限时会发现出现了一些其他权限字母,比如:
[root@localhost ~]# ll /usr/bin/passwd -rwsr-xr-x. 1 root root 27832 Jun 10 2014 /usr/bin/passwd
可以看见在属主本来应该写 x(执行)权限的位置出现了一个小写 s,我们把这种权限称作 SetUID 权限,也叫作SUID 的特殊权限。
我们知道,在 Linux 系统中,每个普通用户都可以更改自己的密码,这是合理的设置。问题是,普通用户的信息保存在 /etc/passwd 文件中,用户的密码实际保存在 /etc/shadow 文件中,也就是说,普通用户在更改自己的密码时修改了 /etc/shadow 文件中的加密密码,但是,看下面的代码:
[root@localhost ~]# ll /etc/passwd -rw-r--r--. 1 root root 2282 Nov 5 20:19 /etc/passwd [root@localhost ~]# ll /etc/shadow ----------. 1 root root 1266 Nov 5 20:19 /etc/shadow
/etc/passwd 文件的权限是 644,意味着只有超级用户 root 可以读/写,普通用户只有只读权限。
/etc/shadow 文件的权限是 000,也就是没有任何权限。意味着只有超级用户可以读取文件内容,并且可以强制修改文件内容;而普通用户没有任何针对 /etc/shadow 文件的权限。
换句话说,普通用户对这两个文件其实都是没有写权限的,那为什么普通用户可以修改自己的权限呢?
其实,普通用户可以修改自己的密码的秘密不在于 /etc/passwd 和 /etc/shadow 这两个文件,而在于 passwd 命令。我们再来看看 passwd 命令的权限:
[root@localhost ~]# ll /usr/bin/passwd -rwsr-xr-x. 1 root root 27832 Jun 10 2014 /usr/bin/passwd
passwd 命令拥有特殊权限 SetUID,也就是在属主的权限位的执行权限上是 s。可以这样来理解它:当一个具有执行权限的文件设置 SetUID 权限后,用户在执行这个文件时将以文件所有者的身份来执行。passwd 命令拥有 SetUID 权限,所有者为 root(Linux 中的命令默认所有者都是 root),也就是说,当普通用户使用 passwd 命令更改自己的密码的时候,实际上是在用 passwd 命令所有者 root 的身份在执行 passwd 命令,root 当然可以将密码写入 /etc/shadow 文件,所以普通用户也可以修改 /etc/shadow 文件,命令执行完成后,该身份也随之消失。
举个例子,有一个用户 zhangsan,他可以修改自己的权限,因为 passwd 命令拥有 SetUID 权限;但是他不能査看 /etc/shadow 文件的内容,因为査看文件的命令(如 cat)没有 SetUID 权限。命令如下:
[root@localhost ~]# su - zhangsan [lamp@localhost ~]$ passwd 更改用户zhangsan的密码。 为zhangsan更改STRESS密码。 (当前)UNIX密码: 新的密码: 重新输入新的密码: passwd:所有的身份验证令牌已经成功更新 [zhangsan@localhost ~]$ cat /etc/shadow cat:/etc/shadow:权限不够
说明:passwd 是系统命令,可以执行,所以可以赋予 SetUID 权限。
当zhangsan用户执行passwd命令时:
zhangsan用户对 passwd 命令拥有 x(执行)权限。
zhangsan用户在执行 passwd 命令的过程中,会暂时切换为 root 身份,所以可以修改 /etc/shadow 文件。
命令结束,zhangsan 用户切换回自己的身份。
cat 命令没有 SetUID 权限,所以就使用 zhangsan用户身份去访问 /etc/shadow 文件,当然没有相应权限了。
如果把 /usr/bin/passwd 命令的 SetUID 权限取消,普通用户是不是就不能修改自己的密码:
[root@localhost ~]# chmod u-s /usr/bin/passwd [root@localhost ~]# ll /usr/bin/passwd -rwxr-xr-x.1 root root 2289656 Jun 10 2014/usr/bin/passwd [root@localhost ~]# su -zhangsan [zhangsan@localhost ~]$ passwd 更改用户zhangsan的密码。 为zhangsan更改STRESS密码。 (当前)UNIX密码: 新的密码: 重新输入新的密码: passwd:鉴定令牌操作错误
最后提示passwd:鉴定令牌操作错误,所以最后密码没有生效
刚刚把系统命令本身拥有的 SetUID 权限取消,这样会导致命令本身可以执行的功能失效。但是如果给默认没有 SetUID 权限的系统命令赋予了 SetUID 权限的话系统就会出现重大安全隐患,这种操作一定不要随意执行,例如 给vim添加SetUID权限
[root@localhost ~]# chmod u+s /usr/bin/vim [root@localhost ~]# ll /usr/bin/vim -rwsr-xr-x 1 root root 2289656 Jun 10 2014 /usr/bin/vim
当 vim 命令拥有了 SetUID 权限后,任何普通用户在使用 vim 命令时,都会暂时获得 root 的身份和权限,很多普通用户本身不能査看和修改的文件马上就可以査看了,包括 /etc/passwdf 和 /etc/shadow 这两个重要的用户信息文件,这样我就可以轻易地把自己的 UID 改为 0,升级为超级用户了。如果我修改了系统重要的启动文件,比如 /etc/inittab 或 /etc/fstab,就可以轻易地导致系统瘫痪。
其实任何只有管理员可以执行的命令,如果被赋予了 SetUID 权限,那么普通用户都可以执行它进行相应的操作。大家可以想象普通用户可以随时重启服务器、随时关闭看得不顺眼的服务。所以,SetUID 权限不能随便设置,同时要防止黑客的恶意修改
使用SGID特殊权限
当 s 标志在属主的 x 位置时是 SetUID, s 标志在属组的 x 位置时是 SetGID,简称为SGID。比如:
[root@localhost ~]# ll /usr/bin/locate -rwx--s--x. 1 root slocate 40496 Jun 10 2014 /usr/bin/locate
和 passwd 命令类似,普通用户在执行 locate 命令的时候,会获取 locate 属组的组身份。locate 命令是在系统中按照文件名査找符合条件的文件的,不过它不是直接搜索系统的,而是搜索 /var/lib/mlocate/mlocate.db 这个数据库的。我们来看看这个数据库的权限。
[root@localhost ~]# ll /var/lib/mlocate/mlocate.db -rw-r-----. 1 root slocate 2514205 Nov 17 09:49 /var/lib/mlocate/mlocate.db
大家会发现,属主权限是 r、w,属组权限是 r,其他人的权限是 0。
说明:
当zhangsan用户执行locate命令时:
1. /usr/bin/locate 是可执行二进制程序,可以被赋予 SetGID 权限。
2. 执行用户 zhangsan 对 locate 命令拥有执行权限。
3. 执行 locate 命令时,组身份会升级为 slocate 组,而 slocate 组对 /var/lib/mlocate/mlocate.db 数据库拥有 r 权限,所以普通用户可以使用 locate 命令査询 mlocate.db 数据库。
4. 命令结束,zhangsan 用户的组身份返回为 zhangsan 组。
使用SBIT特殊权限
当 t 标志在其他人的 x 位置时是 Stick BIT(粘着位),简称为SBIT。比如:
[root@localhost ~]# ll -d /tmp
drwxrwxrwt. 19 root root 4096 Nov 17 16:10 /tmp
默认系统中 /temp/ 目录拥有 SBIT 权限。在其他人的 x 权限位,被 t 符号占用了,代表 /tmp/ 目录拥有 SBIT 权限。我们使用 zhangsan 用户在 /tmp/ 目录中建立测试文件 ftest,然后使用 lisi用户尝试删除。如果没有 SBIT 权限,而 /tmp/ 目录的权限是 777,那么 lisi用户应该可以删除 ftest 文件。
但是/tmp目录拥有了 SBIT 权限,lisi 用户不能删除其他用户建立的文件:
[root@localhost ~]# useradd zhangsan [root@localhost ~]# useradd lisi [root@localhost ~]# su -zhangsan [zhangsan@localhost ~]$ cd /tmp/ [zhangsan@localhost tmp]$ touch ftest [zhangsan@localhost tmp]$ll ftest -rw-rw-r-- 1 zhangsan zhangsan 11月20 06:36 ftest [zhangsan@localhost tmp]$ su - lisi 密码: 输入lisi用户的密码 [lisi @localhost ~]$ cd /tmp/ [lisi @localhost tmp]$ rm -rf ftest rm:无法删除"ftest":不允许的操作
虽然/tmp/目录的权限是777,但是拥有SBIT权限,所以 lisi 用户不能删除其他用户建立的文件