文件特殊权限
一、SUID
案例
psswd的所有者(root)权限不是所谓的rwx,而是rws,这有什么特殊含义没,我们再来看看下一个文件
这个文件就是我们前面说的过的存放用户密码的文件,但是我们发现这个文件的所有权限是关闭的(当然这对root用户无效)
这时会出现一个问题,passwd命令对于普通用户是可执行的。当普通用户执行passwd来修改密码时,那么passwd的执行者将是普通用户。而passwd操作对象应该是shadow文件,它需要将用户的密码保存进shadow文件。从上面的图中可知shadow文件是被禁止修改的。那么可以简单的来说普通用户是如何修改shadow文件的。
要求
- 这有可执行程序设定SUID才有意义
- 命令的执行者拥有该文件的执行该权限
- 当命令执行者执行该文件时,将会临时获得该文件所有者身份(简单的理解就是变身)
- 当程序执行完,又恢复本尊
解决案例
当普通用户执行passwd命令时,会“变身”为root用户,而root用户是无视规则的,可以直接修改shadow文件,那么passwd程序也就有了可以修改该文件的权限。我们可以对比cat命令来看。
当我用普通用户来执行cat命令
直接被拒绝,这是因为cat并没有让普通用户变身的能力
setuid的使用
增加S权限
-
chmod 4755 文件名
- chmod u+s 文件名
取消权限
- chmod 755 文件名
- chmod u-s 文件名
实践
让普通用户可以查看shadow,注意这很危险
二、SGID
SetGID与SetUID有类似地方,也有不同的地方。SetUID主要是对可执行程序而言,而SetGID不仅对文件有作用,而且对目录也有作用。作用对象为文件时,用户的所属组会变身为文件所属组,我们来看一个典型的例子。
案例
locate命令的组权限是开启SGID的,我们知道locate是查看数据库来进行文件定位的,我们来看下数据库。
我们看到普通用户是没有读权限,但是普通用户是可以执行locate命令来查看文件的。这是因为普通用户在执行locate命令时,它的所属组变为了slocate,而mlocate.db的组权限是开启读的。所以普通用户也可以查看数据库了。
对目录的作用
命令使用
-
设定SGIG
chmod 2755 文件名
chmod g+s 文件名
-
取消SGID
chmod 755 文件名
chmod g-s 文件名
三、SBIT权限
- SBIT(黏着位)只对目录有效
- 普通用户对该目录拥有w和x权限,即普通用户在此目录拥有写入权限
- 如果没有黏着位,由于普通用户对该目录用户写权限,那么它可以删除该目录下的所有文件,但是一旦有了黏着位,那么它只能删除自己建立的文件。
案例
我们看到在其它权限中有了个t字符,则说明tmp开启了SBIT权限
命令使用
-
设定SBIT
chmod 1755 目录名
chmod o+s 目录名
-
取消SBTI
chmod 755 目录名
chmod o-s 目录名
四、文件属性
前面介绍的几种权限管理对ROOT用户是无效的,但是如果更改文件属性,则会对ROOT用户产生影响
- chattr 选项 参数 文件/目录
- 选项 + - =
- 参数 i a
当参数为i 时,如果是文件那么所有用户只能查看该文件内容,不能做任何其它操作。如果是目录,那么能且只能修改该目录下的文件中的数据。
当参数为a时,如果是文件只能增加数据。如果是目录,只允许在目录中创建文件和修改文件的权限和内容
abc是个文件
test是个目录,在查看属性时需要加-d
