Linux-特殊权限设置(SUID、SGID、SBIT)
一、SUID权限
1.概念
当s这个标志出现在文件所有者的x权限上时,例如文件权限状态“-rwsr-xr-x”,此时就被称为Set UID,简称SUID。
如果该属主权限位上有执行权限,则会显示(小写)s。
如果该属主权限位上没有执行权限,则会显示(大写)S。
说明:SUID权限中的s有大小写之分,如果强行给普通文件添加s权限,那么现实的是大写的S,因为普通文件没有x权限,这样显示的suid其实没什么用,因为它并不是可执行文件。
只有给文件添加了x权限后,suid才有效。
2.作用
(1) SUID权限仅对可执行文件有效;
(2) 执行者对于该可执行文件需要具有x权限;
(3) 在执行过程中,调用者会暂时获得该文件的拥有者权限;
(4) 该权限只在程序执行的过程中有效;
例如/bin/su和/usr/bin/passwd这2个命令的所有者的x权限上都用s权限替换了。
实际上这2个可执行文件的所有者是root,但是我们依然可以在普通账号下使用这两个命令,这是因为普通账号在使用这2个命令的时候会暂时获得其拥有者的权限。
3.授权方式
chmod u+s filename
chmod 4xxx filename
4.总结
(1) 让普通用户对可执行的二进制文件,临时拥有二进制文件的属主权限
(2) 如果设置的二进制文件没有执行权限,那么SUID的权限就显示为S(大写)
(3) 特殊权限suid仅对二进制可执行程序有效,其它文件或目录无效。
注意: suid不安全,如果使用了普通用户可以使用属主用户的权限,那么普通用户在执行对应命令文件时,就可以任意查看或修改文件内容,比如修改了etc/sudoers 文件,那普通用户相当于超级用户的复制品。
二、SGID权限
1.概念
当s出现在文件的所属组x权限位置上时,表示所属组有SGID的权限。
如果该属组权限位上有执行权限,则会显示(小写)s。
如果该属组权限位上没有执行权限,则会显示(大写)S。
说明:同样SGID的s权限也是分大小写的,当g权限组没有x权限的时候,设置SGID后就会变成大写的S,这点跟SUID一样。
2.作用
(1) 既可以作用于目录,也可以作用于可执行文件;
(2) 只要父目录有SGID权限,所有的子目录都会递归继承;
(3) 执行者对于该可执行文件需要具有x权限 ;
(4) 在执行过程中,调用者会暂时获得该文件的所属组权限。
3.授权方式
chmod g+s filename
chmod 2xxx filename
4.总结
(1) 针对用户组权限位修改,用户创建的目录或文件所属组和该目录的所属组一致。
(2) 当某个目录设置了Sgid后,在该目录中新建的文件不在是创建该文件的默认所属组。
(3) 使用Sgid可以使得多个用户之间共享一个目录的所有文件变得简单。
三、SBIT权限
1.概念
当t出现在其他组的x权限位置时,表示其他组具有SBIT的权限。
如果该其它用户权限位上有执行权限,则会显示(小写)t。
如果该其它用户权限位上没有执行权限,则会显示(大写)T。
2.作用
SBIT(Sticky Bit)目前只针对目录有效。
作用:当用户在该目录下建立文件或目录时,仅有自己与 root才有权力删除。
最具有代表的就是/tmp目录,任何人都可以在/tmp内增加、修改文件(因为权限全是rwx),但仅有该文件/目录建立者与 root能够删除自己的目录或文件。
3.授权方式
chmod o+t filename
chmod 1xxx filename
4.总结
(1) 让多个用户都具有写权限,并让每个用户都只能删除自己的文件
(2) 投入数sticky目录表现在others 的 x 位,用(小写)t 表示,没有执行权限时(大写)T
(3) 一个目录即使使得它的权限为“777” ,如果设置了粘滞位,除了目录的属主和“root”用户有权限删除,其它用户都不允许删除。
四、SUID/SGID/SBIT权限设置
和rwx权限一样通过chmod命令设置,s、t也有两种设置方法:
1、符号表示:
SUID: u+s
SGID: g+s
SBIT: o+t
2、数字表示:
SUID=4
SGID=2
SBIT=1
将原来的三位数扩展为四位数即可,把它们放在权限数字的最开头。例如设置SUID,可以写成4777,设置SGID可以写成,2777,设置SBIT可以写成1777;如果同时设置就是数字之和,例如suid,sgid和sbit都设置的话就是7777。
本文来自博客园,作者:业余砖家,转载请注明原文链接:https://www.cnblogs.com/yeyuzhuanjia/p/17404282.html