• 企业400电话
  • 微网小程序
  • AI电话机器人
  • 电商代运营
  • 全 部 栏 目

    企业400电话 网络优化推广 AI电话机器人 呼叫中心 网站建设 商标✡知产 微网小程序 电商运营 彩铃•短信 增值拓展业务
    Linux中特殊权限SUID、SGID与SBIT的深入讲解

    前言

    对于linux中文件或目录的权限,应该都知道普通的rwx权限(关于linux中rwx权限的看我的这篇博文http://www.cnblogs.com/javaee6/p/3994750.html)。我们先看看下面两个的权限是什么

    非常奇怪,/tmp目录和 passwd文件的权限怎么怪怪的,怎么有s和t权限呢。看了下面的内容你就明白了。

    setuid 和 setgid 分别是 set uid ID upon execution 和 set group ID upon execution 的缩写。我们一般会再次把它们缩写为 suid 和 sgid。它们是控制文件访问的权限标志(flag),它们分别允许用户以可执行文件的 owner 或 owner group 的权限运行可执行文件。

    说明:本文的演示环境为 ubuntu 16.04。

    SUID

    在 Linux 中,所有账号的密码记录在 /etc/shadow 这个文件中,并且只有 root 可以读写入这个文件:

    如果另一个普通账号 tester 需要修改自己的密码,就要访问 /etc/shadow 这个文件。但是明明只有 root 才能访问 /etc/shadow 这个文件,这究竟是如何做到的呢?事实上,tester 用户是可以修改 /etc/shadow 这个文件内的密码的,就是通过 SUID 的功能。让我们看看 passwd 程序文件的权限信息:

    上图红框中的权限信息有些奇怪,owner 的信息为 rws 而不是 rwx。当 s 出现在文件拥有者的 x 权限上时,就被称为 SETUID BITS 或 SETUID ,其特点如下:

    下面我们来看 tester 用户是如何利用 SUID 权限完成密码修改的:

    但是如果由 tester 用户执行 cat 命令去读取 /etc/shadow 文件确是不行的:

    原因很清楚,tester 用户没有读 /etc/shadow 文件的权限,同时 cat 程序也没有被设置 SUID。我们可以通过下图来理解这两种情况:

    如果想让任意用户通过 cat 命令读取 /etc/shadow 文件的内容也是非常容易的,给它设置 SUID 权限就可以了:

    $ sudo chmod 4755 /bin/cat

    现在 cat 已经具有了 SUID 权限,试试看,是不是已经可以 cat 到 /etc/shadow 的内容了。因为这样做非常不安全,所以赶快通过下面的命令把 cat 的 SUID 权限移除掉:

    $ sudo chmod 755 /bin/cat

    SGID

    当 s 标志出现在用户组的 x 权限时称为 SGID。SGID 的特点与 SUID 相同,我们通过 /usr/bin/mlocate 程序来演示其用法。mlocate 程序通过查询数据库文件 /var/lib/mlocate/mlocate.db 实现快速的文件查找。 mlocate 程序的权限如下图所示:

    很明显,它被设置了 SGID 权限。下面是数据库文件 /var/lib/mlocate/mlocate.db 的权限信息:很明显,它被设置了 SGID 权限。下面是数据库文件 /var/lib/mlocate/mlocate.db 的权限信息:

    普通用户 tester 执行 mlocate 命令时,tester 就会获得用户组 mlocate 的执行权限,又由于用户组 mlocate 对 mlocate.db 具有读权限,所以 tester 就可以读取 mlocate.db 了。程序的执行过程如下图所示:

    除二进制程序外,SGID 也可以用在目录上。当一个目录设置了 SGID 权限后,它具有如下功能:

    下面看个例子,创建 testdir 目录,目录的权限设置如下:

    此时目录 testdir 的 owner 是 nick,所属的 group 为 tester。

    先创建一个名为 nickfile 的文件:

    这个文件的权限看起来没有什么特别的。然后给 testdir 目录设置 SGID 权限:

    $ sudo chmod 2775 testdir

    然后再创建一个文件 nickfile2:

    新建的文件所属的组为 tester!

    总结一下,当 SGID 作用于普通文件时,和 SUID 类似,在执行该文件时,用户将获得该文件所属组的权限。当 SGID 作用于目录时,意义就非常重大了。当用户对某一目录有写和执行权限时,该用户就可以在该目录下建立文件,如果该目录用 SGID 修饰,则该用户在这个目录下建立的文件都是属于这个目录所属的组。

    SBIT

    其实 SBIT 与 SUID 和 SGID 的关系并不大。

    SBIT 是 the restricted deletion flag or sticky bit 的简称。

    SBIT 目前只对目录有效,用来阻止非文件的所有者删除文件。比较常见的例子就是 /tmp 目录:

    权限信息中最后一位 t 表明该目录被设置了 SBIT 权限。SBIT 对目录的作用是:当用户在该目录下创建新文件或目录时,仅有自己和 root 才有权力删除。

    注:SBIT对文件不起作用。

    设置 SUID、SGID、SBIT 权限

    以数字的方式设置权限

    SUID、SGID、SBIT 权限对应的数字如下:

    SUID->4
    SGID->2
    SBIT->1

    所以如果要为一个文件权限为 "-rwxr-xr-x" 的文件设置 SUID 权限,需要在原先的 755 前面加上 4,也就是 4755:

    $ chmod 4755 filename

    同样,可以用 2 和 1 来设置 SGID 和 SBIT 权限。设置完成后分别会用 s, s, t 代替文件权限中的 x。

    其实,还可能出现 S 和 T 的情况。S 和 t 是替代 x 这个权限的,但是,如果它本身没有 x 这个权限,添加 SUID、SGID、SBIT 权限后就会显示为大写 S 或大写 T。比如我们为一个权限为 666 的文件添加 SUID、SGID、SBIT 权限:

    执行 chmod 7666 nickfile,因为 666 表示 "-rw-rw-rw",均没有 x 权限,所以最后变成了 "-rwSrwSrwT"。

    通过符号类型改变权限

    除了使用数字来修改权限,还可以使用符号:

    $ chmod u+s testfile # 为 testfile 文件加上 SUID 权限。
    $ chmod g+s testdir # 为 testdir 目录加上 SGID 权限。
    $ chmod o+t testdir # 为 testdir 目录加上 SBIT 权限。

    总结

    SUID、SGID、SBIT 权限都是为了实现特殊功能而设计的,其目的是弥补 ugo 权限无法实现的一些使用场景。

    参考:

    上一篇:Linux进程网络流量统计的实现过程
    下一篇:linux中SUID,SGID与SBIT的奇妙用途详解
  • 相关文章
  • 

    © 2016-2020 巨人网络通讯 版权所有

    《增值电信业务经营许可证》 苏ICP备15040257号-8

    Linux中特殊权限SUID、SGID与SBIT的深入讲解 Linux,中,特殊,权限,SUID,SGID,