原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://soysauce93.blog.51cto.com/7589461/1715583

一、SUID

定义:运行某程序时,相应进程的属主是程序文件自身的属主,而不是启动者

赋予SUID位方法:chmod u+s FILE

撤销SUID位方法:chmod u-s FILE

注:如果FILE本身原来就有执行权限,则SUID显示为s;否则显示S

[root@soysauce ~]# ll `which tail`

-rwxr-xr-x. 1 root root 57560 Nov 22  2013 /usr/bin/tail    # 默认没有SUID位

[root@soysauce ~]# su - user1                               # 切换至user1用户

[user1@soysauce ~]$ tail -1 /etc/shadow                # 此时tail进程的属主属组都为user1

tail: cannot open `/etc/shadow' for reading: Permission denied

[user1@soysauce ~]$ exit

logout

[root@soysauce ~]# chmod u+s /usr/bin/tail                    # 赋予tail命令SUID位

[root@soysauce ~]# ll /usr/bin/tail

-rwsr-xr-x. 1 root root 57560 Nov 22  2013 /usr/bin/tail

[root@soysauce ~]# su - user1

[user1@soysauce ~]$ tail -1 /etc/shadow                # 此时tail进程的属主属组都为root

user2:!!:16760:0:99999:7:::

过程详述:

当tail命令没有SUID位时,user1用户发起tail进程,此时tail这个进程的属主为user1,属组为user1用户所在的基本组,当这个tail进程访问/etc/shadow文件时,tail进程的属主user1既不是/etc/shadow文件的属主,也不属于shadow文件的属组,于是以其他人的权限访问这个shadow文件,因为其他人并没有任何权限,所以读取不了,会提示权限拒绝;当tail命令有了SUID位时,任何用户发起tail进程时,tail进程的属主变为了这个tail文件本身的属主,属组变为了tail文件本身的基本组,再次访问/etc/shadow文件时,tail进程的属主刚好是shadow文件的属主,于是便应用属主的权限来访问。

二、SGID

定义:运行某程序时,相应进程的属组是程序文件自身的属组,而不是启动者所属的基本组

赋予SGID位方法:chmod g+s FILE

撤销SGID位方法:chmod g-s FILE

注:如果FILE本身原来就有执行权限,则SUID显示为s;否则显示S

对一个目录赋予SGID权限位时,任何用户在这个目录下创建文件时,文件的属组是这个目录的属组,而不是用户的基本组

例:user1,user2,user3都属于Develop组,且都需要在/tmp/project目录下编辑这个Develop组内其他用户创建的文件,此时就需要用到SGID了。

[root@soysauce tmp]# groupadd Develop

[root@soysauce tmp]# usermod -a -G Develop user1   # 将user1、user2、user3添加到Develop组

[root@soysauce tmp]# usermod -a -G Develop user2

[root@soysauce tmp]# usermod -a -G Develop user3

[root@soysauce tmp]# id user1            # 此时可以看到user1有个附加组Develop

uid=500(user1) gid=500(user1) groups=500(user1),503(Develop)

[root@soysauce tmp]# chown :Develop project/

[root@soysauce tmp]# ll

total 820

-rw-r--r-- 1 root root    832104 Sep 18 12:54 nginx-1.8.0.tar.gz

drwxrwxr-x 2 root Develop   4096 Nov 21 20:26 project

[root@soysauce tmp]# su - user1    # 切换为user1用户

[user1@soysauce ~]$ cd /tmp/project/

[user1@soysauce project]$ touch a

[user1@soysauce project]$ ll

total 0

-rw-rw-r-- 1 user1 user1 0 Nov 21 20:31 a        # a文件的属主属组都为user1

[user1@soysauce project]$ exit

logout

[root@soysauce tmp]# su - user2               # 切换用户为user2

[user2@soysauce ~]$ cd /tmp/project/

[user2@soysauce project]$ echo "hello" >> a       # 往a文件中添加一行hello

-bash: a: Permission denied               # 其他用户并没有写权限

[user2@soysauce project]$ exit             # 退出,切换为root用户

logout

[root@soysauce tmp]# chmod g+s /tmp/project/        # 给project目录添加SGID

[root@soysauce tmp]# ll  -d /tmp/project/

drwxrwsr-x 2 root Develop 4096 Nov 21 20:31 /tmp/project/  # 此时project目录基本组已变为了Develop组

[root@soysauce tmp]# su - user1            # 重新切换为user1用户

[user1@soysauce ~]$ touch /tmp/project/b         # 创建一个新文件b

[user1@soysauce ~]$ ll /tmp/project/b

-rw-rw-r-- 1 user1 Develop 0 Nov 21 20:39 /tmp/project/b    # b的基本组为Develop组

[user1@soysauce ~]$ exit

logout

[root@soysauce tmp]# su - user2           # 切换为Develop组内的另一个用户user2

[user2@soysauce ~]$ echo "Hello" >> /tmp/project/b    # 往b文件中写字符串Hello

[user2@soysauce ~]$ cat /tmp/project/b

Hello     # 写入成功,此时Develop组内用户可以随意其他用户在/tmp/project目录下新创建的文件

三、Sticky

定义:运行某程序时,相应进程的属组是程序文件自身的属组,而不是启动者所属的基本组

赋予SGID位方法:chmod g+s FILE

撤销SGID位方法:chmod g-s FILE

注:如果FILE本身原来就有执行权限,则SUID显示为s;否则显示S

对一个目录赋予SGID权限位时,任何用户在这个目录下创建文件时,文件的属组是这个目录的属组,而不是用户的基本组

例:user1,user2,user3都属于Develop组,且都需要在/tmp/project目录下编辑这个Develop组内其他用户创建的文件,此时就需要用到SGID了。

[root@soysauce tmp]# groupadd Develop

[root@soysauce tmp]# usermod -a -G Develop user1   # 将user1、user2、user3添加到Develop组

[root@soysauce tmp]# usermod -a -G Develop user2

[root@soysauce tmp]# usermod -a -G Develop user3

[root@soysauce tmp]# id user1            # 此时可以看到user1有个附加组Develop

uid=500(user1) gid=500(user1) groups=500(user1),503(Develop)

[root@soysauce tmp]# chown :Develop project/

[root@soysauce tmp]# ll

total 820

-rw-r--r-- 1 root root    832104 Sep 18 12:54 nginx-1.8.0.tar.gz

drwxrwxr-x 2 root Develop   4096 Nov 21 20:26 project

[root@soysauce tmp]# su - user1    # 切换为user1用户

[user1@soysauce ~]$ cd /tmp/project/

[user1@soysauce project]$ touch a

[user1@soysauce project]$ ll

total 0

-rw-rw-r-- 1 user1 user1 0 Nov 21 20:31 a        # a文件的属主属组都为user1

[user1@soysauce project]$ exit

logout

[root@soysauce tmp]# su - user2               # 切换用户为user2

[user2@soysauce ~]$ cd /tmp/project/

[user2@soysauce project]$ echo "hello" >> a       # 往a文件中添加一行hello

-bash: a: Permission denied               # 其他用户并没有写权限

[user2@soysauce project]$ exit             # 退出,切换为root用户

logout

[root@soysauce tmp]# chmod g+s /tmp/project/        # 给project目录添加SGID

[root@soysauce tmp]# ll  -d /tmp/project/

drwxrwsr-x 2 root Develop 4096 Nov 21 20:31 /tmp/project/  # 此时project目录基本组已变为了Develop组

[root@soysauce tmp]# su - user1            # 重新切换为user1用户

[user1@soysauce ~]$ touch /tmp/project/b         # 创建一个新文件b

[user1@soysauce ~]$ ll /tmp/project/b

-rw-rw-r-- 1 user1 Develop 0 Nov 21 20:39 /tmp/project/b    # b的基本组为Develop组

[user1@soysauce ~]$ exit

logout

[root@soysauce tmp]# su - user2           # 切换为Develop组内的另一个用户user2

[user2@soysauce ~]$ echo "Hello" >> /tmp/project/b    # 往b文件中写字符串Hello

[user2@soysauce ~]$ cat /tmp/project/b

Hello     # 写入成功,此时Develop组内用户可以随意其他用户在/tmp/project目录下新创建的文件

三、Sticky

定义:在一个公共目录,每个都可以创建文件,删除自己的文件,但不能删除别人的文件

赋予Sticky位方法:chmod o+t DIR

撤销Sticky位方法:chmod o-t DIR

注:如果FILE本身原来就有执行权限,则SUID显示为s;否则显示S

对一个目录赋予Sticky位时,用户只能删除在该目录下自己创建的文件,并不能删除其他用户的文件。

[user2@soysauce project]$ ll

total 4

-rw-rw-r-- 1 user1 Develop   0 Nov 21 20:31 a

-rw-rw-r-- 1 user1 Develop 6 Nov 21 20:40 b

[user2@soysauce project]$ rm -rf b        # 已经删除成功

[user2@soysauce project]$ touch c

[user2@soysauce project]$ ll

total 0

-rw-rw-r-- 1 user1 Develop   0 Nov 21 20:31 a

-rw-rw-r-- 1 user2 Develop 0 Nov 21 20:53 c

[user2@soysauce project]$ exit

logout

[root@soysauce tmp]# chmod o+t /tmp/project/        # 给project目录添加Sticky权限位

[root@soysauce tmp]# su - user1

[user1@soysauce ~]$ rm -rf /tmp/project/c           # 删除user2用户创建的文件,提示不允许

rm: cannot remove `/tmp/project/c': Operation not permitted

[user1@soysauce ~]$ rm -rf /tmp/project/a      # 可以删除自己创建的文件,并不能删除其他用户的文件

 

【转】特殊权限控制之SUID、SGID、Sticky的更多相关文章

  1. linux基础2-cd、mkdir、touch、umask、chattr、lsattr、SUID/SGID/Sticky Bit

    一 cd : . 代表当前目录 .. 代表上一层目录 - 代表前一个工作目录 ~ 代表[目前用户身份]所在的自家目录 与cd效果相同 ~account 代表 account 这个用户的自家家目录 二m ...

  2. SUID,SGID,Sticky Bit详解(转)

    SUID属性 passwd命令可以用于更改用户的密码,一般用户可以使用这个命令修改自己的密码.但是保存用户密码的/etc/shadow文件的权限是400,也就是说只有文件的所有者root用户可以写入, ...

  3. SUID ,SGID ,Sticky

    SUID passwd:s SUID: 运行某程序时,相应进程的属主是程序文件自身的属主,而不是启动者: chmod u+s FILE chmod u-s FILE 如果FILE本身原来就有执行权限, ...

  4. 特殊权限:SUID,SGID,Sticky

    特殊权限passwd:s SUID: 运行某程序时,相应进程的属主是程序文件自身的属主,而不是启动者:    chmod u+s FILE    chmod u-s FILE        如果FIL ...

  5. 彻底了解 suid, sgid ,sticky权限

    sticky: 粘性的, 如 : sticky tape: 粘胶带 /tmp, /var/tmp: 位 sticky: 表示: 第一, 任何用户都可以在该目录下创建文件(编辑自己的文件),第二, 但是 ...

  6. 深入理解linux的权限设置和SUID,SGID以及粘滞位

    我们知道文件的权限可以用三个八进制数字表示.其实文件的权限应该用四个八进制来表示,不过用 ls -l 命令时,只显示三个罢了.那个没有显示的八进制数字其实是第一个,它用来设定一些特殊权限.这个八进制数 ...

  7. linux中suid/sgid/sticky及扩展属性(attr)

    suid只适用于命令文件.(如/usr/bin/passwd) 当命令文件上有suid权限时,则操作用户的权限变成属主权限.命令文件上无suid权限则操作用户的权限不变. 查看suid权限: [roo ...

  8. linux文件权限位SUID,SGID,sticky的设置理解

    SUID含义:文件的该位被设置为1,在该文件被执行时,该文件将以所有者的身份运行,也就是说无论谁来           执行这个文件,他都有文件所有者的特权,如果所有者是root的话,那么执行人就有超 ...

  9. Linux 特殊用户权限 suid,sgid, sticky

    每个进程会维护有如下6个ID: 真实身份 : real UID, readl GID --> 登录 shell 使用的身份 有效身份 : effective UID, effective GID ...

随机推荐

  1. maven设置---Dmaven.multiModuleProjectDirectory system propery is not set.

    设置maven 环境变量: MAVEN_HOME:D:\Java\apache-maven-3.3.3 M2_HOME:D:\Java\apache-maven-3.3.3 path:%MAVEN_H ...

  2. python数据分析之pandas库的Series应用

    一.pandas的数据结构介绍 1. Series 1.1 Series是由一种类似于一维数组的对象,它由一组数据以及一组与之相关的数据索引构成.仅由一组数据可产生最简单的Series. from p ...

  3. 微信公众号开发笔记(C#)

    这篇文章还不错,使用  .net , 对微信用户的想公众号发送的文字进行回复.比较简单,自己可以修改更复杂的回复. 微信公众号开发笔记(C#) 原文地址 需求分析 根据用户在微信上发送至价值中国公众号 ...

  4. openstack(liberty):部署实验平台(一,基础网络环境搭建)

    openstack项目的研究,到今天,算是要进入真实环境了,要部署实验平台了.不再用devstack了.也就是说,要独立controller,compute,storage和network了.要做这个 ...

  5. [原]总结VIM的实用技巧

    VIM真是一个神奇而又复杂的编辑器,让我这样的Linux编程新手茫然不已啊.每次到真正动手编程的时候才发现完全不知道该怎么操作VIM,一点都没感觉到VIM的强大,哈哈--正好今天学习了一点VIM操作技 ...

  6. C# winform 右下角弹出窗口结果

    using System.Runtime.InteropServices; [DllImport("user32")] private static extern bool Ani ...

  7. 在Linux中使用VS Code编译调试C++项目

    最近项目需求,需要在Linux下开发C++相关项目,经过一番摸索,简单总结了一下如何通过VS Code进行编译调试的一些注意事项. 关于VS Code在Linux下的安装这里就不提了,不管是CentO ...

  8. Python 正则表达式-OK

    Python正则表达式入门 一. 正则表达式基础 1.1. 简单介绍 正则表达式并不是Python的一部分. 正则表达式是用于处理字符串的强大工具, 拥有自己独特的语法以及一个独立的处理引擎, 效率上 ...

  9. VS 使用Sql Server 数据库增删改查

    /// <summary> /// 执行查询语句,返回DataSet /// </summary> /// <param name="SQLString&quo ...

  10. BIP_开发案例06_以RB.RDF为数据源BIP.RTF为模板的简单例子(案例)

    2014-05-31 Created By BaoXinjian