原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://soysauce93.blog.51cto.com/7589461/1715583

一、SUID

定义:运行某程序时,相应进程的属主是程序文件自身的属主,而不是启动者

赋予SUID位方法:chmod u+s FILE

撤销SUID位方法:chmod u-s FILE

注:如果FILE本身原来就有执行权限,则SUID显示为s;否则显示S

[root@soysauce ~]# ll `which tail`

-rwxr-xr-x. 1 root root 57560 Nov 22  2013 /usr/bin/tail    # 默认没有SUID位

[root@soysauce ~]# su - user1                               # 切换至user1用户

[user1@soysauce ~]$ tail -1 /etc/shadow                # 此时tail进程的属主属组都为user1

tail: cannot open `/etc/shadow' for reading: Permission denied

[user1@soysauce ~]$ exit

logout

[root@soysauce ~]# chmod u+s /usr/bin/tail                    # 赋予tail命令SUID位

[root@soysauce ~]# ll /usr/bin/tail

-rwsr-xr-x. 1 root root 57560 Nov 22  2013 /usr/bin/tail

[root@soysauce ~]# su - user1

[user1@soysauce ~]$ tail -1 /etc/shadow                # 此时tail进程的属主属组都为root

user2:!!:16760:0:99999:7:::

过程详述:

当tail命令没有SUID位时,user1用户发起tail进程,此时tail这个进程的属主为user1,属组为user1用户所在的基本组,当这个tail进程访问/etc/shadow文件时,tail进程的属主user1既不是/etc/shadow文件的属主,也不属于shadow文件的属组,于是以其他人的权限访问这个shadow文件,因为其他人并没有任何权限,所以读取不了,会提示权限拒绝;当tail命令有了SUID位时,任何用户发起tail进程时,tail进程的属主变为了这个tail文件本身的属主,属组变为了tail文件本身的基本组,再次访问/etc/shadow文件时,tail进程的属主刚好是shadow文件的属主,于是便应用属主的权限来访问。

二、SGID

定义:运行某程序时,相应进程的属组是程序文件自身的属组,而不是启动者所属的基本组

赋予SGID位方法:chmod g+s FILE

撤销SGID位方法:chmod g-s FILE

注:如果FILE本身原来就有执行权限,则SUID显示为s;否则显示S

对一个目录赋予SGID权限位时,任何用户在这个目录下创建文件时,文件的属组是这个目录的属组,而不是用户的基本组

例:user1,user2,user3都属于Develop组,且都需要在/tmp/project目录下编辑这个Develop组内其他用户创建的文件,此时就需要用到SGID了。

[root@soysauce tmp]# groupadd Develop

[root@soysauce tmp]# usermod -a -G Develop user1   # 将user1、user2、user3添加到Develop组

[root@soysauce tmp]# usermod -a -G Develop user2

[root@soysauce tmp]# usermod -a -G Develop user3

[root@soysauce tmp]# id user1            # 此时可以看到user1有个附加组Develop

uid=500(user1) gid=500(user1) groups=500(user1),503(Develop)

[root@soysauce tmp]# chown :Develop project/

[root@soysauce tmp]# ll

total 820

-rw-r--r-- 1 root root    832104 Sep 18 12:54 nginx-1.8.0.tar.gz

drwxrwxr-x 2 root Develop   4096 Nov 21 20:26 project

[root@soysauce tmp]# su - user1    # 切换为user1用户

[user1@soysauce ~]$ cd /tmp/project/

[user1@soysauce project]$ touch a

[user1@soysauce project]$ ll

total 0

-rw-rw-r-- 1 user1 user1 0 Nov 21 20:31 a        # a文件的属主属组都为user1

[user1@soysauce project]$ exit

logout

[root@soysauce tmp]# su - user2               # 切换用户为user2

[user2@soysauce ~]$ cd /tmp/project/

[user2@soysauce project]$ echo "hello" >> a       # 往a文件中添加一行hello

-bash: a: Permission denied               # 其他用户并没有写权限

[user2@soysauce project]$ exit             # 退出,切换为root用户

logout

[root@soysauce tmp]# chmod g+s /tmp/project/        # 给project目录添加SGID

[root@soysauce tmp]# ll  -d /tmp/project/

drwxrwsr-x 2 root Develop 4096 Nov 21 20:31 /tmp/project/  # 此时project目录基本组已变为了Develop组

[root@soysauce tmp]# su - user1            # 重新切换为user1用户

[user1@soysauce ~]$ touch /tmp/project/b         # 创建一个新文件b

[user1@soysauce ~]$ ll /tmp/project/b

-rw-rw-r-- 1 user1 Develop 0 Nov 21 20:39 /tmp/project/b    # b的基本组为Develop组

[user1@soysauce ~]$ exit

logout

[root@soysauce tmp]# su - user2           # 切换为Develop组内的另一个用户user2

[user2@soysauce ~]$ echo "Hello" >> /tmp/project/b    # 往b文件中写字符串Hello

[user2@soysauce ~]$ cat /tmp/project/b

Hello     # 写入成功,此时Develop组内用户可以随意其他用户在/tmp/project目录下新创建的文件

三、Sticky

定义:运行某程序时,相应进程的属组是程序文件自身的属组,而不是启动者所属的基本组

赋予SGID位方法:chmod g+s FILE

撤销SGID位方法:chmod g-s FILE

注:如果FILE本身原来就有执行权限,则SUID显示为s;否则显示S

对一个目录赋予SGID权限位时,任何用户在这个目录下创建文件时,文件的属组是这个目录的属组,而不是用户的基本组

例:user1,user2,user3都属于Develop组,且都需要在/tmp/project目录下编辑这个Develop组内其他用户创建的文件,此时就需要用到SGID了。

[root@soysauce tmp]# groupadd Develop

[root@soysauce tmp]# usermod -a -G Develop user1   # 将user1、user2、user3添加到Develop组

[root@soysauce tmp]# usermod -a -G Develop user2

[root@soysauce tmp]# usermod -a -G Develop user3

[root@soysauce tmp]# id user1            # 此时可以看到user1有个附加组Develop

uid=500(user1) gid=500(user1) groups=500(user1),503(Develop)

[root@soysauce tmp]# chown :Develop project/

[root@soysauce tmp]# ll

total 820

-rw-r--r-- 1 root root    832104 Sep 18 12:54 nginx-1.8.0.tar.gz

drwxrwxr-x 2 root Develop   4096 Nov 21 20:26 project

[root@soysauce tmp]# su - user1    # 切换为user1用户

[user1@soysauce ~]$ cd /tmp/project/

[user1@soysauce project]$ touch a

[user1@soysauce project]$ ll

total 0

-rw-rw-r-- 1 user1 user1 0 Nov 21 20:31 a        # a文件的属主属组都为user1

[user1@soysauce project]$ exit

logout

[root@soysauce tmp]# su - user2               # 切换用户为user2

[user2@soysauce ~]$ cd /tmp/project/

[user2@soysauce project]$ echo "hello" >> a       # 往a文件中添加一行hello

-bash: a: Permission denied               # 其他用户并没有写权限

[user2@soysauce project]$ exit             # 退出,切换为root用户

logout

[root@soysauce tmp]# chmod g+s /tmp/project/        # 给project目录添加SGID

[root@soysauce tmp]# ll  -d /tmp/project/

drwxrwsr-x 2 root Develop 4096 Nov 21 20:31 /tmp/project/  # 此时project目录基本组已变为了Develop组

[root@soysauce tmp]# su - user1            # 重新切换为user1用户

[user1@soysauce ~]$ touch /tmp/project/b         # 创建一个新文件b

[user1@soysauce ~]$ ll /tmp/project/b

-rw-rw-r-- 1 user1 Develop 0 Nov 21 20:39 /tmp/project/b    # b的基本组为Develop组

[user1@soysauce ~]$ exit

logout

[root@soysauce tmp]# su - user2           # 切换为Develop组内的另一个用户user2

[user2@soysauce ~]$ echo "Hello" >> /tmp/project/b    # 往b文件中写字符串Hello

[user2@soysauce ~]$ cat /tmp/project/b

Hello     # 写入成功,此时Develop组内用户可以随意其他用户在/tmp/project目录下新创建的文件

三、Sticky

定义:在一个公共目录,每个都可以创建文件,删除自己的文件,但不能删除别人的文件

赋予Sticky位方法:chmod o+t DIR

撤销Sticky位方法:chmod o-t DIR

注:如果FILE本身原来就有执行权限,则SUID显示为s;否则显示S

对一个目录赋予Sticky位时,用户只能删除在该目录下自己创建的文件,并不能删除其他用户的文件。

[user2@soysauce project]$ ll

total 4

-rw-rw-r-- 1 user1 Develop   0 Nov 21 20:31 a

-rw-rw-r-- 1 user1 Develop 6 Nov 21 20:40 b

[user2@soysauce project]$ rm -rf b        # 已经删除成功

[user2@soysauce project]$ touch c

[user2@soysauce project]$ ll

total 0

-rw-rw-r-- 1 user1 Develop   0 Nov 21 20:31 a

-rw-rw-r-- 1 user2 Develop 0 Nov 21 20:53 c

[user2@soysauce project]$ exit

logout

[root@soysauce tmp]# chmod o+t /tmp/project/        # 给project目录添加Sticky权限位

[root@soysauce tmp]# su - user1

[user1@soysauce ~]$ rm -rf /tmp/project/c           # 删除user2用户创建的文件,提示不允许

rm: cannot remove `/tmp/project/c': Operation not permitted

[user1@soysauce ~]$ rm -rf /tmp/project/a      # 可以删除自己创建的文件,并不能删除其他用户的文件

 

【转】特殊权限控制之SUID、SGID、Sticky的更多相关文章

  1. linux基础2-cd、mkdir、touch、umask、chattr、lsattr、SUID/SGID/Sticky Bit

    一 cd : . 代表当前目录 .. 代表上一层目录 - 代表前一个工作目录 ~ 代表[目前用户身份]所在的自家目录 与cd效果相同 ~account 代表 account 这个用户的自家家目录 二m ...

  2. SUID,SGID,Sticky Bit详解(转)

    SUID属性 passwd命令可以用于更改用户的密码,一般用户可以使用这个命令修改自己的密码.但是保存用户密码的/etc/shadow文件的权限是400,也就是说只有文件的所有者root用户可以写入, ...

  3. SUID ,SGID ,Sticky

    SUID passwd:s SUID: 运行某程序时,相应进程的属主是程序文件自身的属主,而不是启动者: chmod u+s FILE chmod u-s FILE 如果FILE本身原来就有执行权限, ...

  4. 特殊权限:SUID,SGID,Sticky

    特殊权限passwd:s SUID: 运行某程序时,相应进程的属主是程序文件自身的属主,而不是启动者:    chmod u+s FILE    chmod u-s FILE        如果FIL ...

  5. 彻底了解 suid, sgid ,sticky权限

    sticky: 粘性的, 如 : sticky tape: 粘胶带 /tmp, /var/tmp: 位 sticky: 表示: 第一, 任何用户都可以在该目录下创建文件(编辑自己的文件),第二, 但是 ...

  6. 深入理解linux的权限设置和SUID,SGID以及粘滞位

    我们知道文件的权限可以用三个八进制数字表示.其实文件的权限应该用四个八进制来表示,不过用 ls -l 命令时,只显示三个罢了.那个没有显示的八进制数字其实是第一个,它用来设定一些特殊权限.这个八进制数 ...

  7. linux中suid/sgid/sticky及扩展属性(attr)

    suid只适用于命令文件.(如/usr/bin/passwd) 当命令文件上有suid权限时,则操作用户的权限变成属主权限.命令文件上无suid权限则操作用户的权限不变. 查看suid权限: [roo ...

  8. linux文件权限位SUID,SGID,sticky的设置理解

    SUID含义:文件的该位被设置为1,在该文件被执行时,该文件将以所有者的身份运行,也就是说无论谁来           执行这个文件,他都有文件所有者的特权,如果所有者是root的话,那么执行人就有超 ...

  9. Linux 特殊用户权限 suid,sgid, sticky

    每个进程会维护有如下6个ID: 真实身份 : real UID, readl GID --> 登录 shell 使用的身份 有效身份 : effective UID, effective GID ...

随机推荐

  1. ORACLE 重置SEQQUENCE

    select seq.nextval from dual; --假设值是30 alter sequence seq increment by -30; select seq.nextval from ...

  2. DBA常用SQL之会话与等待事件

    SELECT * FROM V$SESSION WHERE USERNAME IS NOT NULL AND STATUS = 'ACTIVE' ORDER BY LOGON_TIME, SID; 1 ...

  3. adb uninstall/pull/push 命令的使用总结

    uninstall的使用 adb uninstall package_name 卸载软件adb -k uninstall package_name 完全删除,包括data/data文件夹也删掉. pu ...

  4. git tag知多少

    这个命令,其实很有用,类似clearcase中的label,就是给一个版本设置一个标记(标签),方便后期查找特定的版本. tag和commit的sha1那串字符串的关系,不是很大,但是还是要说一下的. ...

  5. JSP的Servlet监听器

    JSP的Servlet监听器 来源: http://blog.csdn.net/phoenix_17th/article/details/3868670 Servlet 监听器用于监听一些重要事件的发 ...

  6. 替换、恢复Html中的特殊字符

    public static string HtmlEncode(string theString){theString = theString.Replace(">", &q ...

  7. Visual Studio Professional 2015 (x86 and x64) - DVD (Chinese-Simplified)

    文件名cn_visual_studio_professional_2015_x86_x64_dvd_6846645.isoSHA1629E7154E2695F08A3C692C0B3F6CE19DF6 ...

  8. LintCode "Binary Representation"

    Not hard to think of a solution. But the key is all details. class Solution { public: /** *@param n: ...

  9. docker配置环境

    debian: curl -sSL https://get.docker.com/ | sh curl -sSL https://get.daocloud.io/docker | sh daoclou ...

  10. C# is和as操作符

    is和as操作符 is操作符:检查对象是否与给定类型兼容. 说明: 1.如果所提供的表达式非空,并且所提供的对象可以强制转换为所提供的类型而不会导致引发异常,则 is 表达式的计算结果将是 true, ...