Linux权限管理 文件特殊权限

概述

除了我们前面介绍的rwx权限外，Linux中还有另外三种特殊权限：SUID,SGID,SBIT

权限	执行条件	执行示例
SUID	s出现在文件所有者的x权限上。 1. SUID只能用于二进制可执行文件，对目录无效 2. 执行者若具有该文件的x权限，则将具有文件所有者的权限 3. 权限只在文件执行时有效，执行完毕不再拥有所有者权限	chmod u+s test #为test文件加上suid权限 chmod 4777 test #为test文件加上suid权限
SGID	s出现在文件所属群组的x权限上。 SGID和SUID不同，可以用于目录 1. 使用者若有此目录的x,w权限，则可进入和修改此目录 2. 使用者在此目录下的群组将变成该目录的群组， 新建的文件，群组是此目录的群组。 SGID对于文件来说 1. SGID只对二进制可执行文件有效 2. 执行者若具有该文件的x权限，则将具有文件所属群组的权限 3. 权限只在文件执行时有效，执行完毕不再拥有所属群组权限	chmod g+s test #为test文件加上sgid权限 chmod 2777 test #为test文件加上sgid权限
SBIT	t出现在文件其他用户的x权限上。 1. 和SUID,SGID不同的是，只能用于目录 2. 使用者在该目录下，仅自己与root才有权力删除新建的目录或文件	chmod o+t test #为test文件加上sbit权限 chmod 1777 test #为test文件加上sbit权限

使用SUID特殊权限

在 Linux 系统中我们已经学习过 r（读）、w（写）、 x（执行）这三种文件普通权限，但是我们在査询系统文件权限时会发现出现了一些其他权限字母，比如：

[root@localhost ~]# ll /usr/bin/passwd
-rwsr-xr-x.  root root  Jun    /usr/bin/passwd

可以看见在属主本来应该写 x（执行）权限的位置出现了一个小写 s，我们把这种权限称作 SetUID 权限，也叫作SUID 的特殊权限。

我们知道，在 Linux 系统中，每个普通用户都可以更改自己的密码，这是合理的设置。问题是，普通用户的信息保存在 /etc/passwd 文件中，用户的密码实际保存在 /etc/shadow 文件中，也就是说，普通用户在更改自己的密码时修改了 /etc/shadow 文件中的加密密码，但是，看下面的代码：

[root@localhost ~]# ll /etc/passwd
-rw-r--r--.  root root  Nov   : /etc/passwd
[root@localhost ~]# ll /etc/shadow
----------.  root root  Nov   : /etc/shadow

/etc/passwd 文件的权限是 644，意味着只有超级用户 root 可以读/写，普通用户只有只读权限。

/etc/shadow 文件的权限是 000，也就是没有任何权限。意味着只有超级用户可以读取文件内容，并且可以强制修改文件内容；而普通用户没有任何针对 /etc/shadow 文件的权限。

换句话说，普通用户对这两个文件其实都是没有写权限的，那为什么普通用户可以修改自己的权限呢？

其实，普通用户可以修改自己的密码的秘密不在于 /etc/passwd 和 /etc/shadow 这两个文件，而在于 passwd 命令。我们再来看看 passwd 命令的权限：

[root@localhost ~]# ll /usr/bin/passwd
-rwsr-xr-x.  root root  Jun    /usr/bin/passwd

passwd 命令拥有特殊权限 SetUID，也就是在属主的权限位的执行权限上是 s。可以这样来理解它：当一个具有执行权限的文件设置 SetUID 权限后，用户在执行这个文件时将以文件所有者的身份来执行。passwd 命令拥有 SetUID 权限，所有者为 root（Linux 中的命令默认所有者都是 root），也就是说，当普通用户使用 passwd 命令更改自己的密码的时候，实际上是在用 passwd 命令所有者 root 的身份在执行 passwd 命令，root 当然可以将密码写入 /etc/shadow 文件，所以普通用户也可以修改 /etc/shadow 文件，命令执行完成后，该身份也随之消失。

举个例子，有一个用户 zhangsan，他可以修改自己的权限，因为 passwd 命令拥有 SetUID 权限；但是他不能査看 /etc/shadow 文件的内容，因为査看文件的命令（如 cat）没有 SetUID 权限。命令如下：

[root@localhost ~]# su - zhangsan
[lamp@localhost ~]$ passwd
更改用户zhangsan的密码。
为zhangsan更改STRESS密码。
（当前）UNIX密码：
新的密码：
重新输入新的密码：
passwd:所有的身份验证令牌已经成功更新
[zhangsan@localhost ~]$ cat /etc/shadow
cat:/etc/shadow:权限不够

说明：passwd 是系统命令，可以执行，所以可以赋予 SetUID 权限。

当zhangsan用户执行passwd命令时：

zhangsan用户对 passwd 命令拥有 x（执行）权限。

zhangsan用户在执行 passwd 命令的过程中，会暂时切换为 root 身份，所以可以修改 /etc/shadow 文件。

命令结束，zhangsan 用户切换回自己的身份。

cat 命令没有 SetUID 权限，所以就使用 zhangsan用户身份去访问 /etc/shadow 文件，当然没有相应权限了。

如果把 /usr/bin/passwd 命令的 SetUID 权限取消，普通用户是不是就不能修改自己的密码：

[root@localhost ~]# chmod u-s /usr/bin/passwd
[root@localhost ~]# ll /usr/bin/passwd
-rwxr-xr-x. root root 2289656 Jun 10  2014/usr/bin/passwd
[root@localhost ~]# su -zhangsan
[zhangsan@localhost ~]$ passwd
更改用户zhangsan的密码。
为zhangsan更改STRESS密码。
（当前）UNIX密码：
新的密码：
重新输入新的密码：
passwd:鉴定令牌操作错误

最后提示passwd:鉴定令牌操作错误，所以最后密码没有生效

刚刚把系统命令本身拥有的 SetUID 权限取消，这样会导致命令本身可以执行的功能失效。但是如果给默认没有 SetUID 权限的系统命令赋予了 SetUID 权限的话系统就会出现重大安全隐患，这种操作一定不要随意执行，例如 给vim添加SetUID权限

[root@localhost ~]# chmod u+s /usr/bin/vim
[root@localhost ~]# ll /usr/bin/vim
-rwsr-xr-x  root root 2289656 Jun 10  2014 /usr/bin/vim

当 vim 命令拥有了 SetUID 权限后，任何普通用户在使用 vim 命令时，都会暂时获得 root 的身份和权限，很多普通用户本身不能査看和修改的文件马上就可以査看了，包括 /etc/passwdf 和 /etc/shadow 这两个重要的用户信息文件，这样我就可以轻易地把自己的 UID 改为 0，升级为超级用户了。如果我修改了系统重要的启动文件，比如 /etc/inittab 或 /etc/fstab，就可以轻易地导致系统瘫痪。

其实任何只有管理员可以执行的命令，如果被赋予了 SetUID 权限，那么普通用户都可以执行它进行相应的操作。大家可以想象普通用户可以随时重启服务器、随时关闭看得不顺眼的服务。所以，SetUID 权限不能随便设置，同时要防止黑客的恶意修改

使用SGID特殊权限

当 s 标志在属主的 x 位置时是 SetUID， s 标志在属组的 x 位置时是 SetGID，简称为SGID。比如：

[root@localhost ~]# ll /usr/bin/locate
-rwx--s--x.  root slocate  Jun    /usr/bin/locate

和 passwd 命令类似，普通用户在执行 locate 命令的时候，会获取 locate 属组的组身份。locate 命令是在系统中按照文件名査找符合条件的文件的，不过它不是直接搜索系统的，而是搜索 /var/lib/mlocate/mlocate.db 这个数据库的。我们来看看这个数据库的权限。

[root@localhost ~]# ll /var/lib/mlocate/mlocate.db
-rw-r-----.  root slocate  Nov  : /var/lib/mlocate/mlocate.db

大家会发现，属主权限是 r、w，属组权限是 r，其他人的权限是 0。

说明：

当zhangsan用户执行locate命令时：

1. /usr/bin/locate 是可执行二进制程序，可以被赋予 SetGID 权限。

2. 执行用户 zhangsan 对 locate 命令拥有执行权限。

3. 执行 locate 命令时，组身份会升级为 slocate 组，而 slocate 组对 /var/lib/mlocate/mlocate.db 数据库拥有 r 权限，所以普通用户可以使用 locate 命令査询 mlocate.db 数据库。

4. 命令结束，zhangsan 用户的组身份返回为 zhangsan 组。

使用SBIT特殊权限

当 t 标志在其他人的 x 位置时是 Stick BIT(粘着位)，简称为SBIT。比如：

[root@localhost ~]# ll -d /tmp
drwxrwxrwt. 19 root root 4096 Nov 17 16:10 /tmp

默认系统中 /temp/ 目录拥有 SBIT 权限。在其他人的 x 权限位，被 t 符号占用了，代表 /tmp/ 目录拥有 SBIT 权限。我们使用 zhangsan 用户在 /tmp/ 目录中建立测试文件 ftest，然后使用 lisi用户尝试删除。如果没有 SBIT 权限，而 /tmp/ 目录的权限是 777，那么 lisi用户应该可以删除 ftest 文件。

但是/tmp目录拥有了 SBIT 权限，lisi 用户不能删除其他用户建立的文件：

[root@localhost ~]# useradd zhangsan
[root@localhost ~]# useradd lisi
[root@localhost ~]# su -zhangsan
[zhangsan@localhost ~]$ cd /tmp/
[zhangsan@localhost tmp]$ touch ftest
[zhangsan@localhost tmp]$ll ftest
-rw-rw-r--  zhangsan zhangsan 11月20 : ftest
[zhangsan@localhost tmp]$ su - lisi
密码：
输入lisi用户的密码
[lisi @localhost ~]$ cd /tmp/
[lisi @localhost tmp]$ rm -rf ftest
rm:无法删除"ftest":不允许的操作

虽然/tmp/目录的权限是777，但是拥有SBIT权限，所以 lisi 用户不能删除其他用户建立的文件