原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://soysauce93.blog.51cto.com/7589461/1715583

一、SUID

定义:运行某程序时,相应进程的属主是程序文件自身的属主,而不是启动者

赋予SUID位方法:chmod u+s FILE

撤销SUID位方法:chmod u-s FILE

注:如果FILE本身原来就有执行权限,则SUID显示为s;否则显示S

[root@soysauce ~]# ll `which tail`

-rwxr-xr-x. 1 root root 57560 Nov 22  2013 /usr/bin/tail    # 默认没有SUID位

[root@soysauce ~]# su - user1                               # 切换至user1用户

[user1@soysauce ~]$ tail -1 /etc/shadow                # 此时tail进程的属主属组都为user1

tail: cannot open `/etc/shadow' for reading: Permission denied

[user1@soysauce ~]$ exit

logout

[root@soysauce ~]# chmod u+s /usr/bin/tail                    # 赋予tail命令SUID位

[root@soysauce ~]# ll /usr/bin/tail

-rwsr-xr-x. 1 root root 57560 Nov 22  2013 /usr/bin/tail

[root@soysauce ~]# su - user1

[user1@soysauce ~]$ tail -1 /etc/shadow                # 此时tail进程的属主属组都为root

user2:!!:16760:0:99999:7:::

过程详述:

当tail命令没有SUID位时,user1用户发起tail进程,此时tail这个进程的属主为user1,属组为user1用户所在的基本组,当这个tail进程访问/etc/shadow文件时,tail进程的属主user1既不是/etc/shadow文件的属主,也不属于shadow文件的属组,于是以其他人的权限访问这个shadow文件,因为其他人并没有任何权限,所以读取不了,会提示权限拒绝;当tail命令有了SUID位时,任何用户发起tail进程时,tail进程的属主变为了这个tail文件本身的属主,属组变为了tail文件本身的基本组,再次访问/etc/shadow文件时,tail进程的属主刚好是shadow文件的属主,于是便应用属主的权限来访问。

二、SGID

定义:运行某程序时,相应进程的属组是程序文件自身的属组,而不是启动者所属的基本组

赋予SGID位方法:chmod g+s FILE

撤销SGID位方法:chmod g-s FILE

注:如果FILE本身原来就有执行权限,则SUID显示为s;否则显示S

对一个目录赋予SGID权限位时,任何用户在这个目录下创建文件时,文件的属组是这个目录的属组,而不是用户的基本组

例:user1,user2,user3都属于Develop组,且都需要在/tmp/project目录下编辑这个Develop组内其他用户创建的文件,此时就需要用到SGID了。

[root@soysauce tmp]# groupadd Develop

[root@soysauce tmp]# usermod -a -G Develop user1   # 将user1、user2、user3添加到Develop组

[root@soysauce tmp]# usermod -a -G Develop user2

[root@soysauce tmp]# usermod -a -G Develop user3

[root@soysauce tmp]# id user1            # 此时可以看到user1有个附加组Develop

uid=500(user1) gid=500(user1) groups=500(user1),503(Develop)

[root@soysauce tmp]# chown :Develop project/

[root@soysauce tmp]# ll

total 820

-rw-r--r-- 1 root root    832104 Sep 18 12:54 nginx-1.8.0.tar.gz

drwxrwxr-x 2 root Develop   4096 Nov 21 20:26 project

[root@soysauce tmp]# su - user1    # 切换为user1用户

[user1@soysauce ~]$ cd /tmp/project/

[user1@soysauce project]$ touch a

[user1@soysauce project]$ ll

total 0

-rw-rw-r-- 1 user1 user1 0 Nov 21 20:31 a        # a文件的属主属组都为user1

[user1@soysauce project]$ exit

logout

[root@soysauce tmp]# su - user2               # 切换用户为user2

[user2@soysauce ~]$ cd /tmp/project/

[user2@soysauce project]$ echo "hello" >> a       # 往a文件中添加一行hello

-bash: a: Permission denied               # 其他用户并没有写权限

[user2@soysauce project]$ exit             # 退出,切换为root用户

logout

[root@soysauce tmp]# chmod g+s /tmp/project/        # 给project目录添加SGID

[root@soysauce tmp]# ll  -d /tmp/project/

drwxrwsr-x 2 root Develop 4096 Nov 21 20:31 /tmp/project/  # 此时project目录基本组已变为了Develop组

[root@soysauce tmp]# su - user1            # 重新切换为user1用户

[user1@soysauce ~]$ touch /tmp/project/b         # 创建一个新文件b

[user1@soysauce ~]$ ll /tmp/project/b

-rw-rw-r-- 1 user1 Develop 0 Nov 21 20:39 /tmp/project/b    # b的基本组为Develop组

[user1@soysauce ~]$ exit

logout

[root@soysauce tmp]# su - user2           # 切换为Develop组内的另一个用户user2

[user2@soysauce ~]$ echo "Hello" >> /tmp/project/b    # 往b文件中写字符串Hello

[user2@soysauce ~]$ cat /tmp/project/b

Hello     # 写入成功,此时Develop组内用户可以随意其他用户在/tmp/project目录下新创建的文件

三、Sticky

定义:运行某程序时,相应进程的属组是程序文件自身的属组,而不是启动者所属的基本组

赋予SGID位方法:chmod g+s FILE

撤销SGID位方法:chmod g-s FILE

注:如果FILE本身原来就有执行权限,则SUID显示为s;否则显示S

对一个目录赋予SGID权限位时,任何用户在这个目录下创建文件时,文件的属组是这个目录的属组,而不是用户的基本组

例:user1,user2,user3都属于Develop组,且都需要在/tmp/project目录下编辑这个Develop组内其他用户创建的文件,此时就需要用到SGID了。

[root@soysauce tmp]# groupadd Develop

[root@soysauce tmp]# usermod -a -G Develop user1   # 将user1、user2、user3添加到Develop组

[root@soysauce tmp]# usermod -a -G Develop user2

[root@soysauce tmp]# usermod -a -G Develop user3

[root@soysauce tmp]# id user1            # 此时可以看到user1有个附加组Develop

uid=500(user1) gid=500(user1) groups=500(user1),503(Develop)

[root@soysauce tmp]# chown :Develop project/

[root@soysauce tmp]# ll

total 820

-rw-r--r-- 1 root root    832104 Sep 18 12:54 nginx-1.8.0.tar.gz

drwxrwxr-x 2 root Develop   4096 Nov 21 20:26 project

[root@soysauce tmp]# su - user1    # 切换为user1用户

[user1@soysauce ~]$ cd /tmp/project/

[user1@soysauce project]$ touch a

[user1@soysauce project]$ ll

total 0

-rw-rw-r-- 1 user1 user1 0 Nov 21 20:31 a        # a文件的属主属组都为user1

[user1@soysauce project]$ exit

logout

[root@soysauce tmp]# su - user2               # 切换用户为user2

[user2@soysauce ~]$ cd /tmp/project/

[user2@soysauce project]$ echo "hello" >> a       # 往a文件中添加一行hello

-bash: a: Permission denied               # 其他用户并没有写权限

[user2@soysauce project]$ exit             # 退出,切换为root用户

logout

[root@soysauce tmp]# chmod g+s /tmp/project/        # 给project目录添加SGID

[root@soysauce tmp]# ll  -d /tmp/project/

drwxrwsr-x 2 root Develop 4096 Nov 21 20:31 /tmp/project/  # 此时project目录基本组已变为了Develop组

[root@soysauce tmp]# su - user1            # 重新切换为user1用户

[user1@soysauce ~]$ touch /tmp/project/b         # 创建一个新文件b

[user1@soysauce ~]$ ll /tmp/project/b

-rw-rw-r-- 1 user1 Develop 0 Nov 21 20:39 /tmp/project/b    # b的基本组为Develop组

[user1@soysauce ~]$ exit

logout

[root@soysauce tmp]# su - user2           # 切换为Develop组内的另一个用户user2

[user2@soysauce ~]$ echo "Hello" >> /tmp/project/b    # 往b文件中写字符串Hello

[user2@soysauce ~]$ cat /tmp/project/b

Hello     # 写入成功,此时Develop组内用户可以随意其他用户在/tmp/project目录下新创建的文件

三、Sticky

定义:在一个公共目录,每个都可以创建文件,删除自己的文件,但不能删除别人的文件

赋予Sticky位方法:chmod o+t DIR

撤销Sticky位方法:chmod o-t DIR

注:如果FILE本身原来就有执行权限,则SUID显示为s;否则显示S

对一个目录赋予Sticky位时,用户只能删除在该目录下自己创建的文件,并不能删除其他用户的文件。

[user2@soysauce project]$ ll

total 4

-rw-rw-r-- 1 user1 Develop   0 Nov 21 20:31 a

-rw-rw-r-- 1 user1 Develop 6 Nov 21 20:40 b

[user2@soysauce project]$ rm -rf b        # 已经删除成功

[user2@soysauce project]$ touch c

[user2@soysauce project]$ ll

total 0

-rw-rw-r-- 1 user1 Develop   0 Nov 21 20:31 a

-rw-rw-r-- 1 user2 Develop 0 Nov 21 20:53 c

[user2@soysauce project]$ exit

logout

[root@soysauce tmp]# chmod o+t /tmp/project/        # 给project目录添加Sticky权限位

[root@soysauce tmp]# su - user1

[user1@soysauce ~]$ rm -rf /tmp/project/c           # 删除user2用户创建的文件,提示不允许

rm: cannot remove `/tmp/project/c': Operation not permitted

[user1@soysauce ~]$ rm -rf /tmp/project/a      # 可以删除自己创建的文件,并不能删除其他用户的文件

 

【转】特殊权限控制之SUID、SGID、Sticky的更多相关文章

  1. linux基础2-cd、mkdir、touch、umask、chattr、lsattr、SUID/SGID/Sticky Bit

    一 cd : . 代表当前目录 .. 代表上一层目录 - 代表前一个工作目录 ~ 代表[目前用户身份]所在的自家目录 与cd效果相同 ~account 代表 account 这个用户的自家家目录 二m ...

  2. SUID,SGID,Sticky Bit详解(转)

    SUID属性 passwd命令可以用于更改用户的密码,一般用户可以使用这个命令修改自己的密码.但是保存用户密码的/etc/shadow文件的权限是400,也就是说只有文件的所有者root用户可以写入, ...

  3. SUID ,SGID ,Sticky

    SUID passwd:s SUID: 运行某程序时,相应进程的属主是程序文件自身的属主,而不是启动者: chmod u+s FILE chmod u-s FILE 如果FILE本身原来就有执行权限, ...

  4. 特殊权限:SUID,SGID,Sticky

    特殊权限passwd:s SUID: 运行某程序时,相应进程的属主是程序文件自身的属主,而不是启动者:    chmod u+s FILE    chmod u-s FILE        如果FIL ...

  5. 彻底了解 suid, sgid ,sticky权限

    sticky: 粘性的, 如 : sticky tape: 粘胶带 /tmp, /var/tmp: 位 sticky: 表示: 第一, 任何用户都可以在该目录下创建文件(编辑自己的文件),第二, 但是 ...

  6. 深入理解linux的权限设置和SUID,SGID以及粘滞位

    我们知道文件的权限可以用三个八进制数字表示.其实文件的权限应该用四个八进制来表示,不过用 ls -l 命令时,只显示三个罢了.那个没有显示的八进制数字其实是第一个,它用来设定一些特殊权限.这个八进制数 ...

  7. linux中suid/sgid/sticky及扩展属性(attr)

    suid只适用于命令文件.(如/usr/bin/passwd) 当命令文件上有suid权限时,则操作用户的权限变成属主权限.命令文件上无suid权限则操作用户的权限不变. 查看suid权限: [roo ...

  8. linux文件权限位SUID,SGID,sticky的设置理解

    SUID含义:文件的该位被设置为1,在该文件被执行时,该文件将以所有者的身份运行,也就是说无论谁来           执行这个文件,他都有文件所有者的特权,如果所有者是root的话,那么执行人就有超 ...

  9. Linux 特殊用户权限 suid,sgid, sticky

    每个进程会维护有如下6个ID: 真实身份 : real UID, readl GID --> 登录 shell 使用的身份 有效身份 : effective UID, effective GID ...

随机推荐

  1. JavaScript:改变li前缀图片和样式

    <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/stri ...

  2. shiro权限验证标签

    实例: spring-shiro.xml /admin/repairType/index = roles["ROLE_ADMIN"] /admin/user=roles[" ...

  3. 根据N种规格中的M种规格值生成的全部规格组合的一种算法

    近来在开发SKU模块的时候,遇到这样一个需求,某种商品有N(用未知数N来表示是因为规格的数组由用户制定且随时可以编辑的,所以对程序来说,它是一个未知数)类规格,每一类规格又有M个规格值,各种规格值的组 ...

  4. web.xml文件中配置<mime-mapping>下载文件类型

    TOMCAT在默认情况下下载.rar的文件是把文件当作text打开,以至于IE打开RAR文件为乱码,如果遇到这种情况时不必认为是浏览器的问题,大多数浏览器应该不会死皮赖脸地把二进制文件当作文本打开,一 ...

  5. windows 下svn 创建分支 合并分支 冲突

    我用的系统是win7+Subversion 1.7.4.服务器搭建就略过了,我也是从网上找的,基本上就是几个命令吧!我用的CentOs6.5 .网上找了几个命令搭建很快,基本上是: 1.# sudo  ...

  6. SPOJ #2 Prime Generator

    My first idea was Sieve of Eratosthenes, too. But obviously my coding was not optimal and it exceede ...

  7. 剑指offer系列29-----链表中环的入口节点-

    [题目]一个链表中包含环,请找出该链表的环的入口结点. [思路]方法一:使用双指针 方法二:利用set集合的特性,不能添加重复数字,否则返回false package com.exe7.offer; ...

  8. bzoj2338 数矩形

    给出N(N≤1500)个点,求选四个点作为顶点组成矩形的最大面积,保证有解. 对每两个点连边,按边长排序,枚举等长且中点相同的边作为对角线组成矩形,计算面积取最大值. 时间复杂度O(n2logn) # ...

  9. 216. Combination Sum III

    Find all possible combinations of k numbers that add up to a number n, given that only numbers from ...

  10. 黄聪:如何添加360浏览器(chrome)添加JavaScript例外,禁止网站加载JS

    注意:通配符两侧的[]不能省略