原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://soysauce93.blog.51cto.com/7589461/1715583

一、SUID

定义:运行某程序时,相应进程的属主是程序文件自身的属主,而不是启动者

赋予SUID位方法:chmod u+s FILE

撤销SUID位方法:chmod u-s FILE

注:如果FILE本身原来就有执行权限,则SUID显示为s;否则显示S

[root@soysauce ~]# ll `which tail`

-rwxr-xr-x. 1 root root 57560 Nov 22  2013 /usr/bin/tail    # 默认没有SUID位

[root@soysauce ~]# su - user1                               # 切换至user1用户

[user1@soysauce ~]$ tail -1 /etc/shadow                # 此时tail进程的属主属组都为user1

tail: cannot open `/etc/shadow' for reading: Permission denied

[user1@soysauce ~]$ exit

logout

[root@soysauce ~]# chmod u+s /usr/bin/tail                    # 赋予tail命令SUID位

[root@soysauce ~]# ll /usr/bin/tail

-rwsr-xr-x. 1 root root 57560 Nov 22  2013 /usr/bin/tail

[root@soysauce ~]# su - user1

[user1@soysauce ~]$ tail -1 /etc/shadow                # 此时tail进程的属主属组都为root

user2:!!:16760:0:99999:7:::

过程详述:

当tail命令没有SUID位时,user1用户发起tail进程,此时tail这个进程的属主为user1,属组为user1用户所在的基本组,当这个tail进程访问/etc/shadow文件时,tail进程的属主user1既不是/etc/shadow文件的属主,也不属于shadow文件的属组,于是以其他人的权限访问这个shadow文件,因为其他人并没有任何权限,所以读取不了,会提示权限拒绝;当tail命令有了SUID位时,任何用户发起tail进程时,tail进程的属主变为了这个tail文件本身的属主,属组变为了tail文件本身的基本组,再次访问/etc/shadow文件时,tail进程的属主刚好是shadow文件的属主,于是便应用属主的权限来访问。

二、SGID

定义:运行某程序时,相应进程的属组是程序文件自身的属组,而不是启动者所属的基本组

赋予SGID位方法:chmod g+s FILE

撤销SGID位方法:chmod g-s FILE

注:如果FILE本身原来就有执行权限,则SUID显示为s;否则显示S

对一个目录赋予SGID权限位时,任何用户在这个目录下创建文件时,文件的属组是这个目录的属组,而不是用户的基本组

例:user1,user2,user3都属于Develop组,且都需要在/tmp/project目录下编辑这个Develop组内其他用户创建的文件,此时就需要用到SGID了。

[root@soysauce tmp]# groupadd Develop

[root@soysauce tmp]# usermod -a -G Develop user1   # 将user1、user2、user3添加到Develop组

[root@soysauce tmp]# usermod -a -G Develop user2

[root@soysauce tmp]# usermod -a -G Develop user3

[root@soysauce tmp]# id user1            # 此时可以看到user1有个附加组Develop

uid=500(user1) gid=500(user1) groups=500(user1),503(Develop)

[root@soysauce tmp]# chown :Develop project/

[root@soysauce tmp]# ll

total 820

-rw-r--r-- 1 root root    832104 Sep 18 12:54 nginx-1.8.0.tar.gz

drwxrwxr-x 2 root Develop   4096 Nov 21 20:26 project

[root@soysauce tmp]# su - user1    # 切换为user1用户

[user1@soysauce ~]$ cd /tmp/project/

[user1@soysauce project]$ touch a

[user1@soysauce project]$ ll

total 0

-rw-rw-r-- 1 user1 user1 0 Nov 21 20:31 a        # a文件的属主属组都为user1

[user1@soysauce project]$ exit

logout

[root@soysauce tmp]# su - user2               # 切换用户为user2

[user2@soysauce ~]$ cd /tmp/project/

[user2@soysauce project]$ echo "hello" >> a       # 往a文件中添加一行hello

-bash: a: Permission denied               # 其他用户并没有写权限

[user2@soysauce project]$ exit             # 退出,切换为root用户

logout

[root@soysauce tmp]# chmod g+s /tmp/project/        # 给project目录添加SGID

[root@soysauce tmp]# ll  -d /tmp/project/

drwxrwsr-x 2 root Develop 4096 Nov 21 20:31 /tmp/project/  # 此时project目录基本组已变为了Develop组

[root@soysauce tmp]# su - user1            # 重新切换为user1用户

[user1@soysauce ~]$ touch /tmp/project/b         # 创建一个新文件b

[user1@soysauce ~]$ ll /tmp/project/b

-rw-rw-r-- 1 user1 Develop 0 Nov 21 20:39 /tmp/project/b    # b的基本组为Develop组

[user1@soysauce ~]$ exit

logout

[root@soysauce tmp]# su - user2           # 切换为Develop组内的另一个用户user2

[user2@soysauce ~]$ echo "Hello" >> /tmp/project/b    # 往b文件中写字符串Hello

[user2@soysauce ~]$ cat /tmp/project/b

Hello     # 写入成功,此时Develop组内用户可以随意其他用户在/tmp/project目录下新创建的文件

三、Sticky

定义:运行某程序时,相应进程的属组是程序文件自身的属组,而不是启动者所属的基本组

赋予SGID位方法:chmod g+s FILE

撤销SGID位方法:chmod g-s FILE

注:如果FILE本身原来就有执行权限,则SUID显示为s;否则显示S

对一个目录赋予SGID权限位时,任何用户在这个目录下创建文件时,文件的属组是这个目录的属组,而不是用户的基本组

例:user1,user2,user3都属于Develop组,且都需要在/tmp/project目录下编辑这个Develop组内其他用户创建的文件,此时就需要用到SGID了。

[root@soysauce tmp]# groupadd Develop

[root@soysauce tmp]# usermod -a -G Develop user1   # 将user1、user2、user3添加到Develop组

[root@soysauce tmp]# usermod -a -G Develop user2

[root@soysauce tmp]# usermod -a -G Develop user3

[root@soysauce tmp]# id user1            # 此时可以看到user1有个附加组Develop

uid=500(user1) gid=500(user1) groups=500(user1),503(Develop)

[root@soysauce tmp]# chown :Develop project/

[root@soysauce tmp]# ll

total 820

-rw-r--r-- 1 root root    832104 Sep 18 12:54 nginx-1.8.0.tar.gz

drwxrwxr-x 2 root Develop   4096 Nov 21 20:26 project

[root@soysauce tmp]# su - user1    # 切换为user1用户

[user1@soysauce ~]$ cd /tmp/project/

[user1@soysauce project]$ touch a

[user1@soysauce project]$ ll

total 0

-rw-rw-r-- 1 user1 user1 0 Nov 21 20:31 a        # a文件的属主属组都为user1

[user1@soysauce project]$ exit

logout

[root@soysauce tmp]# su - user2               # 切换用户为user2

[user2@soysauce ~]$ cd /tmp/project/

[user2@soysauce project]$ echo "hello" >> a       # 往a文件中添加一行hello

-bash: a: Permission denied               # 其他用户并没有写权限

[user2@soysauce project]$ exit             # 退出,切换为root用户

logout

[root@soysauce tmp]# chmod g+s /tmp/project/        # 给project目录添加SGID

[root@soysauce tmp]# ll  -d /tmp/project/

drwxrwsr-x 2 root Develop 4096 Nov 21 20:31 /tmp/project/  # 此时project目录基本组已变为了Develop组

[root@soysauce tmp]# su - user1            # 重新切换为user1用户

[user1@soysauce ~]$ touch /tmp/project/b         # 创建一个新文件b

[user1@soysauce ~]$ ll /tmp/project/b

-rw-rw-r-- 1 user1 Develop 0 Nov 21 20:39 /tmp/project/b    # b的基本组为Develop组

[user1@soysauce ~]$ exit

logout

[root@soysauce tmp]# su - user2           # 切换为Develop组内的另一个用户user2

[user2@soysauce ~]$ echo "Hello" >> /tmp/project/b    # 往b文件中写字符串Hello

[user2@soysauce ~]$ cat /tmp/project/b

Hello     # 写入成功,此时Develop组内用户可以随意其他用户在/tmp/project目录下新创建的文件

三、Sticky

定义:在一个公共目录,每个都可以创建文件,删除自己的文件,但不能删除别人的文件

赋予Sticky位方法:chmod o+t DIR

撤销Sticky位方法:chmod o-t DIR

注:如果FILE本身原来就有执行权限,则SUID显示为s;否则显示S

对一个目录赋予Sticky位时,用户只能删除在该目录下自己创建的文件,并不能删除其他用户的文件。

[user2@soysauce project]$ ll

total 4

-rw-rw-r-- 1 user1 Develop   0 Nov 21 20:31 a

-rw-rw-r-- 1 user1 Develop 6 Nov 21 20:40 b

[user2@soysauce project]$ rm -rf b        # 已经删除成功

[user2@soysauce project]$ touch c

[user2@soysauce project]$ ll

total 0

-rw-rw-r-- 1 user1 Develop   0 Nov 21 20:31 a

-rw-rw-r-- 1 user2 Develop 0 Nov 21 20:53 c

[user2@soysauce project]$ exit

logout

[root@soysauce tmp]# chmod o+t /tmp/project/        # 给project目录添加Sticky权限位

[root@soysauce tmp]# su - user1

[user1@soysauce ~]$ rm -rf /tmp/project/c           # 删除user2用户创建的文件,提示不允许

rm: cannot remove `/tmp/project/c': Operation not permitted

[user1@soysauce ~]$ rm -rf /tmp/project/a      # 可以删除自己创建的文件,并不能删除其他用户的文件

 

【转】特殊权限控制之SUID、SGID、Sticky的更多相关文章

  1. linux基础2-cd、mkdir、touch、umask、chattr、lsattr、SUID/SGID/Sticky Bit

    一 cd : . 代表当前目录 .. 代表上一层目录 - 代表前一个工作目录 ~ 代表[目前用户身份]所在的自家目录 与cd效果相同 ~account 代表 account 这个用户的自家家目录 二m ...

  2. SUID,SGID,Sticky Bit详解(转)

    SUID属性 passwd命令可以用于更改用户的密码,一般用户可以使用这个命令修改自己的密码.但是保存用户密码的/etc/shadow文件的权限是400,也就是说只有文件的所有者root用户可以写入, ...

  3. SUID ,SGID ,Sticky

    SUID passwd:s SUID: 运行某程序时,相应进程的属主是程序文件自身的属主,而不是启动者: chmod u+s FILE chmod u-s FILE 如果FILE本身原来就有执行权限, ...

  4. 特殊权限:SUID,SGID,Sticky

    特殊权限passwd:s SUID: 运行某程序时,相应进程的属主是程序文件自身的属主,而不是启动者:    chmod u+s FILE    chmod u-s FILE        如果FIL ...

  5. 彻底了解 suid, sgid ,sticky权限

    sticky: 粘性的, 如 : sticky tape: 粘胶带 /tmp, /var/tmp: 位 sticky: 表示: 第一, 任何用户都可以在该目录下创建文件(编辑自己的文件),第二, 但是 ...

  6. 深入理解linux的权限设置和SUID,SGID以及粘滞位

    我们知道文件的权限可以用三个八进制数字表示.其实文件的权限应该用四个八进制来表示,不过用 ls -l 命令时,只显示三个罢了.那个没有显示的八进制数字其实是第一个,它用来设定一些特殊权限.这个八进制数 ...

  7. linux中suid/sgid/sticky及扩展属性(attr)

    suid只适用于命令文件.(如/usr/bin/passwd) 当命令文件上有suid权限时,则操作用户的权限变成属主权限.命令文件上无suid权限则操作用户的权限不变. 查看suid权限: [roo ...

  8. linux文件权限位SUID,SGID,sticky的设置理解

    SUID含义:文件的该位被设置为1,在该文件被执行时,该文件将以所有者的身份运行,也就是说无论谁来           执行这个文件,他都有文件所有者的特权,如果所有者是root的话,那么执行人就有超 ...

  9. Linux 特殊用户权限 suid,sgid, sticky

    每个进程会维护有如下6个ID: 真实身份 : real UID, readl GID --> 登录 shell 使用的身份 有效身份 : effective UID, effective GID ...

随机推荐

  1. Java小陷阱

    基本数据类型与字符串的连接 在Java中,+不仅可作为加法运算符使用,还可作为字符串连接运算符使用. 当把任何基本数据类型的值与字符串值进行连接运算时,基本类型的值将自动类型转换为字符串类型. pub ...

  2. java生成随机字符串uuid

    GUID是一个128位长的数字,一般用16进制表示.算法的核心思想是结合机器的网卡.当地时间.一个随即数来生成GUID.从理论上讲,如果一台机器每秒产生10000000个GUID,则可以保证(概率意义 ...

  3. 在64位系统使用PLSQL Developer

    由于PLSQL Developer没有提供64位的,于是根据网上的资料做了一下整理,发上来 1.下载并安装Oracle 11g R2 64位,在服务器上安装时忽略硬件检测失败信息: 2.下载Oracl ...

  4. Java连接Oracle

    Process myProcess = Runtime.getRuntime().exec("ipconfig"); InputStreamReader ir = new Inpu ...

  5. 会话控制:SESSION,COOKIE

    1.http协议: HTTP—超文本传输协议,在TCP协议(长连接.像一个硬件)基础上; 特点:短连接,无状态协议,没法记录本次连接的状态;适用于静态页面的访问,对于后期某些页面是需要浏览器预知客户信 ...

  6. SPOJ #500. Turbo Sort

    Sorting is not an out-dated topic. My own in-place qsort got TLE... so, I simply called stl::sort() ...

  7. Force IE to Open Link in New Tab

    1.First, open Internet Explorer and click on Tools and then Internet Options. 2.Now click on the Set ...

  8. QT显示中文的几个问题

    最近用QT,需要在界面上显示中文,发现QT无法直接在代码中写中文,只能通过曲线救国的方式,比如用QT语言家,QTextCodec的fromloca8bit 研究了半天,终于明白了一些编码的问题 1.V ...

  9. 一个Oracle触发器的示例

    CREATE OR REPLACE TRIGGER WoStateChange AFTER UPDATE on csdbuser.T_PD_WorkOrder for each row declare ...

  10. 2. scala中的数组

    一. 数组声明 定长数组 scala> new Array[String](5) res1: Array[String] = Array(null, null, null, null, null ...