首页 > 代码库 > linux特殊权限(二)

linux特殊权限(二)

  在上文基本权限中讲述了rwx的作用。但是或许有人在权限蓝栏看到了一个s符号,这个就是特殊权限。

文件的特殊权限包括:SUID、SGID、SBIT。

  1.SUID,借出程序所有者的权限

hang@hang:/home$ ll /usr/bin/passwd 
-rwsr-xr-x 1 root root 54256 3月  29  2016 /usr/bin/passwd*   #拥有SUID权限,第一组rwx中的x改为s

 

  passwd命令为修改用户的密码,根据权限可以得知同一用户组或其他人都可以调用改命令。但是passwd命令需要修改/etc/shadow文件,此文件存储账号的密码。

hang@hang:/home$ ll /etc/shadow
-rw-r----- 1 root shadow 1517 11月 26 20:08 /etc/shadow
hang@hang:/home$ 

  可以看到,这个被passwd所修改的文件,权限仅仅允许root用户修改。那么问题来了~

  其他用户虽然可以调用passwd命令,但是不能修改/etc/shadow这个文件啊,那么密码怎么存储?

  这就是SUID的作用,你不是没有权利修改/etc/shadow文件吗?我(程序所有者)给你啊。也就是说,在这个时候,其他用户调用passwd命令已经暂时获得root用户的权限,这时去修改/etc/shadow是利用root用户的权限去修改。

  • SUID权限仅限二进制程序有效
  • 执行者需要有x权限
  • 执行者获得该程序所有者的权限
  • 仅在本程序执行中拥有改权限

  简单来说,这个s权限,会将程序所有者拥有的权限暂时借给其他人使用,前提是其他人拥有这个程序的x权限。

  2. SGID,借出用户组的权限

hang@hang:/home$ ll
drwxr-xr-x 23 hang hang 4096 11月 27 18:47 hang/
drwxr-xr-x  2 zncu zncu 4096 11月 25 20:47 zncu/
drwxrws---  2 root znha 4096 11月 25 20:48 znha/

  简单来说,SGID和SUID一个是把用户组的权限暂时借出一个是把所有者的权限暂时借出。

  • SGID对二进制程序依然有效
  • 程序执行者需要具有x权限
  • 执行者在执行过程中暂时获得用户组的权限

  但是,SGID也可以针对目录或者文件使用,上面的例子就是对目录的使用。

那么它有什么作用那?

  • 用户(hang)对此目录(znha)具有r与x权限时,该用户可以进入此目录。
  • 用户在此目录下的有效用户组将变成该目录的用户组。
  • 若用户对此目录具有w权限时,那么用户创建的文件的用户组将为此目录的用户组。
hang@hang:/home$ groups hang  #hang用户在znha用户组里,所以具有进入znha目录的权限
hang : hang znha

在此目录创建文件,观察该文件所在用户组

hang@hang:/home/znha$ touch test
hang@hang:/home/znha$ ll
-rw-rw-r-- 1 hang znha    0 11月 27 20:54 test  #hang用户在具有SGID的目录里创建文件,该文件的用户组为znha(该目录所在用户组)
hang@hang:~$ cd hang/
hang@hang:~/hang$ touch test           #在其他目录里创建文件,文件的用户组为hang(用户的主用户组)     
hang@hang:~/hang$ ll
-rw-rw-r--  1 hang hang    0 11月 27 20:56 test



可以看到,该文件的用户组问znha,而不是hang。这种特性可以使在同一用户组的多个用户拥有共同的目录,在创建文件时该用户组的所有用户都有相同的权利操作文件。

3. SBIT,对目录有效

  •  当用户对于此目录具有w、x权限时,即具有写入的权限
  •  用户在此目录创建文件时,只有自己和root才有权利删除(以及其他w相关操作)该文件
  •  用户不允许对其他用户的文件操作
drwxrwxrwt  15 root root  4096 11月 27 21:06 tmp/  #具有SBIT权限,最后一个字母t标示。

 

  特殊权限的设置:

  SUID:4

  SGID:2

  SBIT:1

  chmod 4777  test ,添加SUID权限。

 

http://www.cnblogs.com/yuhanghzsd/p/6107362.html

 

linux特殊权限(二)