看一下 /tmp/ 和 /bin/passwd 的权限:
drwxrwxrwt. 7 root root 4096 5月 15 20:22 /tmp/ -rwsr-xr-x. 1 root root 27832 6月 10 2014 /bin/passwd会发现
/tmp/的 other 权限中,x变成了t;/bin/passwdowner 权限中,x变成了s
1. SUID 原理
/etc/passwd文件的权限为-rw-r--r--,表示只有 root 能够更改该文件- 用户使用
/bin/passwd命令进行改密,自动修改了/etc/passwd文件- 是不是冲突了?明明 /etc/passwd 文件只有 root 能更改,但普通用户自己进行改密时也能修改
—— SUID 的原因
-
SUID 权限仅针对 二进制可执行程序 有效,不能够用在 shell script 文件上
问:什么是二进制可执行程序?所有命令都是二进制可执行程序吗?
答:自己先用file命令看看/bin/ls、/bin/cd、/bin/passwd这些命令,那些说明是64-bit、32-bit的就是二进制可执行程序。或者可以cat一下这些命令,能正常看到内容的就不是! -
执行者在执行该程序的时候将具有 owner 的权限
这就解答了我们的疑惑,属于 other 的用户在执行/bin/passwd时,自动获取到了 owner 的权限,也就是root的权限,所以才能够修改/etc/passwd文件 -
本权限仅在执行该程序的过程中有效
注意,仅是在执行具有该属性的程序时才有其 owner 的权限
-
执行者的角色(other)必须对该程序具有
x权限
都说了只有在执行过程中才能取得相应权限,所以起码要先能执行吧! -
仅能针对文件,对目录是无效的
2. SGID 原理
SGID 对二进制可执行文件、目录都有效。
对于二进制可执行文件,其效果与 SUID 类似;
对于目录,其效果有些不同
-
对于二进制可执行文件
a. 执行者的角色必须对该程序具有x权限
b. 执行者在执行该程序时将具有 group 的权限
c. 该权限仅在执行该程序的过程中有效 -
对于目录
a. 用户的角色起码要对该目录具有r、x权限
b. 用户在此目录下的有效用户组将变成该目录的所属组
c. 如果用户的角色对该目录拥有w权限,则其新建的文件的所属组都是该目录的所属组
简单解释一下SGID的作用:
- 用户 A、B 都属于 G 组
- 有一个目录 DIR,所属组也为 G
- A 到 DIR 中新建了一个文件 FILE,那么该 FILE 的权限为664(普通用户 umask=002),且 owner 与 group 都为 A
- 由于 FILE 的 owner、group 都为 A,就导致 B 对于该文件属于 other 的角色,只具有
r的权限- 但 A、B 都属于 G 组,他们共同在进行一个项目,对于 DIR 中的文件都需要进行
rw- 此时将 DIR 加上 SGID 权限,那么无论 A 或是 B 再新建文件,该文件的 group 就都是 G 了,这样 A、B 对所有新建的文件都由
rw权限了
更直观的见代码:
## 新建项目组: project
## 添加两名项目组成员:alice、bob,且他两属于 project 组
[root@localhost /]# groupadd project
[root@localhost /]# useradd -G project alice ; useradd -G project bob
[root@localhost /]# id alice
uid=1001(alice) gid=1002(alice) 组=1002(alice),1001(project)
[root@localhost /]# id bob
uid=1002(bob) gid=1003(bob) 组=1003(bob),1001(project)
## 他两需要共同维护一些文件,那么给他们建一个共用的目录,这样他两不就能一起维护文件了吗?
[root@localhost /]# mkdir /srv/ahome && ll -d /srv/ahome
drwxr-xr-x. 2 root root 6 5月 15 23:13 /srv/ahome
## 目录的 group 改为 project,并给目录770的权限
[root@localhost /]# chown :project /srv/ahome/ && chmod 770 /srv/ahome/ && ll -d /srv/ahome/
drwxrwx---. 2 root project 6 5月 15 23:13 /srv/ahome/
## 目录建好了,Alice 在该目录下建了个文件
[root@localhost /]# su alice
[alice@localhost /]$ cd /srv/ahome/
[alice@localhost ahome]$ touch jobs
[alice@localhost ahome]$ exit
## Bob 来试试能不能一起维护文件
[root@localhost /]# su bob
[bob@localhost ahome]$ ll -d /srv/ahome/
drwxrwx---. 2 root project 32 5月 15 23:17 /srv/ahome/ # Bob:嗯,我的 group 和这个目录相同,能 rwx
[bob@localhost /]$ cd /srv/ahome/
[bob@localhost ahome]$ ll jobs
-rw-rw-r--. 1 alice alice 0 5月 15 23:15 jobs # Bob:逗我?这个文件的 owner 和 group 都是 alice,劳资属于 other,只能看!!
## 怎么办呢?试试 SGID 吧!!
[root@localhost /]# chmod 2770 /srv/ahome/ && ll -d /srv/ahome/
drwxrws---. 2 root project 17 5月 15 23:15 /srv/ahome/ # group 的 x 权限变成 s 了
## Alice 再来建个新文件
[root@localhost /]# su alice
[alice@localhost /]$ cd /srv/ahome/
[alice@localhost ahome]$ touch new_jobs
[alice@localhost ahome]$ ll new_jobs
-rw-rw-r--. 1 alice project 0 5月 15 23:17 new_jobs
## 嗯,这回只要能在这个目录里建文件的人,该文件的 group 都会自动变成 project,配合上默认664的权限,那只要是能进来这个目录的人都能以 project 这个组的身份进行 rw 了。
注意:如果带有 SGID 的目录对于 other 角色的权限为 r-x,即便目录下的文件对于 other 用户权限仅为 r--,other 也能够进入该目录后,使用
vim强制 修改该文件。因此对于带有 SGID 的目录(通常作共享用),要谨慎控制 other 的权限,尽量设置成0
3. SBIT 原理
仅对目录有效
效果就是,在这个目录下,我建立的文件,别人不能删除,但是否能修改要看别人是否有w权限
总结成一句话:“我的文件,我做主”,当然 root 也能删。
4. 设置方法
- 分值分配
- SUID:4
- SGID:2
- SBIT:1
- 数字化的更改
仅需在普通的3位权限前再加一位,该位的值为 SUID、SGID、SBIT 的和,与rwx的计算方法一样
如:
chmod 4644 /bin/passwd # 拥有 SUID
chmod 3755 /srv/work/ # 同时具有 SGID、SBIT
- 字符化的更改
- SUID:
chmod u+s <file> - SGID:
chmod g+s <file> - SBIT:
chmod o+t <dir>
这里就不穷举了,跟正常设置权限的方式其实是一样的
- SUID:
5. 其他
有时会发现权限中出现大写的 S、T。
如果设置了 SUID,但 owner 自己都没有 x权限时,则文件权限上会显示 S
如果设置了 SGID,但 group 自己都没有 x权限时,则文件权限上会显示 S
如果设置了 SBIT,但 owner 自己对这个目录都没有 w 权限时,则目录权限上会显示 T
网友评论