linux系统上的特殊权限SUID,SGID,STICKY

特殊权限:SUID SGID STICKY

    linux的安全上下文:

    1.进程以用户的身份运行,进程是发起此用户的代理,因此以此用户的身份和权限完成所有的操作。

    2.权限匹配模型:

    1)判断进程的属主,是否以被访问的文件属主。如果是,则应用属主权限,否则进入第2步。

    2)判断进程的属主,是否属于被访问的文件属组。如果是,则应用属组的权限,否则进入第3步。

    3)应用other的权限。


SUID:

    默认情况下,用户发起的进程,进程的属主是其发起者,因此,其以发起者的身份在运行。

    SUID的功用:用户运行某程序时,如果此程序拥有SUID权限,那么程序运行时,进程的属主不是发起者,而是程序文件自己的属主。


管理文件的SUID权限:

    chmod u+|-s FILE

    展示位置:属主的执行权限位

             如果属主本有执行权限,显示为小写s,

             否则,显示为大写S。


[root@localhost ~]# cp /bin/cat /tmp/jackfile1      #将cat命令拷贝为jackfile1


[root@localhost ~]# mv /bin/cat /bin/cat.txt        #把cat路径重新编辑,使系统找不到cat命令


[root@localhost tmp]# chmod u+s jackfile1           #增加jackfile1特殊权限suid


[root@localhost tmp]# ll jackfile1                  #查看jackfile1的属主属组和权限

-rwsr-xr-x. 1 jack jack 48568 Aug  1 19:11 jackfile1


[jack@localhost jack]$ ll 2.txt         #jack用户新建2.txt文件,jack5用户对此文件无任何权限

-rw-rw—-. 1 jack jack 52 Aug  1 19:25 2.txt


[jack5@localhost jack]$ /tmp/jackfile1 2.txt    #使用jack5用户查看jack用户所建的2.txt文件

agjjfjskdfjlsdfjlsfjsldjgljgljlajgljhljlkdahljfsdjk


实验结论:以上试验中,把jackfile1变成cat命令使用,当jackfile1具有s权限时,其他用户使用jackfile1命令,就相当拥有jackfile1的属主权限,所以任何jack所建的文件,其他用户都可以进行访问。

            


SGID:

    功用:当目录属组有写权限,且有SGID权限时,那么所有属于此目录的属组,且以属组的身份在此目录中新建文件或者目录时,新文件的属组不是用户的基本组,而是此目录的属组。


管理文件的SGID权限:

    chmod g+|-s FILE

    展示位置:属组的执行权限位

             如果属组原本有执行权限,显示为小写s

             否则,显示为大写S


[jack@localhost jack]$ ll -d                   #设定文件目录jack有SGID权限

drwxrwsr-x. 2 jack jack 4096 Aug  1 19:25 .


[jack3@localhost jack]$ id jack3               #设定jack组为jack3的附加组

uid=4019(jack3) gid=4019(jack3) groups=4019(jack3),4023(jack)


[jack3@localhost jack]$ touch 5.txt           #使用jack3用户新建5.txt文件

 

[jack3@localhost jack]$ ll                 #查看5.txt文件的所属组是jack,而不是主要组jack3

-rw-rw-r–. 1 jack3 jack  0 Aug  1 19:39 5.txt


实验结论:

1.需要jack3用户有jack的附加组。(如果其他用户有写权限,所建文件也是jack组)

2.由于加入SGID权限,用户所建文件的组为jack,意味着jack组内任何成员都可以对5.txt文件进行读写操作。


SGID还有一种用法类似SUID:

[root@localhost ~]# ll /bin/cat                          #给cat设置sgid

-rwxr-sr-x. 1 root root 48568 May 11 16:59 /bin/cat


[root@localhost ~]# ll /etc/shadow                       #给shadow设置有root组有读权限

—-rwx—. 1 root root 2899 Aug  2 14:51 /etc/shadow 


[jack5@localhost ~]$ cat /etc/shadow                     #随便使用一个用户借用root组的权限

root:$6$zNiiCr8zbAa2xFVa$4Tw89HFHnREnLhhyK2Z/E.w4WlUEIgXR2RaY5bYPu1/f.A3QJF8mcFNaz4EnB7LAUQ/KXWYieQ2cZwhdnTV981:17001:0:99999:7:::

bin:*:15980:0:99999:7:::




STICKY:

    功用:对于属组或全局可写的目录,组内的所有用户或系统上的所有用户对在此目录中都能创建新文件或删除所有的已有文件,如果为此类目录设置sticky权限,则每个用户都能创建新文件,且只能删除自己的文件。

    

管理文件的sticky权限:

    chmod o+|-t FILE

    展示位置:其它用户的执行限位

            如果其它用户原本有执行权限,显示为小写t

            否则,显示为大写T

   系统上的/tmp和/var/tmp目录默认均有sticky权限


[jack@localhost jack]$ ll -d                 #设置jack目录拥有sticky权限,注意看t

drwxrwxrwt. 2 jack jack 4096 Aug  1 20:04 .


[jack4@localhost ~]$ id jack4                #用户jack4为普通用户,跟jack无任何关系

uid=4020(jack4) gid=4023(jack) groups=4023(jack)


[jack4@localhost jack]$ touch 4.txt          #jack4用户在jack目录里建文件4.txt 


[jack3@localhost jack]$ rm 4.txt      #使用另一jack3账户对jack4所建文件4.txt进行删除,失败

rm: remove write-protected regular empty file `4.txt'? Y

rm: cannot remove `4.txt': Operation not permitted

     

实验结论:

1.用户在拥有t权限目录中所建文件,其他用户只能互相修改查看,无法删除其他人所建文件,只能自己删除自己的文件。

2.建立t权限目录的用户有权限删除该目录下的任何文件。

原创文章,作者:zebra930,如若转载,请注明出处:http://www.178linux.com/27626

(0)
zebra930zebra930
上一篇 2016-08-05
下一篇 2016-08-05

相关推荐

  • Liunx权限的管理

    一、权限 获取某种资源的能力。对于Liunx而言,一切皆文件。所以,对于Liunx的权限定义,也就是定义文件被不同用户访问能力的过程。 权限分为三种:r、w、x 文件 r:查看文件内容 w:修改文件内容 x:可以将文件启动运行 目录 r:可以使用ls命令查看目录中的文件名 w:可以在目录中创建或删除文件(能否删除文件,取决于用户对目录的写权限 x:可以cd到…

    Linux干货 2015-04-03
  • 第六周作业-Vim总结

                    Vim总结 vim功能比较多,这里我不总结vim多窗口,只对基本常用的介绍. 一.模式说明 vim和记事本或WORD不一样,不是一打开后就可以输入文字,此时它处于正常模…

    Linux干货 2017-01-16
  • Linux命令1

    7-13 Linux命令   一、进入终端terminal 1..C1trl+Alt 释放鼠标 2.ifconfig 查询ip地址 3.Ping (IP地址) 查看联网状态 4.ls 查看            -l 列出文件 5.tty、who am i  查看当前的登录终端名…

    Linux干货 2017-07-15
  • Linux中正则表达式及find指令的使用

    1、显示当前系统上root、Fedora或user1用户的默认shell [root@centos6 ~]# grep -E "^\<(root|fedora|user1)\>" /etc/passwd root:x:0:0:root:/root:/bin/bash fedor…

    Linux干货 2016-10-24
  • 8.5_Linux文本处理工具和grep之正则表达式的使用

    Linux文本处理工具使用 文件查看工具的使用 cat 命令的使用  此命令一般用于查看文件内容比较多 NAME        cat – concatenate files and print on the&…

    Linux干货 2016-08-08