linux系统上的特殊权限SUID,SGID,STICKY

特殊权限:SUID SGID STICKY

    linux的安全上下文:

    1.进程以用户的身份运行,进程是发起此用户的代理,因此以此用户的身份和权限完成所有的操作。

    2.权限匹配模型:

    1)判断进程的属主,是否以被访问的文件属主。如果是,则应用属主权限,否则进入第2步。

    2)判断进程的属主,是否属于被访问的文件属组。如果是,则应用属组的权限,否则进入第3步。

    3)应用other的权限。


SUID:

    默认情况下,用户发起的进程,进程的属主是其发起者,因此,其以发起者的身份在运行。

    SUID的功用:用户运行某程序时,如果此程序拥有SUID权限,那么程序运行时,进程的属主不是发起者,而是程序文件自己的属主。


管理文件的SUID权限:

    chmod u+|-s FILE

    展示位置:属主的执行权限位

             如果属主本有执行权限,显示为小写s,

             否则,显示为大写S。


[root@localhost ~]# cp /bin/cat /tmp/jackfile1      #将cat命令拷贝为jackfile1


[root@localhost ~]# mv /bin/cat /bin/cat.txt        #把cat路径重新编辑,使系统找不到cat命令


[root@localhost tmp]# chmod u+s jackfile1           #增加jackfile1特殊权限suid


[root@localhost tmp]# ll jackfile1                  #查看jackfile1的属主属组和权限

-rwsr-xr-x. 1 jack jack 48568 Aug  1 19:11 jackfile1


[jack@localhost jack]$ ll 2.txt         #jack用户新建2.txt文件,jack5用户对此文件无任何权限

-rw-rw—-. 1 jack jack 52 Aug  1 19:25 2.txt


[jack5@localhost jack]$ /tmp/jackfile1 2.txt    #使用jack5用户查看jack用户所建的2.txt文件

agjjfjskdfjlsdfjlsfjsldjgljgljlajgljhljlkdahljfsdjk


实验结论:以上试验中,把jackfile1变成cat命令使用,当jackfile1具有s权限时,其他用户使用jackfile1命令,就相当拥有jackfile1的属主权限,所以任何jack所建的文件,其他用户都可以进行访问。

            


SGID:

    功用:当目录属组有写权限,且有SGID权限时,那么所有属于此目录的属组,且以属组的身份在此目录中新建文件或者目录时,新文件的属组不是用户的基本组,而是此目录的属组。


管理文件的SGID权限:

    chmod g+|-s FILE

    展示位置:属组的执行权限位

             如果属组原本有执行权限,显示为小写s

             否则,显示为大写S


[jack@localhost jack]$ ll -d                   #设定文件目录jack有SGID权限

drwxrwsr-x. 2 jack jack 4096 Aug  1 19:25 .


[jack3@localhost jack]$ id jack3               #设定jack组为jack3的附加组

uid=4019(jack3) gid=4019(jack3) groups=4019(jack3),4023(jack)


[jack3@localhost jack]$ touch 5.txt           #使用jack3用户新建5.txt文件

 

[jack3@localhost jack]$ ll                 #查看5.txt文件的所属组是jack,而不是主要组jack3

-rw-rw-r–. 1 jack3 jack  0 Aug  1 19:39 5.txt


实验结论:

1.需要jack3用户有jack的附加组。(如果其他用户有写权限,所建文件也是jack组)

2.由于加入SGID权限,用户所建文件的组为jack,意味着jack组内任何成员都可以对5.txt文件进行读写操作。


SGID还有一种用法类似SUID:

[root@localhost ~]# ll /bin/cat                          #给cat设置sgid

-rwxr-sr-x. 1 root root 48568 May 11 16:59 /bin/cat


[root@localhost ~]# ll /etc/shadow                       #给shadow设置有root组有读权限

—-rwx—. 1 root root 2899 Aug  2 14:51 /etc/shadow 


[jack5@localhost ~]$ cat /etc/shadow                     #随便使用一个用户借用root组的权限

root:$6$zNiiCr8zbAa2xFVa$4Tw89HFHnREnLhhyK2Z/E.w4WlUEIgXR2RaY5bYPu1/f.A3QJF8mcFNaz4EnB7LAUQ/KXWYieQ2cZwhdnTV981:17001:0:99999:7:::

bin:*:15980:0:99999:7:::




STICKY:

    功用:对于属组或全局可写的目录,组内的所有用户或系统上的所有用户对在此目录中都能创建新文件或删除所有的已有文件,如果为此类目录设置sticky权限,则每个用户都能创建新文件,且只能删除自己的文件。

    

管理文件的sticky权限:

    chmod o+|-t FILE

    展示位置:其它用户的执行限位

            如果其它用户原本有执行权限,显示为小写t

            否则,显示为大写T

   系统上的/tmp和/var/tmp目录默认均有sticky权限


[jack@localhost jack]$ ll -d                 #设置jack目录拥有sticky权限,注意看t

drwxrwxrwt. 2 jack jack 4096 Aug  1 20:04 .


[jack4@localhost ~]$ id jack4                #用户jack4为普通用户,跟jack无任何关系

uid=4020(jack4) gid=4023(jack) groups=4023(jack)


[jack4@localhost jack]$ touch 4.txt          #jack4用户在jack目录里建文件4.txt 


[jack3@localhost jack]$ rm 4.txt      #使用另一jack3账户对jack4所建文件4.txt进行删除,失败

rm: remove write-protected regular empty file `4.txt'? Y

rm: cannot remove `4.txt': Operation not permitted

     

实验结论:

1.用户在拥有t权限目录中所建文件,其他用户只能互相修改查看,无法删除其他人所建文件,只能自己删除自己的文件。

2.建立t权限目录的用户有权限删除该目录下的任何文件。

原创文章,作者:zebra930,如若转载,请注明出处:http://www.178linux.com/27626

(0)
zebra930zebra930
上一篇 2016-08-05
下一篇 2016-08-05

相关推荐

  • centos6.9实现网卡bonding

    centos6.9实现网卡bonding 为什么要用bonding  将多块网卡配置同一IP地址实际中是不可能的。通过bonding,虚拟一块网卡对外提供连接,物理网卡被修改为相同的MAC地址,这样可以实现多块网卡绑定同一IP地址,对外提供服务。用于网络负载均衡和网络冗余。 工作模式  bonding的模式:0-6,即:7种模式,这里我们…

    2017-08-20
  • 程序包管理:rpm , yum ,与编译

    1.RPM,Redhat Package Manager。是Redhat和CentOS等Linux系统上常见的软件安装工具。 软件安装: 常见选项 -i                #install…

    Linux干货 2016-03-26
  • MAN手册各章节功能介绍及快捷键位详细说明

    MAN手册各章节功能介绍及快捷键位详细说明 M21-陆东贵 Man命令的作用:获取外部命令的使用帮助信息; 使用方法:]#  man  COMMAND        选项:        -M /PATH/TO/SOME…

    Linux干货 2016-10-18
  • 第四周:/etc/passwd、/etc/group文件熟悉及配合grep使用正则表达式

    1、复制/etc/skel目录为/home/tuser1,要求/home/tuser1及其内部文件的属组和其它用户均没有任何访问权限。 [root@wlm ~]# useradd tuser1 [root@wlm ~]# cp -r etc/skel/ /home/tuser1/…

    Linux干货 2016-10-13
  • N25_第三周

    1、列出当前系统上所有已经登录的用户的用户名,注意:同一个用户登录多次,则只显示一次即可。 who | cut -d' ' -f1 | sort -u [root@server1 ~]# who  | cut -d' ' -f1 …

    Linux干货 2016-12-17
  • ansible

    运维自动化发展历程,ansible 命令使用

    2018-01-13