linux特殊权限

Posted 2020-08-21 夜の魅

　　在上文基本权限中讲述了rwx的作用。但是或许有人在权限蓝栏看到了一个s符号，这个就是特殊权限。

文件的特殊权限包括：SUID、SGID、SBIT。

　　1．SUID,借出程序所有者的权限

hang@hang:/home$ ll /usr/bin/passwd 
-rwsr-xr-x 1 root root 54256 3月  29  2016 /usr/bin/passwd*   #拥有SUID权限，第一组rwx中的x改为s

 

　　passwd命令为修改用户的密码，根据权限可以得知同一用户组或其他人都可以调用改命令。但是passwd命令需要修改/etc/shadow文件，此文件存储账号的密码。

hang@hang:/home$ ll /etc/shadow
-rw-r----- 1 root shadow 1517 11月 26 20:08 /etc/shadow
hang@hang:/home$ 

　　可以看到，这个被passwd所修改的文件，权限仅仅允许root用户修改。那么问题来了～

　　其他用户虽然可以调用passwd命令，但是不能修改/etc/shadow这个文件啊，那么密码怎么存储？

　　这就是SUID的作用，你不是没有权利修改/etc/shadow文件吗？我（程序所有者）给你啊。也就是说，在这个时候，其他用户调用passwd命令已经暂时获得root用户的权限，这时去修改/etc/shadow是利用root用户的权限去修改。

• SUID权限仅限二进制程序有效
• 执行者需要有x权限
• 执行者获得该程序所有者的权限
• 仅在本程序执行中拥有改权限

　　简单来说，这个s权限，会将程序所有者拥有的权限暂时借给其他人使用，前提是其他人拥有这个程序的x权限。

　　２. SGID，借出用户组的权限

hang@hang:/home$ ll
drwxr-xr-x 23 hang hang 4096 11月 27 18:47 hang/
drwxr-xr-x  2 zncu zncu 4096 11月 25 20:47 zncu/
drwxrws---  2 root znha 4096 11月 25 20:48 znha/

　　简单来说，SGID和SUID一个是把用户组的权限暂时借出一个是把所有者的权限暂时借出。

• SGID对二进制程序依然有效
• 程序执行者需要具有x权限
• 执行者在执行过程中暂时获得用户组的权限

　　但是，SGID也可以针对目录或者文件使用，上面的例子就是对目录的使用。

那么它有什么作用那？

• 用户(hang)对此目录(znha)具有r与x权限时，该用户可以进入此目录。
• 用户在此目录下的有效用户组将变成该目录的用户组。
• 若用户对此目录具有w权限时，那么用户创建的文件的用户组将为此目录的用户组。

hang@hang:/home$ groups hang　　＃hang用户在znha用户组里，所以具有进入znha目录的权限
hang : hang znha

在此目录创建文件，观察该文件所在用户组

hang@hang:/home/znha$ touch test
hang@hang:/home/znha$ ll
-rw-rw-r-- 1 hang znha    0 11月 27 20:54 test  #hang用户在具有SGID的目录里创建文件，该文件的用户组为znha(该目录所在用户组)
hang@hang:~$ cd hang/
hang@hang:~/hang$ touch test　　　　　　　　　　　＃在其他目录里创建文件，文件的用户组为hang(用户的主用户组)　　　　　
hang@hang:~/hang$ ll
-rw-rw-r--  1 hang hang    0 11月 27 20:56 test

可以看到，该文件的用户组问znha，而不是hang。这种特性可以使在同一用户组的多个用户拥有共同的目录，在创建文件时该用户组的所有用户都有相同的权利操作文件。

3. SBIT，对目录有效

• 　当用户对于此目录具有w、x权限时，即具有写入的权限
• 　用户在此目录创建文件时，只有自己和root才有权利删除(以及其他w相关操作)该文件
• 　用户不允许对其他用户的文件操作

drwxrwxrwt  15 root root  4096 11月 27 21:06 tmp/　　＃具有SBIT权限，最后一个字母t标示。

 

　　特殊权限的设置：

　　SUID:4

　　SGID:2

　　SBIT:1

　　chmod 4777  test ,添加SUID权限。

 

http://www.cnblogs.com/yuhanghzsd/p/6107362.html