Linux-特殊权限设置（SUIDSGIDSBIT）

Posted 2023-05-16 业余砖家

一、SUID权限

1．概念

当s这个标志出现在文件所有者的x权限上时，例如文件权限状态“-rwsr-xr-x”，此时就被称为Set UID，简称SUID。

如果该属主权限位上有执行权限，则会显示（小写）s。

如果该属主权限位上没有执行权限，则会显示（大写）S。

说明：SUID权限中的s有大小写之分，如果强行给普通文件添加s权限，那么现实的是大写的S，因为普通文件没有x权限，这样显示的suid其实没什么用，因为它并不是可执行文件。

只有给文件添加了x权限后，suid才有效。

 

2．作用

(1) SUID权限仅对可执行文件有效；

(2) 执行者对于该可执行文件需要具有x权限；

(3) 在执行过程中，调用者会暂时获得该文件的拥有者权限；

(4) 该权限只在程序执行的过程中有效；

例如/bin/su和/usr/bin/passwd这2个命令的所有者的x权限上都用s权限替换了。

实际上这2个可执行文件的所有者是root，但是我们依然可以在普通账号下使用这两个命令，这是因为普通账号在使用这2个命令的时候会暂时获得其拥有者的权限。

3．授权方式

chmod   u+s   filename

chmod   4xxx  filename

4．总结

(1) 让普通用户对可执行的二进制文件，临时拥有二进制文件的属主权限

(2) 如果设置的二进制文件没有执行权限，那么SUID的权限就显示为S（大写）

(3) 特殊权限suid仅对二进制可执行程序有效，其它文件或目录无效。

注意： suid不安全，如果使用了普通用户可以使用属主用户的权限，那么普通用户在执行对应命令文件时，就可以任意查看或修改文件内容，比如修改了etc/sudoers 文件，那普通用户相当于超级用户的复制品。

 

二、SGID权限

1．概念

当s出现在文件的所属组x权限位置上时，表示所属组有SGID的权限。

如果该属组权限位上有执行权限，则会显示（小写）s。

如果该属组权限位上没有执行权限，则会显示（大写）S。

说明：同样SGID的s权限也是分大小写的，当g权限组没有x权限的时候，设置SGID后就会变成大写的S，这点跟SUID一样。

2．作用

(1) 既可以作用于目录，也可以作用于可执行文件；

(2) 只要父目录有SGID权限，所有的子目录都会递归继承；

(3) 执行者对于该可执行文件需要具有x权限 ；

(4) 在执行过程中，调用者会暂时获得该文件的所属组权限。

3．授权方式

chmod   g+s     filename

chmod   2xxx    filename

4．总结

(1) 针对用户组权限位修改，用户创建的目录或文件所属组和该目录的所属组一致。

(2) 当某个目录设置了Sgid后，在该目录中新建的文件不在是创建该文件的默认所属组。

(3) 使用Sgid可以使得多个用户之间共享一个目录的所有文件变得简单。

 

三、SBIT权限

1．概念

当t出现在其他组的x权限位置时，表示其他组具有SBIT的权限。

如果该其它用户权限位上有执行权限，则会显示（小写）t。

如果该其它用户权限位上没有执行权限，则会显示（大写）T。

2．作用

SBIT（Sticky Bit）目前只针对目录有效。

作用：当用户在该目录下建立文件或目录时，仅有自己与 root才有权力删除。

最具有代表的就是/tmp目录，任何人都可以在/tmp内增加、修改文件（因为权限全是rwx），但仅有该文件/目录建立者与 root能够删除自己的目录或文件。

3．授权方式

chmod   o+t   filename

chmod   1xxx  filename

4．总结

(1) 让多个用户都具有写权限，并让每个用户都只能删除自己的文件

(2) 投入数sticky目录表现在others 的 x 位，用（小写）t 表示，没有执行权限时（大写）T

(3) 一个目录即使使得它的权限为“777” ，如果设置了粘滞位，除了目录的属主和“root”用户有权限删除，其它用户都不允许删除。

 

四、SUID/SGID/SBIT权限设置

和rwx权限一样通过chmod命令设置，s、t也有两种设置方法：

1、符号表示：

SUID: u+s

SGID: g+s

SBIT: o+t

2、数字表示：

SUID=4

SGID=2

SBIT=1

将原来的三位数扩展为四位数即可，把它们放在权限数字的最开头。例如设置SUID，可以写成4777，设置SGID可以写成，2777，设置SBIT可以写成1777；如果同时设置就是数字之和，例如suid，sgid和sbit都设置的话就是7777。

本文来自博客园，作者：业余砖家，转载请注明原文链接：https://www.cnblogs.com/yeyuzhuanjia/p/17404282.html

linux文件的特殊权限——SUIDSGIDSBIT

在复杂的生产环境中，单纯的设置文件的rwx权限无法满足我们对安全和灵活行的需求，因此便会有了SUID、SGID和SBIT的特殊权限。

1、SUID：这是一种对二进制程序进行设置的特殊权限，可以让二进制程序的执行者临时拥有属主的权限（仅对拥有执行权限的二进制程序有效）。例如：所有用户都可以使用passwd命令来修改自己的用户密码，而用户的密码保存在、/etc/shadow文件中。然而这个文件的权限是000，也就是说只有root管理员外所有用户都没有查看或编辑该文件的权限。但是在使用passwd命令时加上SUID的特殊权限位，就可以让普通用户临时得到程序所有者的身份，把变更的密码信息写入到/etc/shadow中。

 

2、SGID：它有两种功能。

　　1）让执行者临时拥有属组的权限（对拥有执行权限的二进制程序进行设置）；

　　2）在某个目录中创建的文件自动继承该目录的用户组（只可以对目录进行设置）。

 

3、SBIT：这种特殊权限设置之后可以确保只有用户自己和root用户能删除该文件，而不能被其他用户删除。

特殊权限设置方法：

chmod u+s filename (suid)