特殊权限SUID等详解

Posted 2020-07-20

特殊权限SUID等详解

特殊权限：

Passwd:s

 

SUID 运行某程序时，相应进程的属主是程序文件自身的属主 。而不是启动者的属主

[[email protected]~]# ls -l /bin/cat

-rwxr-xr-x. 1root root 47976 10月 15 2014 /bin/cat

[[email protected]~]# ls -l /etc/shadow

----------. 1root root 4459 5月  31 19:04 /etc/shadow

[[email protected]~]# su - cccc

[[email protected]~]$ cat /etc/shadow

cat: /etc/shadow:权限不够

[[email protected]~]$ exit

 

切换cccc用户去cat查看 shadow 提示权限不够

可当root给cat程序附加了s权限以后。

[[email protected]~]# chmod u+s /bin/cat

[[email protected]~]# ls -l /bin/cat

-rwsr-xr-x. 1 rootroot 47976 10月 15 2014 /bin/cat

[[email protected]~]# su - cccc

[[email protected]~]$ cat /etc/shadow

root:$6$a9sxmkqx$xyaKIwgm9MfzIINbmIjFX4PqIQ2eU3yBirVb2Gl4jmOVGoBTtbkCGwo68BXz9M729l1RTYdo3VUPCBtttR8t5/:16946:0:99999:7:::

bin:*:15980:0:99999:7:::

……

 

chmod u+s FILE

chmod u-s FILE

如果FILE本身原来就有执行权限,则SUID显示为s;否则显示S；

 

[[email protected]~]# ls -l /usr/bin/passwd

-rwsr-xr-x. 1root root 25980 2月  22 2012 /usr/bin/passwd  passwd命令默认也有SUID权限

 

SGID 运行某程序时，相应进程的属组是程序文件自身的属组 。而不是启动者所属的基本组

chmod g+s FILE

chmod g-s FILE

实验环境：创建3个用户。同时加入一个组。

          创建一个文件夹。让文件夹同时属于这个组。并赋予文件夹写权限

       此时修改文件会改变文件的属主和数组，但如果给文件赋予SGID权限，再修改文件就不会更改文件的属组合属主

 

[[email protected] ~]# su - lisi

[[email protected] ~]$ cd /tmp/chongqing

[[email protected] chongqing]$ ls -l

-rw-rw-r--. 1 zhangsan zhangsan   0 5月  24 16:45 aaa

-rw-rw-r--. 1 lisi    lisi        0 5月  24 16:45 bbb

[[email protected] chongqing]$ vi aaa

 [[email protected] chongqing]$ls -l

总用量 4

-rw-rw-r--. 1 lisi lisi 12 5月  24 16:46 aaa

-rw-rw-r--. 1 lisi lisi  0 5月  24 16:45 bbb

 

 

[[email protected] ~]# chmod g+s /tmp/chongqing

[[email protected] ~]# su - lisi

[[email protected] ~]$ cd /tmp/chognqing

[[email protected] chongqing]$ ls -l

总用量 4

-rw-rw-r--. 1 zhangsan zhongguo 17 5月  24 16:47 aaa

-rw-rw-r--. 1 lisi    lisi      0 5月  24 16:45 bbb

[[email protected] chongqing]$ vi aaa

[[email protected] chongqing]$ ls -l

总用量 4

-rw-rw-r--. 1 zhangsan zhongguo 22 5月  24 16:48 aaa

-rw-rw-r--. 1 lisi    lisi      0 5月  24 16:45 bbb

 

 

 

Sticky：在一个公共目录，每个都可以创建文件，删除自己的文件，但不能删除别人的文件

chmod o+t DIR

chmod o-t DIR

[[email protected]~]# chmod o+t /tmp/chongqing

[[email protected]~]# ls -ld /tmp/chongqing

drwxrwsr-t. 2root zhongguo 4096 5月  24 16:48 /tmp/chongqing

[[email protected]~]# su - zhangsan

[[email protected]~]$ cd /tmp/chongqing

[[email protected]]$ ls -l

总用量 4

-rw-rw-r--. 1zhangsan zhongguo 22 5月  24 16:48 aaa

-rw-rw-r--. 1lisi     lisi      0 5月  24 16:45 bbb

[[email protected]]$ rm -rf bbb

rm: 无法删除"bbb":不允许的操作

[[email protected]]$

[[email protected]]$ vi aaa

[[email protected]]$ ls -l

总用量 4

-rw-rw-r--. 1zhangsan zhongguo 27 5月  24 21:31 aaa

-rw-rw-r--. 1lisi     lisi      0 5月  24 16:45 bb

000:什么都没有

001：Sticky

…

110:SUID+SGID

111:SUID+SGID+Sticky

 

chmod 1755/backup/test   表示有sticky权限

特殊权限对应umask  0022的第一位

 

                                                         

本文出自 “linux运维” 博客，谢绝转载！