suid,sgid,sticky的三個許可權的詳細說明
一個檔案都有一個所有者, 表示該檔案是誰建立的. 同時, 該檔案還有一個組編號, 表示該檔案所屬的組, 一般為檔案所有者所屬的組.
如果是一個可執行檔案, 那麼在執行時, 一般該檔案只擁有呼叫該檔案的使用者具有的許可權. 而setuid, setgid 可以來改變這種設定.
setuid: 設定使檔案在執行階段具有檔案所有者的許可權. 典型的檔案是 /usr/bin/passwd. 如果一般使用者執行該檔案, 則在執行過程中, 該檔案可以獲得root許可權, 從而可以更改使用者的密碼.
setgid: 該許可權只對目錄有效. 目錄被設定該位後, 任何使用者在此目錄下建立的檔案都具有和該目錄所屬的組相同的組.
sticky bit: 該位可以理解為防刪除位. 一個檔案是否可以被某使用者刪除, 主要取決於該檔案所屬的組是否對該使用者具有寫許可權. 如果沒有寫許可權, 則這個目錄下的所有檔案都不能被刪除, 同時也不能新增新的檔案. 如果希望使用者能夠新增檔案但同時不能刪除檔案, 則可以對檔案使用sticky bit位. 設定該位後, 就算使用者對目錄具有寫許可權, 也不能刪除該檔案.
下面是三個許可權的特點,歸納如下:
Sticky: 舉例目錄/tmp
1)sticky只能應用在目錄上,並且是應用在其它人上.
2)只有root和檔案的擁有人才能刪除該檔案.
3)小寫表示能執行,大寫表示不能執行
Suid: 舉例目錄 /usr/bin/passwd
1)suid只能應用在二進位制檔案中
2)當一個檔案應用了suid,那麼任何人在執行該命令的時候他就臨時擁有該檔案擁有人的許可權
3)suid只能應用在檔案的擁有人上
4)小寫表示能執行,大寫表示不能執行
Sgid: 應用環境為用於一組開發人員共用資源,保證安全
1)sgid既可以應用在檔案上,也可以應用在目錄上
2)當sgid應用在目錄上時,任何人在該目錄中建立健全的檔案和目錄的擁有者屬於目錄所屬組
3)應用在擁有組上
4)sgid應用在檔案上時,任何人在執行該檔案時,臨時擁有該檔案所屬組許可權
5)小寫表示可執行,大寫反之.
下面說一下如何操作這些標誌:
操作這些標誌與操作檔案許可權的命令是一樣的, 都是 chmod. 有兩種方法來操作,
1) chmod u+s temp -- 為temp檔案加上setuid標誌. (setuid 只對檔案有效)
chmod g+s tempdir -- 為tempdir目錄加上setgid標誌 (setgid 對目錄和檔案有效)
chmod o+t temp -- 為temp檔案加上sticky標誌 (sticky只對檔案有效)
2) 採用八進位制方式. 對一般檔案透過三組八進位制數字來置標誌, 如 666, 777, 644等. 如果設定這些特殊標誌, 則在這組數字之外外加一組八進位制數字. 如 4666, 2777等. 這一組八進位制數字三位的意義如下,
abc
a - setuid位, 如果該位為1, 則表示設定setuid
b - setgid位, 如果該位為1, 則表示設定setgid
c - sticky位, 如果該位為1, 則表示設定sticky
設定完這些標誌後, 可以用 ls -l 來檢視. 如果有這些標誌, 則會在原來的執行標誌位置上顯示. 如
rwsrw-r-- 表示有setuid標誌
rwxrwsrw- 表示有setgid標誌
rwxrw-rwt 表示有sticky標誌
那麼原來的執行標誌x到哪裡去了呢? 系統是這樣規定的, 如果本來在該位上有x, 則這些特殊標誌顯示為小寫字母 (s, s, t). 否則, 顯示為大寫字母 (S, S, T)
這三個許可權的數字位可以這麼理解
[root@server3 test]# 1 1 1
[root@server3 test]# rw s rws rwt
[root@server3 test]#
[root@server3 test]# SUID SGID Sticky
所以,可以得出
chmod 4777是設sid
chmod 2777是設定gid
chmod 1777是設sticky
常用操作
找出所有危險的目錄(設定目錄所有人可讀寫卻沒有設定sticky位的目錄)
find / -perm -0007 -type d
找出所有設定了suid的檔案
find / -perm -4000 -type f[@more@]
如果是一個可執行檔案, 那麼在執行時, 一般該檔案只擁有呼叫該檔案的使用者具有的許可權. 而setuid, setgid 可以來改變這種設定.
setuid: 設定使檔案在執行階段具有檔案所有者的許可權. 典型的檔案是 /usr/bin/passwd. 如果一般使用者執行該檔案, 則在執行過程中, 該檔案可以獲得root許可權, 從而可以更改使用者的密碼.
setgid: 該許可權只對目錄有效. 目錄被設定該位後, 任何使用者在此目錄下建立的檔案都具有和該目錄所屬的組相同的組.
sticky bit: 該位可以理解為防刪除位. 一個檔案是否可以被某使用者刪除, 主要取決於該檔案所屬的組是否對該使用者具有寫許可權. 如果沒有寫許可權, 則這個目錄下的所有檔案都不能被刪除, 同時也不能新增新的檔案. 如果希望使用者能夠新增檔案但同時不能刪除檔案, 則可以對檔案使用sticky bit位. 設定該位後, 就算使用者對目錄具有寫許可權, 也不能刪除該檔案.
下面是三個許可權的特點,歸納如下:
Sticky: 舉例目錄/tmp
1)sticky只能應用在目錄上,並且是應用在其它人上.
2)只有root和檔案的擁有人才能刪除該檔案.
3)小寫表示能執行,大寫表示不能執行
Suid: 舉例目錄 /usr/bin/passwd
1)suid只能應用在二進位制檔案中
2)當一個檔案應用了suid,那麼任何人在執行該命令的時候他就臨時擁有該檔案擁有人的許可權
3)suid只能應用在檔案的擁有人上
4)小寫表示能執行,大寫表示不能執行
Sgid: 應用環境為用於一組開發人員共用資源,保證安全
1)sgid既可以應用在檔案上,也可以應用在目錄上
2)當sgid應用在目錄上時,任何人在該目錄中建立健全的檔案和目錄的擁有者屬於目錄所屬組
3)應用在擁有組上
4)sgid應用在檔案上時,任何人在執行該檔案時,臨時擁有該檔案所屬組許可權
5)小寫表示可執行,大寫反之.
下面說一下如何操作這些標誌:
操作這些標誌與操作檔案許可權的命令是一樣的, 都是 chmod. 有兩種方法來操作,
1) chmod u+s temp -- 為temp檔案加上setuid標誌. (setuid 只對檔案有效)
chmod g+s tempdir -- 為tempdir目錄加上setgid標誌 (setgid 對目錄和檔案有效)
chmod o+t temp -- 為temp檔案加上sticky標誌 (sticky只對檔案有效)
2) 採用八進位制方式. 對一般檔案透過三組八進位制數字來置標誌, 如 666, 777, 644等. 如果設定這些特殊標誌, 則在這組數字之外外加一組八進位制數字. 如 4666, 2777等. 這一組八進位制數字三位的意義如下,
abc
a - setuid位, 如果該位為1, 則表示設定setuid
b - setgid位, 如果該位為1, 則表示設定setgid
c - sticky位, 如果該位為1, 則表示設定sticky
設定完這些標誌後, 可以用 ls -l 來檢視. 如果有這些標誌, 則會在原來的執行標誌位置上顯示. 如
rwsrw-r-- 表示有setuid標誌
rwxrwsrw- 表示有setgid標誌
rwxrw-rwt 表示有sticky標誌
那麼原來的執行標誌x到哪裡去了呢? 系統是這樣規定的, 如果本來在該位上有x, 則這些特殊標誌顯示為小寫字母 (s, s, t). 否則, 顯示為大寫字母 (S, S, T)
這三個許可權的數字位可以這麼理解
[root@server3 test]# 1 1 1
[root@server3 test]# rw s rws rwt
[root@server3 test]#
[root@server3 test]# SUID SGID Sticky
所以,可以得出
chmod 4777是設sid
chmod 2777是設定gid
chmod 1777是設sticky
常用操作
找出所有危險的目錄(設定目錄所有人可讀寫卻沒有設定sticky位的目錄)
find / -perm -0007 -type d
找出所有設定了suid的檔案
find / -perm -4000 -type f[@more@]
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/24790158/viewspace-1040138/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- Linux特殊許可權之suid、sgid、sbit許可權LinuxUI
- Linux 特權 SUID/SGID 的詳解LinuxUI
- Linux 提權-SUID/SGID_1LinuxUI
- Linux 提權-SUID/SGID_2LinuxUI
- winscp操作說明,winscp操作說明的詳細解讀
- django開發之許可權管理(一)——許可權管理詳解(許可權管理原理以及方案)、不使用許可權框架的原始授權方式詳解Django框架
- 超級詳細的mac系統檔案許可權修改指南Mac
- 【詳解】GrantedAuthority(已授予的許可權)
- MySQL 許可權詳解MySql
- nginx 詳解 - 詳細配置說明Nginx
- nginx 詳解 – 詳細配置說明Nginx
- 寬頻路由器的詳細說明路由器
- Android6.0------許可權申請管理(單個許可權和多個許可權申請)Android
- 使用者角色許可權控制包 Laravel-permission 使用說明Laravel
- Linux學習歷程——SUID、SGID、SBIT簡介LinuxUI
- Linux sed命令詳細說明Linux
- Android開發-更”聰明”的申請許可權方式Android
- Linux的檔案存取許可權和0644許可權Linux
- 阿里雲RDS的高許可權不是真正的高許可權阿里
- ZBlog會員可以上傳圖片的許可權設定詳細步驟
- Flask-Limit使用詳細說明FlaskMIT
- VNC安裝配置詳細說明VNC
- 許可權系統:6個許可權概念模型設計模型
- 許可權框架之Shiro詳解框架
- 【自然框架】許可權的視訊演示(二):許可權到欄位、許可權到記錄框架
- [BUG反饋]許可權條目中缺少兩個公開方法的許可權設定
- Thread interrupt() 執行緒中斷的詳細說明thread執行緒
- 詳細說明搜尋引擎優化的過程優化
- 許可權之選單許可權
- Linux的許可權控制Linux
- linux 檔案許可權 s 許可權和 t 許可權解析Linux
- 如何用 Vue 實現前端許可權控制(路由許可權 + 檢視許可權 + 請求許可權)Vue前端路由
- Spring 對於事務上的應用的詳細說明Spring
- win10如何獲得管理員許可權詳細操作步驟Win10
- Swift中private、fileprivate、public、open和internal許可權程式碼證明詳解Swift
- jpa 方法 命名規則 詳細說明
- 一個好的代理IP有哪些許可權?
- k8s結合jumpserver做kubectl許可權控制 使用者在多個namespaces的訪問許可權 rbac許可權控制K8SServernamespace訪問許可權
- 網路交換機功能和原理的詳細說明