suid,sgid,sticky的三個許可權的詳細說明
一個檔案都有一個所有者, 表示該檔案是誰建立的. 同時, 該檔案還有一個組編號, 表示該檔案所屬的組, 一般為檔案所有者所屬的組.
如果是一個可執行檔案, 那麼在執行時, 一般該檔案只擁有呼叫該檔案的使用者具有的許可權. 而setuid, setgid 可以來改變這種設定.
setuid: 設定使檔案在執行階段具有檔案所有者的許可權. 典型的檔案是 /usr/bin/passwd. 如果一般使用者執行該檔案, 則在執行過程中, 該檔案可以獲得root許可權, 從而可以更改使用者的密碼.
setgid: 該許可權只對目錄有效. 目錄被設定該位後, 任何使用者在此目錄下建立的檔案都具有和該目錄所屬的組相同的組.
sticky bit: 該位可以理解為防刪除位. 一個檔案是否可以被某使用者刪除, 主要取決於該檔案所屬的組是否對該使用者具有寫許可權. 如果沒有寫許可權, 則這個目錄下的所有檔案都不能被刪除, 同時也不能新增新的檔案. 如果希望使用者能夠新增檔案但同時不能刪除檔案, 則可以對檔案使用sticky bit位. 設定該位後, 就算使用者對目錄具有寫許可權, 也不能刪除該檔案.
下面是三個許可權的特點,歸納如下:
Sticky: 舉例目錄/tmp
1)sticky只能應用在目錄上,並且是應用在其它人上.
2)只有root和檔案的擁有人才能刪除該檔案.
3)小寫表示能執行,大寫表示不能執行
Suid: 舉例目錄 /usr/bin/passwd
1)suid只能應用在二進位制檔案中
2)當一個檔案應用了suid,那麼任何人在執行該命令的時候他就臨時擁有該檔案擁有人的許可權
3)suid只能應用在檔案的擁有人上
4)小寫表示能執行,大寫表示不能執行
Sgid: 應用環境為用於一組開發人員共用資源,保證安全
1)sgid既可以應用在檔案上,也可以應用在目錄上
2)當sgid應用在目錄上時,任何人在該目錄中建立健全的檔案和目錄的擁有者屬於目錄所屬組
3)應用在擁有組上
4)sgid應用在檔案上時,任何人在執行該檔案時,臨時擁有該檔案所屬組許可權
5)小寫表示可執行,大寫反之.
下面說一下如何操作這些標誌:
操作這些標誌與操作檔案許可權的命令是一樣的, 都是 chmod. 有兩種方法來操作,
1) chmod u+s temp -- 為temp檔案加上setuid標誌. (setuid 只對檔案有效)
chmod g+s tempdir -- 為tempdir目錄加上setgid標誌 (setgid 對目錄和檔案有效)
chmod o+t temp -- 為temp檔案加上sticky標誌 (sticky只對檔案有效)
2) 採用八進位制方式. 對一般檔案透過三組八進位制數字來置標誌, 如 666, 777, 644等. 如果設定這些特殊標誌, 則在這組數字之外外加一組八進位制數字. 如 4666, 2777等. 這一組八進位制數字三位的意義如下,
abc
a - setuid位, 如果該位為1, 則表示設定setuid
b - setgid位, 如果該位為1, 則表示設定setgid
c - sticky位, 如果該位為1, 則表示設定sticky
設定完這些標誌後, 可以用 ls -l 來檢視. 如果有這些標誌, 則會在原來的執行標誌位置上顯示. 如
rwsrw-r-- 表示有setuid標誌
rwxrwsrw- 表示有setgid標誌
rwxrw-rwt 表示有sticky標誌
那麼原來的執行標誌x到哪裡去了呢? 系統是這樣規定的, 如果本來在該位上有x, 則這些特殊標誌顯示為小寫字母 (s, s, t). 否則, 顯示為大寫字母 (S, S, T)
這三個許可權的數字位可以這麼理解
[root@server3 test]# 1 1 1
[root@server3 test]# rw s rws rwt
[root@server3 test]#
[root@server3 test]# SUID SGID Sticky
所以,可以得出
chmod 4777是設sid
chmod 2777是設定gid
chmod 1777是設sticky
常用操作
找出所有危險的目錄(設定目錄所有人可讀寫卻沒有設定sticky位的目錄)
find / -perm -0007 -type d
找出所有設定了suid的檔案
find / -perm -4000 -type f[@more@]
如果是一個可執行檔案, 那麼在執行時, 一般該檔案只擁有呼叫該檔案的使用者具有的許可權. 而setuid, setgid 可以來改變這種設定.
setuid: 設定使檔案在執行階段具有檔案所有者的許可權. 典型的檔案是 /usr/bin/passwd. 如果一般使用者執行該檔案, 則在執行過程中, 該檔案可以獲得root許可權, 從而可以更改使用者的密碼.
setgid: 該許可權只對目錄有效. 目錄被設定該位後, 任何使用者在此目錄下建立的檔案都具有和該目錄所屬的組相同的組.
sticky bit: 該位可以理解為防刪除位. 一個檔案是否可以被某使用者刪除, 主要取決於該檔案所屬的組是否對該使用者具有寫許可權. 如果沒有寫許可權, 則這個目錄下的所有檔案都不能被刪除, 同時也不能新增新的檔案. 如果希望使用者能夠新增檔案但同時不能刪除檔案, 則可以對檔案使用sticky bit位. 設定該位後, 就算使用者對目錄具有寫許可權, 也不能刪除該檔案.
下面是三個許可權的特點,歸納如下:
Sticky: 舉例目錄/tmp
1)sticky只能應用在目錄上,並且是應用在其它人上.
2)只有root和檔案的擁有人才能刪除該檔案.
3)小寫表示能執行,大寫表示不能執行
Suid: 舉例目錄 /usr/bin/passwd
1)suid只能應用在二進位制檔案中
2)當一個檔案應用了suid,那麼任何人在執行該命令的時候他就臨時擁有該檔案擁有人的許可權
3)suid只能應用在檔案的擁有人上
4)小寫表示能執行,大寫表示不能執行
Sgid: 應用環境為用於一組開發人員共用資源,保證安全
1)sgid既可以應用在檔案上,也可以應用在目錄上
2)當sgid應用在目錄上時,任何人在該目錄中建立健全的檔案和目錄的擁有者屬於目錄所屬組
3)應用在擁有組上
4)sgid應用在檔案上時,任何人在執行該檔案時,臨時擁有該檔案所屬組許可權
5)小寫表示可執行,大寫反之.
下面說一下如何操作這些標誌:
操作這些標誌與操作檔案許可權的命令是一樣的, 都是 chmod. 有兩種方法來操作,
1) chmod u+s temp -- 為temp檔案加上setuid標誌. (setuid 只對檔案有效)
chmod g+s tempdir -- 為tempdir目錄加上setgid標誌 (setgid 對目錄和檔案有效)
chmod o+t temp -- 為temp檔案加上sticky標誌 (sticky只對檔案有效)
2) 採用八進位制方式. 對一般檔案透過三組八進位制數字來置標誌, 如 666, 777, 644等. 如果設定這些特殊標誌, 則在這組數字之外外加一組八進位制數字. 如 4666, 2777等. 這一組八進位制數字三位的意義如下,
abc
a - setuid位, 如果該位為1, 則表示設定setuid
b - setgid位, 如果該位為1, 則表示設定setgid
c - sticky位, 如果該位為1, 則表示設定sticky
設定完這些標誌後, 可以用 ls -l 來檢視. 如果有這些標誌, 則會在原來的執行標誌位置上顯示. 如
rwsrw-r-- 表示有setuid標誌
rwxrwsrw- 表示有setgid標誌
rwxrw-rwt 表示有sticky標誌
那麼原來的執行標誌x到哪裡去了呢? 系統是這樣規定的, 如果本來在該位上有x, 則這些特殊標誌顯示為小寫字母 (s, s, t). 否則, 顯示為大寫字母 (S, S, T)
這三個許可權的數字位可以這麼理解
[root@server3 test]# 1 1 1
[root@server3 test]# rw s rws rwt
[root@server3 test]#
[root@server3 test]# SUID SGID Sticky
所以,可以得出
chmod 4777是設sid
chmod 2777是設定gid
chmod 1777是設sticky
常用操作
找出所有危險的目錄(設定目錄所有人可讀寫卻沒有設定sticky位的目錄)
find / -perm -0007 -type d
找出所有設定了suid的檔案
find / -perm -4000 -type f[@more@]
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/24790158/viewspace-1040138/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- set uid ,set gid,sticky bit的三個許可權的詳細說明(轉)UI
- Linux檔案特殊許可權 SUID/SGID/Sticky BitLinuxUI
- 求set uid ,set gid,sticky bit的三個許可權的詳細說明(轉)UI
- Linux檔案特殊許可權 SUID/SGID/Sticky Bit (zt)LinuxUI
- Linux特殊許可權之suid、sgid、sbit許可權LinuxUI
- Linux特殊許可權SUID、SGID、SBITLinuxUI
- SUID/SGID以及sticky bitUI
- MySQL的許可權名稱歸納和說明MySql
- Linux/Unix中的SUID和SGID檔案許可權和在CVS專案管理中的應用 (轉)LinuxUI專案管理
- SUID 與 SGID - 使普通使用者可以完成特定使用者許可權才能完成的任務UI
- 說說Oracle三層許可權體系(下)Oracle
- 12c 新增許可權Inherit privilege說明
- UNIX檔案的SUID/SGID(轉)UI
- session的詳細說明和用法Session
- django開發之許可權管理(一)——許可權管理詳解(許可權管理原理以及方案)、不使用許可權框架的原始授權方式詳解Django框架
- Oracle的物件許可權、角色許可權、系統許可權Oracle物件
- 超級詳細的mac系統檔案許可權修改指南Mac
- mysql processlist詳細說明MySql
- 【詳解】GrantedAuthority(已授予的許可權)
- Linux SUID SGID 講解LinuxUI
- 介紹 suid 和 sgid(轉)UI
- winscp操作說明,winscp操作說明的詳細解讀
- Oracle檢視使用者預設表空間、臨時表空間、系統許可權、物件許可權、角色許可權舉例說明Oracle物件
- nginx 詳解 – 詳細配置說明Nginx
- nginx 詳解 - 詳細配置說明Nginx
- AIX 的許可許可權(轉)AI
- 使用者角色許可權控制包 Laravel-permission 使用說明Laravel
- 寬頻路由器的詳細說明路由器
- MySQL mysqldump命令的引數詳細說明MySql
- mysqldump引數詳細說明MySql
- mysql replace into用法詳細說明MySql
- redis info命令詳細說明Redis
- Emacs詳細使用說明(轉)Mac
- memset函式詳細說明函式
- Android6.0------許可權申請管理(單個許可權和多個許可權申請)Android
- linux許可權詳解Linux
- 角色許可權(Role)和系統許可權(System)的幾個澄清實驗
- php中的var_dump()方法的詳細說明PHP