linux系统上的特殊权限SUID,SGID,STICKY

特殊权限:SUID SGID STICKY

    linux的安全上下文:

    1.进程以用户的身份运行,进程是发起此用户的代理,因此以此用户的身份和权限完成所有的操作。

    2.权限匹配模型:

    1)判断进程的属主,是否以被访问的文件属主。如果是,则应用属主权限,否则进入第2步。

    2)判断进程的属主,是否属于被访问的文件属组。如果是,则应用属组的权限,否则进入第3步。

    3)应用other的权限。


SUID:

    默认情况下,用户发起的进程,进程的属主是其发起者,因此,其以发起者的身份在运行。

    SUID的功用:用户运行某程序时,如果此程序拥有SUID权限,那么程序运行时,进程的属主不是发起者,而是程序文件自己的属主。


管理文件的SUID权限:

    chmod u+|-s FILE

    展示位置:属主的执行权限位

             如果属主本有执行权限,显示为小写s,

             否则,显示为大写S。


[root@localhost ~]# cp /bin/cat /tmp/jackfile1      #将cat命令拷贝为jackfile1


[root@localhost ~]# mv /bin/cat /bin/cat.txt        #把cat路径重新编辑,使系统找不到cat命令


[root@localhost tmp]# chmod u+s jackfile1           #增加jackfile1特殊权限suid


[root@localhost tmp]# ll jackfile1                  #查看jackfile1的属主属组和权限

-rwsr-xr-x. 1 jack jack 48568 Aug  1 19:11 jackfile1


[jack@localhost jack]$ ll 2.txt         #jack用户新建2.txt文件,jack5用户对此文件无任何权限

-rw-rw—-. 1 jack jack 52 Aug  1 19:25 2.txt


[jack5@localhost jack]$ /tmp/jackfile1 2.txt    #使用jack5用户查看jack用户所建的2.txt文件

agjjfjskdfjlsdfjlsfjsldjgljgljlajgljhljlkdahljfsdjk


实验结论:以上试验中,把jackfile1变成cat命令使用,当jackfile1具有s权限时,其他用户使用jackfile1命令,就相当拥有jackfile1的属主权限,所以任何jack所建的文件,其他用户都可以进行访问。

            


SGID:

    功用:当目录属组有写权限,且有SGID权限时,那么所有属于此目录的属组,且以属组的身份在此目录中新建文件或者目录时,新文件的属组不是用户的基本组,而是此目录的属组。


管理文件的SGID权限:

    chmod g+|-s FILE

    展示位置:属组的执行权限位

             如果属组原本有执行权限,显示为小写s

             否则,显示为大写S


[jack@localhost jack]$ ll -d                   #设定文件目录jack有SGID权限

drwxrwsr-x. 2 jack jack 4096 Aug  1 19:25 .


[jack3@localhost jack]$ id jack3               #设定jack组为jack3的附加组

uid=4019(jack3) gid=4019(jack3) groups=4019(jack3),4023(jack)


[jack3@localhost jack]$ touch 5.txt           #使用jack3用户新建5.txt文件

 

[jack3@localhost jack]$ ll                 #查看5.txt文件的所属组是jack,而不是主要组jack3

-rw-rw-r–. 1 jack3 jack  0 Aug  1 19:39 5.txt


实验结论:

1.需要jack3用户有jack的附加组。(如果其他用户有写权限,所建文件也是jack组)

2.由于加入SGID权限,用户所建文件的组为jack,意味着jack组内任何成员都可以对5.txt文件进行读写操作。


SGID还有一种用法类似SUID:

[root@localhost ~]# ll /bin/cat                          #给cat设置sgid

-rwxr-sr-x. 1 root root 48568 May 11 16:59 /bin/cat


[root@localhost ~]# ll /etc/shadow                       #给shadow设置有root组有读权限

—-rwx—. 1 root root 2899 Aug  2 14:51 /etc/shadow 


[jack5@localhost ~]$ cat /etc/shadow                     #随便使用一个用户借用root组的权限

root:$6$zNiiCr8zbAa2xFVa$4Tw89HFHnREnLhhyK2Z/E.w4WlUEIgXR2RaY5bYPu1/f.A3QJF8mcFNaz4EnB7LAUQ/KXWYieQ2cZwhdnTV981:17001:0:99999:7:::

bin:*:15980:0:99999:7:::




STICKY:

    功用:对于属组或全局可写的目录,组内的所有用户或系统上的所有用户对在此目录中都能创建新文件或删除所有的已有文件,如果为此类目录设置sticky权限,则每个用户都能创建新文件,且只能删除自己的文件。

    

管理文件的sticky权限:

    chmod o+|-t FILE

    展示位置:其它用户的执行限位

            如果其它用户原本有执行权限,显示为小写t

            否则,显示为大写T

   系统上的/tmp和/var/tmp目录默认均有sticky权限


[jack@localhost jack]$ ll -d                 #设置jack目录拥有sticky权限,注意看t

drwxrwxrwt. 2 jack jack 4096 Aug  1 20:04 .


[jack4@localhost ~]$ id jack4                #用户jack4为普通用户,跟jack无任何关系

uid=4020(jack4) gid=4023(jack) groups=4023(jack)


[jack4@localhost jack]$ touch 4.txt          #jack4用户在jack目录里建文件4.txt 


[jack3@localhost jack]$ rm 4.txt      #使用另一jack3账户对jack4所建文件4.txt进行删除,失败

rm: remove write-protected regular empty file `4.txt'? Y

rm: cannot remove `4.txt': Operation not permitted

     

实验结论:

1.用户在拥有t权限目录中所建文件,其他用户只能互相修改查看,无法删除其他人所建文件,只能自己删除自己的文件。

2.建立t权限目录的用户有权限删除该目录下的任何文件。

原创文章,作者:zebra930,如若转载,请注明出处:http://www.178linux.com/27626

(0)
上一篇 2016-08-05 16:18
下一篇 2016-08-05 16:20

相关推荐

  • shell脚本中变量与运算及简单编程示例

    一、变量         在Linux shell脚本的变量中,分为系统定义的变量和用户定义的变量。这些变量是用来调用一个数值或字符值。定义变量时,不需要声明变量类型。 1、系统变量         …

    Linux干货 2016-08-15
  • 第二周:文件管理练习

    1.Linux上的文件管理类命令都有哪些,其常用的使用方法及其相关示例演示 目录管理管理类命令 mkdir make directories mkdir [OPTION]… DIRECTORY… 注意:路径基名作为命令的作用对象时,基名之前的路径必须要存在;     -p:自动按需创建父目录…

    Linux干货 2016-09-23
  • 有证说话硬–实现CA和证书申请

    centos下利用openssl来实现证书的颁发 直接进入正题,细节坑就不说了,自己解决起来更有挑战性不是 步骤流程: 我是拿的7.3版本做CA主机,6.8版本做客户端 1.创建CA 2.生成私钥 3.生成自签名证书 4.到客服端 5.生成私钥 6.生成证书申请文件 7.将请求发送给-CA主机 8.CA主机-验证签署 9.拷回给客户端使用 用法:openss…

    2017-04-11
  • Linux下如何使用sendEmail来发送邮件

    1)什么是sendEmail sendEmail是一个轻量级,命令行的SMTP邮件客户端(注意,不要跟sendmail混淆了)。如果你需要使用命令行发送邮件,那么sendEmail是非常完美的选择:使用简单并且功能强大,从此以后你就爱上了它。 2)安装sendEmail [root@zabbix ~]# wget http://…

    系统运维 2016-07-29
  • Linux的终端类型

         序  终端的概念是由Ken Thompson提出的,是人机交互的接口。它是一种字符型设备,有多种类型,它大体上分为设备终端,物理终端,虚拟终端,图形终端,串行终端,伪终端。 一、   设备终端  设备终端就是显而易见的外在设备,比如键盘、鼠标和显示器等。 二、&nbsp…

    Linux干货 2016-10-19
  • Hadoop HDFS分布式文件系统设计要点与架构

    Hadoop简介:一个分布式系统基础架构,由Apache基金会开发。用户可以在不了解分布式底层细节的情况下,开发分布式程序。充分利用集群的威力高速运算和存储。Hadoop实现了一个分布式文件系统(Hadoop Distributed File System),简称HDFS。HDFS有着高容错性的特点,并且设计用来部署在低廉的(low-cost)硬件…

    Linux干货 2015-04-13