Linux学习之文件特殊权限详解(SetUID、SetGID、Sticky BIT)
目录
SetUID SetGID Sticky BIT
SetUID
SetUID简介
只有可以执行的二进制程序和可执行的代码才能设定SUID权限。 命令执行者要对该程序拥有x(执行)权限。 命令执行者在执行该程序时获得该程序文件所属主的身份(在执行程序的过程中灵魂附体为文件的所属主)。 SetUID权限只在该程序执行过程中有效,也就是说身份改变只在执行过程中有效。
这样大家肯定不怎么理解,现在我们来举一个例子,普通用户a在执行某个二进制程序时候,这个二进制程序的所有者是root,如果这个二进制程序拥有SUID权限,
那么普通用户a就会拥有root用户的权限,这样看来,好像一个变身命令。
设定SetUID的方法
4代表SUID,2代表GID,1代表Sticky BIT,7代表全部设置
chmod 4xxx 文件名
取消SetUID的方法
chmod xxx 文件名
SetUID权限的危险性
演示
这里应该用一个可执行的程序或文件来演示的,但理解这个权限的作用是什么就好,一般工作也用不上。
创建一个文件夹test
查看test文件夹的默认权限
重新赋予test文件夹权限
再次查看test文件夹的权限,我们可以看到,在所有者的权限后面多了个s,文件名高亮显示,这种文件,在linux中代表危险文件或者错误的文件
如果你想取消这个文件夹的权限
chmod 755 test即可
SetGID
SetGID简介
SetGID对文件和目录有不同的意义,我们只看对文件的作用
SetGID对文件的作用:
只有可以执行的二进制程序和可执行的代码才能设定SUID权限。 命令执行者要对该程序拥有x(执行)权限。 命令执行者在执行该程序时获得该程序文件属主的身份(在执行程序的过程中灵魂附体为文件的属主)。 SetUID权限只在该程序执行过程中有效,也就是说身份改变只在执行过程中有效。
由locate命令带来的思考
我们知道locate命令比find命令更快,这是由于locate命令是在一个数据库中查询,需要定期更新数据库,要不然查询会不准确,但是find命令会扫描整个文件系统,但是更准确。
我们可以看到/usr/bin/locate文件的组的权限是有SGID权限。
我们也可以看到普通用户对数据库没有权限的。
那么为什么普通用户也可以访问这个数据库呢?
我们来看一下使用locate命令查询时候的过程。
假设普通用户lamp现在正在使用locate命令
现在我们明白了,lamp在使用locate命令时,从普通用户变为slocate组身份,这个组对数据库是有r权限的。
设置SetGID和取消SetGID权限
chmod 2xxx 文件名 chmod xxx 文件名
Sticky BIT
Sticky BIT的简介
这个是用来防止如果我们给了一个目录777的权限,那么一个用户创建的目录,另一个目录如果不小心就会删除目录,如果你给这个目录设置Sticky BIT权限,这个用户就删除不了一个用户创建的文件。
设置粘着位和取消粘着位
chmod 1xxx 文件名 chmod xxx 文件名