Linux下的SUID、SGID、SBIT权限设置与作用

SUID

SUID只能对文件设置

  • 只对二进制可执行文件有效
  • 执行者对文件有x权限,在执行此程序期间获取到程序所有者的身份

普通的文件权限

1
-rwxrwxr-x

设置了SUID位的文件权限,拥有者的x变为s

1
-rwsrwxr-x

设置方法

1
chmod 4xxx <name>

做一个实验验证,创建两个测试用户test-1 test-2,登陆到test-1并在家目录创下创建一个文件data.log

1
2
3
============
test-1 data
============

切换到/tmp目录,建立一个读取data.log的脚本,并为其分配755权限。

1
2
#!/bin/bash
cat /home/test-1/data.log
1
$ chmod 755 readlog.sh

现在切换到test-2用户,执行一下这个脚本看一下

1
2
3
$ su test-2
$ /tmp/readlog.sh
cat: /home/test-1/data.log: Permission denied

肯定是没有权限读取的,切回test-1用户,给脚本设置SUID位,然后再切回test-2并执行脚本

1
2
3
4
5
$ su test-1
$ chmod 4755 readlog.sh
$ su test-2
$ /tmp/readlog.sh
$ cat: /home/test-1/data.log: Permission denied

此时依然无法读取,说明对于shell脚本,SUID的设置是没有作用的。

这里我切到test-1写一段go程序,并编译成二进制文件。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
package main

import (
    "fmt"
    "io/ioutil"
)

func main() {
    fmt.Println("readlog is running...")
    data, err := ioutil.ReadFile("/home/test-1/data.log")
    if err != nil {
        fmt.Println("File reading error", err)
        return
    }
    fmt.Println("Contents of file:", string(data))
}
1
$ go build readlog.go

切回test-2,执行这个二进制文件,没有权限。

1
2
3
$ /tmp/readlog
readlog is running...
File reading error open /home/test-1/data.log: permission denied

我们切回test-1并给这个二进制文件设置SUID位,再切回test-2执行,已经可以读取到test-1用户家目录下的文件了,说明这个执行过程中test-2用户获取到了test-1的身份。

1
2
3
4
5
$ chmod 4755 readlog
$ su test-2
$ /tmp/readlog
readlog is running...
Contents of file: test-1 data

SGID

SGID可以对文件或目录设置

  • 文件

    • 对二进制文件有效
    • 执行者对文件有x权限,在执行期间获取到程序所属群组的权限

  • 目录

    • 对目录有rx权限的用户可以进入目录
    • 用户在此目录下的有效群组将会变为该目录的群组
    • 若用户在此目录具有w权限,则其创建的文件的所属群组与此目录的所属群组相同

普通文件权限

1
-rwxrwxr-x

设置了SGID权限,所属组的x变为s

1
-rwxrwsr-x

设置方法

1
chmod 2xxx <name>

建立一个测试群组,创建一个目录并分配到这个群组上

1
2
3
4
5
$ groupadd sgid-test
$ mkdir /tmp/sgid-test
$ chgrp /tmp/sgid-test sgid-test
$ ls /tmp/
drwxr-xr-x. 2 root   sgid-test       6 3月  14 16:10 sgid-test

切换到test-1在这个目录创建一个文件试试看

1
2
3
4
$ su test-1
$ echo "test1" > /tmp/sgid-test/data.txt
$ ls /tmp/sgid-test/
-rw-rw-r--. 1 test-1 test-1 4 3月  14 16:14 data.txt

这时创建的文件属于test-1用户和test-1分组

切回管理员账户并给改目录设置SGID,再用test-1创建一个文件试一下

1
2
3
4
5
6
7
8
$ su -
$ chmod 2777 /tmp/sgid-test
$ ls /tmp/
drwxrwsrwx. 2 root   sgid-test      22 Mar 14 16:14 sgid-test
$ su test-1
$ echo "test2" > /tmp/sgid-test/data2.txt
$ ls /tmp/sgid-test/
-rw-rw-r--. 1 test-1 sgid-test 4 Mar 14 16:15 data2.txt

可以看到这时test-1创建的文件属于test-1用户和sgid-test分组

SBIT

SBIT只能对目录设置,设置了该权限之后,对此目录有wx权限的用户,在该目录内创建的文件之后用户自己与root有权限删除。

1
drwxrwxrwt.   8 root root       177 Mar 14 16:55 tmp

test-1/tmp创建文件并给予全部权限,再切到test-2对其进行一些操作

1
2
3
4
5
6
$ echo "test" > /tmp/test.txt
$ chmod 777 /tmp/test.txt
$ su test-2
$ echo "line2" >> /tmp/test.txt 	#可以正常编辑
$ rm /tmp/test.txt
rm: cannot remove ‘test.txt’: Operation not permitted		#但是不能删除

空权限

1
2
$ ls -l
-rw-r--r--. 1 root root 4 Mar 14 17:02 s-test

此文件的所有者、所属组及其他人均没有x权限,此时设置SUIDSGIDSBIT来看一下

1
2
3
$ chmod 7644 s-test
$ ls -l
$ -rwSr-Sr-T. 1 root root 4 Mar 14 17:02 s-test

可以发现对于没有x权限的文件设置这三种属性,则x权限位分别变为SST

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

曾经是个修理工,<br>现在是一枚码农。<br>路漫漫其修远兮,<br>吾将上下而求索。<br>