linux文件的特殊權(quán)限總結(jié)與實驗

在linux中，有一個安全上下文的概念，一個進程（運行的程序）能否訪問某個文件，取決于發(fā)起進程的用戶對被操作文件存在什么權(quán)限。

成都創(chuàng)新互聯(lián)公司服務(wù)項目包括吳川網(wǎng)站建設(shè)、吳川網(wǎng)站制作、吳川網(wǎng)頁制作以及吳川網(wǎng)絡(luò)營銷策劃等。多年來，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢、行業(yè)經(jīng)驗、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，吳川網(wǎng)站推廣取得了明顯的社會效益與經(jīng)濟效益。目前，我們服務(wù)的客戶以成都為中心已經(jīng)輻射到吳川省份的部分城市，未來相信會繼續(xù)擴大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任！

A. 如果進程的發(fā)起者是該被訪問文件的屬主，則以文件屬主的權(quán)限來訪問

B. 否則，如果進程的發(fā)起者是屬于該被訪問文件的屬組中的用戶，則以文件屬組的權(quán)限來訪問

C. 否則，以其他用戶來訪問此文件

而在這個權(quán)限之外，還存在著三種特殊權(quán)限

SUID：當(dāng)對某一個程序文件設(shè)置了SUID置位，則該進程（程序）訪問系統(tǒng)上的文件時，以程序的屬主的身份來訪問該文件，而不是執(zhí)行程序的用戶的權(quán)限來訪問文件。

SGID：當(dāng)某目錄的屬組對目錄有寫權(quán)限，并且設(shè)置了SGID置位時，屬于屬組的這些用戶在這個目錄下創(chuàng)建文件時，被創(chuàng)建的文件的屬組默認(rèn)會變成該目錄的屬組，而不是創(chuàng)建文件的用戶的基本組。

SBIT：當(dāng)對某目錄設(shè)置了SBIT置位時，用戶只能刪除自己在該目錄下創(chuàng)建的文件，而不能刪除其他用戶創(chuàng)建的文件，哪怕用戶對目錄存在寫權(quán)限。

操作：

1. SUID: ? chmod u+s

2. SGID: ?chmod g+s

3. SBIT: chmod o+t

實驗：

一、 SUID實驗

將/bin/cat復(fù)制到/test目錄，將/test/bin程序進行SUID置位。讓一個普通使用該程序來查看/etc/shadow文件。然后再用系統(tǒng)自帶的/bin/cat來查看該文件。

# ?將/bin/cat復(fù)制到/test目錄

[root@liuqing test]# cp /bin/cat /test/

[root@liuqing test]# ll /test

總用量 60

-rwxr-xr-x. 1 root root 54080 11月 21 17:04 cat

#對/test/cat文件進行SUID置位，該文件的屬主屬組都是root

[root@liuqing test]# chmod u+s /test/cat

[root@liuqing test]# ll

總用量 60

-rwsr-xr-x. 1 root root 54080 11月 21 17:04 cat

-rw-r-----. 1 lyf ?lyf ? ? 14 11月 21 16:15 file1.txt

#切換到普通用戶liuqing

[root@liuqing test]# su - liuqing

上一次登錄：四 11月 21 16:05:54 CST 2019pts/1 上

[liuqing@liuqing ~]$

#普通用戶liuqing,使用/test/cat可以查看/etc/shadow

[liuqing@liuqing ~]$ /test/cat /etc/shadow

root:$6$gdIxmcOy$JSDVjR0tSdQfVTDrukonWIfRLdDIut63ZYiucsTmj8TPJ0Sq/wZduJhWgSUidlHeW6pmISq.B7Vx4OlGX1P1p1:18185:0:99999:7:::

#普通用戶使用系統(tǒng)自帶的/bin/cat，不能查看/etc/shadow

[liuqing@liuqing ~]$ ll /bin/cat

-rwxr-xr-x. 1 root root 54080 8月 ?20 14:25 /bin/cat

[liuqing@liuqing ~]$ cat /etc/shadow

cat: /etc/shadow: 權(quán)限不夠

二、 SGID實驗

系統(tǒng)上有兩個用戶，gentoo和fedora,它們的附加組為mygrp，現(xiàn)在對/test目錄進行SGID置位，當(dāng)我們使用這兩個用戶在/test目錄下創(chuàng)建文件時，文件的屬組會自動變成mygrp。

#查看gentoo和fedora是否存在

[root@liuqing test]# id gentoo

uid=4007(gentoo) gid=4007(gentoo) 組=4007(gentoo),5000(magedu)

[root@liuqing test]# id fedora

uid=4008(fedora) gid=4008(fedora) 組=4008(fedora),5000(magedu)

# 創(chuàng)建組mygrp

[root@liuqing test]# groupadd mygrp

# 將用戶gentoo和fedora添加附加組mygrp

[root@liuqing test]# usermod -a -G mygrp gentoo

[root@liuqing test]# usermod -a -G mygrp fedora

[root@liuqing test]# id gentoo

uid=4007(gentoo) gid=4007(gentoo) 組=4007(gentoo),5000(magedu),5003(mygrp)

[root@liuqing test]# id fedora

uid=4008(fedora) gid=4008(fedora) 組=4008(fedora),5000(magedu),5003(mygrp)

# 修改/test的屬組為mygrp,修改屬組權(quán)限為rwx，對/test進行SGID置位

[root@liuqing /]# chown :mygrp /test

[root@liuqing /]# chmod g+w /test

[root@liuqing /]# chmod g+s /test

[root@liuqing /]# ls -ld ?/test

drwxrwsr-x. 2 root mygrp 34 11月 21 17:23 /test

# 切換用戶到gentoo

[root@liuqing /]# su - gentoo

上一次登錄：四 11月 21 17:22:21 CST 2019pts/0 上

[gentoo@liuqing ~]$

# gentoo用戶在/test目錄下創(chuàng)建了gentoo.txt文件，查看文件屬性，該文件屬組為mygrp

[gentoo@liuqing ~]$ touch /test/gentoo.txt

[gentoo@liuqing ~]$ ll /test

總用量 60

-rw-rw-r--. 1 gentoo mygrp ? ? 0 11月 21 17:25 gentoo.txt

三、 SBIT實驗

/test目錄的屬組是mygrp,對這個目錄，進行了SGID置位，mygrp組對目錄有rwx權(quán)限。那么這個目錄下，附加組是mygrp的用戶在目錄中創(chuàng)建的文件的屬組是mygrp，這時，附加組是mygrp的這些用戶可以在目錄中創(chuàng)建、修改刪除文件，而這樣的話，這些用戶也可以刪除別的用戶創(chuàng)建的文件，為了不讓別人刪除某用戶創(chuàng)建的文件，則可以對目錄進行stick，stick之后，只有用戶自己和管理員可以刪除該目錄下該用戶自己創(chuàng)建的文件。

# 對目錄進行stick置位，查看權(quán)限，發(fā)現(xiàn)在o的權(quán)限位，有一個t

[root@liuqing test]# chmod o+t /test

[root@liuqing test]# ls -ld /test

drwxrwsr-t. 2 root mygrp 52 11月 21 17:25 /test

#切換到fedora用戶，創(chuàng)建一個fedora.txt

[root@liuqing test]# su ?- fedora

[fedora@liuqing ~]$ touch /test/fedora.txt

[fedora@liuqing ~]$ echo "How are you?" ?>> /test/fedora.txt

#查看目錄下的文件，對于gentoo.txt ,它的權(quán)限是屬組有rw。

[fedora@liuqing ~]$ ll /test

-rwsr-xr-x. 1 root ? root ?54080 11月 21 17:04 cat

-rw-rw-r--. 1 fedora mygrp ? ?13 11月 22 08:45 fedora.txt

-rw-rw-r--. 1 gentoo mygrp ? ? 0 11月 21 17:25 gentoo.txt

#fedora用戶可以編輯gentoo.txt這個文件

[fedora@liuqing ~]$ echo ?"New line" ?>> /test/gentoo.txt

[fedora@liuqing ~]$

[fedora@liuqing ~]$

[fedora@liuqing ~]$ cat /test/gentoo.txt

New line

#由于進行了SBIT置位，fedora用戶不能刪除gentoo.txt這個文件，因為這個文件不是fedora創(chuàng)建的。

[fedora@liuqing ~]$ rm /test/gentoo.txt

rm: 無法刪除"/test/gentoo.txt": 不允許的操作

新聞名稱：linux文件的特殊權(quán)限總結(jié)與實驗
URL網(wǎng)址：http://muchs.cn/article40/gediho.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站設(shè)計、Google、定制開發(fā)、建站公司、小程序開發(fā)、網(wǎng)站維護

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)