SetUID SetUID 的功能 只有执行的二进制程序才能设定 SUID 权限 命令执行者要对该程序拥有 x 权限 命令执行者在执行该程序时获得该程序文件属主的身份。 SetUID 权限只在该程序执行过程中
SetUID
- 只有执行的二进制程序才能设定 SUID 权限
- 命令执行者要对该程序拥有 x 权限
- 命令执行者在执行该程序时获得该程序文件属主的身份。
- SetUID 权限只在该程序执行过程中有效,也就是说身份改变只在程序执行过程中有效。
passwd 所有者拥有 SetUID 权限,普通用户在执行 passwd 时,暂时行使 root 权限的功能,普通用户可以修改自己的密码。
cat 命令没有 SetUID 权限,所以普通用户不能查看 /etc/shadow 文件内容。
4 代表 SUID
在权限码前面加上 (4,2,1)—— SetUID、SetGID、Sticky BIT
或者
chmod u+s 文件名
或者
chmod u-s 文件名
关键目录应严格控制写权限。
用户的密码设置要严格遵守密码三原则。
对系统中默认应该具有SetUID权限的文件做一列表,定时检查有没有之外的文件被设置了 SetUID 权限。
SetGID
只有可执行的二进制程序才能设置SGID权限
命令执行者要对该程序拥有x权限
命令执行在执行程序的时候,组身份升级为该程序文件的属组
SetGID 权限同样只在该程序执行过程中有效,也就是说组身份改变只在程序执行过程中有效
/usr/bin/locate 是可执行二进制程序,可以赋予SGID
执行用户lamp对/usr/bin/locate命令拥有执行权限
执行/usr/bin/locate命令时,组身份会升级为slocate组,而slocate组对/var/lib/mlocate/mlocate.db 数据库拥有 r 权限,所以普通用户可以使用locate命令查询mlocate.db数据库
命令结束,lamp用户的组身份返回为lamp组
普通用户必须对此目录拥有r和x权限,才能进入此目录
普通用户在此目录中的有效组会变成此目录的属组
若普通用户对此目录拥有w权限时,新建的文件的默认属组是这个目录的属组
或者
chmod g-s 文件名
2 代表 SetGID
或者
chmod g+s 文件名
Sticky BIT
只能是 root 用户设置。
黏着位目前只对目录有效
普通用户对该目录拥有 w 和 x 权限,即普通用户可以在此目录拥有写入权限。
如果没有黏着位,因为普通用户拥有 w 权限,所以可以删除此目录下所有文件,包括其他用户建立的文件。一旦赋予了黏着位,除了 root 可以删除所有文件,普通用户就算拥有了 w 权限,也只能删除自己建立的文件,但是不能删除其他用户建立的文件。
chmod o+t 目录名
chomod o-t 目录名