本文共 3785 字,大约阅读时间需要 12 分钟。
轉載自鳥哥的 Linux 私房菜
[root@www ~]# ls -ld /tmp ; ls -l /usr/bin/passwddrwxrwxrwt 7 root root 4096 Sep 27 18:23 /tmp-rwsr-xr-x 1 root root 22984 Jan 7 2007 /usr/bin/passwd
|
如有侵權,請告知,將刪除
Set UID
當 s 這個標誌出現在檔案擁有者的 x 權限上時,例如剛剛提到的 /usr/bin/passwd 這個檔案的權限狀態:『-rwsr-xr-x』,此時就被稱為 Set UID,簡稱為 SUID 的特殊權限。 那麼SUID的權限對於一個檔案的特殊功能是什麼呢?基本上SUID有這樣的限制與功能:
- SUID 權限僅對二進位程式(binary program)有效;
- 執行者對於該程式需要具有 x 的可執行權限;
- 本權限僅在執行該程式的過程中有效 (run-time);
- 執行者將具有該程式擁有者 (owner) 的權限。
講這麼硬的東西你可能對於 SUID 還是沒有概念,沒關係,我們舉個例子來說明好了。 我們的 Linux 系統中,所有帳號的密碼都記錄在 /etc/shadow 這個檔案裡面,這個檔案的權限為:『-r-------- 1 root root』,意思是這個檔案僅有root可讀且僅有root可以強制寫入而已。 既然這個檔案僅有 root 可以修改,那麼鳥哥的 vbird 這個一般帳號使用者能否自行修改自己的密碼呢? 你可以使用你自己的帳號輸入『passwd』這個指令來看看,嘿嘿!一般使用者當然可以修改自己的密碼了!
唔!有沒有衝突啊!明明 /etc/shadow 就不能讓 vbird 這個一般帳戶去存取的,為什麼 vbird 還能夠修改這個檔案內的密碼呢? 這就是 SUID 的功能啦!藉由上述的功能說明,我們可以知道
- vbird 對於 /usr/bin/passwd 這個程式來說是具有 x 權限的,表示 vbird 能執行 passwd;
- passwd 的擁有者是 root 這個帳號;
- vbird 執行 passwd 的過程中,會『暫時』獲得 root 的權限;
- /etc/shadow 就可以被 vbird 所執行的 passwd 所修改。
但如果 vbird 使用 cat 去讀取 /etc/shadow 時,他能夠讀取嗎?因為 cat 不具有 SUID 的權限,所以 vbird 執行 『cat /etc/shadow』 時,是不能讀取 /etc/shadow 的。我們用一張示意圖來說明如下:
圖4.4.1、SUID程式執行的過程示意圖
另外,SUID 僅可用在binary program 上, 不能夠用在 shell script 上面!這是因為 shell script 只是將很多的 binary 執行檔叫進來執行而已!所以 SUID 的權限部分,還是得要看 shell script 呼叫進來的程式的設定, 而不是 shell script 本身。當然,SUID 對於目錄也是無效的~這點要特別留意。
Set GID
當 s 標誌在檔案擁有者的 x 項目為 SUID,那 s 在群組的 x 時則稱為 Set GID, SGID 囉!是這樣沒錯!^_^。 舉例來說,你可以用底下的指令來觀察到具有 SGID 權限的檔案喔:
[root@www ~]# ls -l /usr/bin/locate-rwx--s--x 1 root slocate 23856 Mar 15 2007 /usr/bin/locate |
與 SUID 不同的是,SGID 可以針對檔案或目錄來設定!如果是對檔案來說, SGID 有如下的功能:
- SGID 對二進位程式有用;
- 程式執行者對於該程式來說,需具備 x 的權限;
- 執行者在執行的過程中將會獲得該程式群組的支援!
舉例來說,上面的 /usr/bin/locate 這個程式可以去搜尋 /var/lib/mlocate/mlocate.db 這個檔案的內容 (詳細說明會在下節講述), mlocate.db 的權限如下:
[root@www ~]# ll /usr/bin/locate /var/lib/mlocate/mlocate.db-rwx--s--x 1 root slocate 23856 Mar 15 2007 /usr/bin/locate-rw-r----- 1 root slocate 3175776 Sep 28 04:02 /var/lib/mlocate/mlocate.db |
與 SUID 非常的類似,若我使用 vbird 這個帳號去執行 locate 時,那 vbird 將會取得 slocate 群組的支援, 因此就能夠去讀取 mlocate.db 啦!非常有趣吧!
除了 binary program 之外,事實上 SGID 也能夠用在目錄上,這也是非常常見的一種用途! 當一個目錄設定了 SGID 的權限後,他將具有如下的功能:
- 使用者若對於此目錄具有 r 與 x 的權限時,該使用者能夠進入此目錄;
- 使用者在此目錄下的有效群組(effective group)將會變成該目錄的群組;
- 用途:若使用者在此目錄下具有 w 的權限(可以新建檔案),則使用者所建立的新檔案,該新檔案的群組與此目錄的群組相同。
Sticky Bit
這個 Sticky Bit, SBIT 目前只針對目錄有效,對於檔案已經沒有效果了。 SBIT 對於目錄的作用是:
- 當使用者對於此目錄具有 w, x 權限,亦即具有寫入的權限時;
- 當使用者在該目錄下建立檔案或目錄時,僅有自己與 root 才有權力刪除該檔案
換句話說:當甲這個使用者於 A 目錄是具有群組或其他人的身份,並且擁有該目錄 w 的權限, 這表示『甲使用者對該目錄內任何人建立的目錄或檔案均可進行 "刪除/更名/搬移" 等動作。』 不過,如果將 A 目錄加上了 SBIT 的權限項目時, 則甲只能夠針對自己建立的檔案或目錄進行刪除/更名/移動等動作,而無法刪除他人的檔案。
舉例來說,我們的 /tmp 本身的權限是『drwxrwxrwt』, 在這樣的權限內容下,任何人都可以在 /tmp 內新增、修改檔案,但僅有該檔案/目錄建立者與 root 能夠刪除自己的目錄或檔案。這個特性也是挺重要的啊!你可以這樣做個簡單的測試:
- 以 root 登入系統,並且進入 /tmp 當中;
- touch test,並且更改 test 權限成為 777 ;
- 以一般使用者登入,並進入 /tmp;
- 嘗試刪除 test 這個檔案!
==========================================================
字型態更改權限的方式為『三個數字』的組合, 那麼如果在這三個數字之前再加上一個數字的話,最前面的那個數字就代表這幾個權限了!
- 4 為 SUID
- 2 為 SGID
- 1 為 SBIT
假設要將一個檔案權限改為『-rwsr-xr-x』時,由於 s 在使用者權限中,所以是 SUID ,因此, 在原先的 755 之前還要加上 4 ,也就是:『 chmod 4755 filename 』來設定!此外,還有大 S 與大 T 的產生喔!參考底下的範例啦!
[root@www ~]# cd /tmp[root@www tmp]# touch test <==建立一個測試用空檔[root@www tmp]# chmod 4755 test; ls -l test <==加入具有 SUID 的權限-rwsr-xr-x 1 root root 0 Sep 29 03:06 test[root@www tmp]# chmod 6755 test; ls -l test <==加入具有 SUID/SGID 的權限-rwsr-sr-x 1 root root 0 Sep 29 03:06 test[root@www tmp]# chmod 1755 test; ls -l test <==加入 SBIT 的功能!-rwxr-xr-t 1 root root 0 Sep 29 03:06 test[root@www tmp]# chmod 7666 test; ls -l test <==具有空的 SUID/SGID 權限-rwSrwSrwT 1 root root 0 Sep 29 03:06 test |
最後一個例子就要特別小心啦!怎麼會出現大寫的 S 與 T 呢?不都是小寫的嗎? 因為 s 與 t 都是取代 x 這個權限的,但是你有沒有發現阿,我們是下達 7666 喔!也就是說, user, group 以及 others 都沒有 x 這個可執行的標誌( 因為 666 嘛 ),所以,這個 S, T 代表的就是『空的』啦!怎麼說? SUID 是表示『該檔案在執行的時候,具有檔案擁有者的權限』,但是檔案 擁有者都無法執行了,哪裡來的權限給其他人使用?當然就是空的啦! ^_^
转载地址:http://sasgi.baihongyu.com/