特殊权限:SUID SGID STICKY
linux的安全上下文:
1.进程以用户的身份运行,进程是发起此用户的代理,因此以此用户的身份和权限完成所有的操作。
2.权限匹配模型:
1)判断进程的属主,是否以被访问的文件属主。如果是,则应用属主权限,否则进入第2步。
2)判断进程的属主,是否属于被访问的文件属组。如果是,则应用属组的权限,否则进入第3步。
3)应用other的权限。
SUID:
默认情况下,用户发起的进程,进程的属主是其发起者,因此,其以发起者的身份在运行。
SUID的功用:用户运行某程序时,如果此程序拥有SUID权限,那么程序运行时,进程的属主不是发起者,而是程序文件自己的属主。
管理文件的SUID权限:
chmod u+|-s FILE
展示位置:属主的执行权限位
如果属主本有执行权限,显示为小写s,
否则,显示为大写S。
[root@localhost ~]# cp /bin/cat /tmp/jackfile1 #将cat命令拷贝为jackfile1
[root@localhost ~]# mv /bin/cat /bin/cat.txt #把cat路径重新编辑,使系统找不到cat命令
[root@localhost tmp]# chmod u+s jackfile1 #增加jackfile1特殊权限suid
[root@localhost tmp]# ll jackfile1 #查看jackfile1的属主属组和权限
-rwsr-xr-x. 1 jack jack 48568 Aug 1 19:11 jackfile1
[jack@localhost jack]$ ll 2.txt #jack用户新建2.txt文件,jack5用户对此文件无任何权限
-rw-rw----. 1 jack jack 52 Aug 1 19:25 2.txt
[jack5@localhost jack]$ /tmp/jackfile1 2.txt #使用jack5用户查看jack用户所建的2.txt文件
agjjfjskdfjlsdfjlsfjsldjgljgljlajgljhljlkdahljfsdjk
实验结论:以上试验中,把jackfile1变成cat命令使用,当jackfile1具有s权限时,其他用户使用jackfile1命令,就相当拥有jackfile1的属主权限,所以任何jack所建的文件,其他用户都可以进行访问。
SGID:
功用:当目录属组有写权限,且有SGID权限时,那么所有属于此目录的属组,且以属组的身份在此目录中新建文件或者目录时,新文件的属组不是用户的基本组,而是此目录的属组。
管理文件的SGID权限:
chmod g+|-s FILE
展示位置:属组的执行权限位
如果属组原本有执行权限,显示为小写s
否则,显示为大写S
[jack@localhost jack]$ ll -d #设定文件目录jack有SGID权限
drwxrwsr-x. 2 jack jack 4096 Aug 1 19:25 .
[jack3@localhost jack]$ id jack3 #设定jack组为jack3的附加组
uid=4019(jack3) gid=4019(jack3) groups=4019(jack3),4023(jack)
[jack3@localhost jack]$ touch 5.txt #使用jack3用户新建5.txt文件
[jack3@localhost jack]$ ll #查看5.txt文件的所属组是jack,而不是主要组jack3
-rw-rw-r--. 1 jack3 jack 0 Aug 1 19:39 5.txt
实验结论:
1.需要jack3用户有jack的附加组。(如果其他用户有写权限,所建文件也是jack组)
2.由于加入SGID权限,用户所建文件的组为jack,意味着jack组内任何成员都可以对5.txt文件进行读写操作。
SGID还有一种用法类似SUID:
[root@localhost ~]# ll /bin/cat #给cat设置sgid
-rwxr-sr-x. 1 root root 48568 May 11 16:59 /bin/cat
[root@localhost ~]# ll /etc/shadow #给shadow设置有root组有读权限
----rwx---. 1 root root 2899 Aug 2 14:51 /etc/shadow
[jack5@localhost ~]$ cat /etc/shadow #随便使用一个用户借用root组的权限
root:$6$zNiiCr8zbAa2xFVa$4Tw89HFHnREnLhhyK2Z/E.w4WlUEIgXR2RaY5bYPu1/f.A3QJF8mcFNaz4EnB7LAUQ/KXWYieQ2cZwhdnTV981:17001:0:99999:7:::
bin:*:15980:0:99999:7:::
STICKY:
功用:对于属组或全局可写的目录,组内的所有用户或系统上的所有用户对在此目录中都能创建新文件或删除所有的已有文件,如果为此类目录设置sticky权限,则每个用户都能创建新文件,且只能删除自己的文件。
管理文件的sticky权限:
chmod o+|-t FILE
展示位置:其它用户的执行限位
如果其它用户原本有执行权限,显示为小写t
否则,显示为大写T
系统上的/tmp和/var/tmp目录默认均有sticky权限
[jack@localhost jack]$ ll -d #设置jack目录拥有sticky权限,注意看t
drwxrwxrwt. 2 jack jack 4096 Aug 1 20:04 .
[jack4@localhost ~]$ id jack4 #用户jack4为普通用户,跟jack无任何关系
uid=4020(jack4) gid=4023(jack) groups=4023(jack)
[jack4@localhost jack]$ touch 4.txt #jack4用户在jack目录里建文件4.txt
[jack3@localhost jack]$ rm 4.txt #使用另一jack3账户对jack4所建文件4.txt进行删除,失败
rm: remove write-protected regular empty file `4.txt'? Y
rm: cannot remove `4.txt': Operation not permitted
实验结论:
1.用户在拥有t权限目录中所建文件,其他用户只能互相修改查看,无法删除其他人所建文件,只能自己删除自己的文件。
2.建立t权限目录的用户有权限删除该目录下的任何文件。
本文出自 “zebra930” 博客,请务必保留此出处http://zebra930.blog.51cto.com/11736340/1833172