linux文件的访问权限全解析,包括SUID,GUID

时间:2023-01-08 10:00:47

文件权限

  1. 文件权限:是指对文件的访问权限,包括对文件的读、写、删除、执行。Linux 是一个多用户操作系统,因此 Linux 将一个文件或目录与一个用户和组联系起来。
  2. 看一个例子

     drwxr-xr-x  15 root root  4220 Oct  9 15:20 dev/

    与文件权限相关联的是第一、第三、第四个域。第一个域限制了文件的访问权限,第三个域是文件的所有者,第四个域是文件的所属组。在这个例子中,文件的访问权限是 drwxr-xr-x,文件的所有者是 root,所属的组是 root。对于文件和目录,都有这三个权限限制。

  3. 对于第一个域 d|rwx|r-x|r-x

    d rwx r-x r-x
    文件类型 owner权限标志 group权限标志 other权限标志
  4. 文件类型

    文件标志 文件类型 例子
    - 普通文件 数据文件、纯文本文件、程序
    d 目录 /dev
    b 块设备 /dev/sda1
    c 字符设备 /dev/tty1
    s 套接字 /dev/log
    p 命名管道 执行命令 sudo find / -type p
    l 符号链接 /dev/rtc -> rtc0
  5. 用户权限
    对每个文件或目录都有 4 类不同的用户。每类用户各有一组读、写和执行(搜索)文件的访问权限,这 4 类用户是:

    root:系统特权用户类,既 UID = 0 的用户
    owner:拥有文件的用户
    group:拥有文件的用户组
    other:不属于上面 3 类的所有其他用户

    root,自动拥有了对所有文件的所有权限,所以没有必要明确指定他们的权限。其他三类用户则需要授权或撤消权限。因此对owner,group,other三类用户,一共9个权限位与之对应,分为3组,每组3个,分别用 r、w、x 来表示,对于例子”drwxr-xr-x”中的rwx|r-x|r-x分别对应 owner、group、other。

  6. 读,写,执行,r,w,x权限

    字符\形式 数字代号 文件 目录
    r 4 查看文件内容 cat,vi,tail,head,more,less 列出目录的内容 ls(+x)
    w 2 修改文件内容 echo a>>a.txt 创建,删除目录下的文件和子目录mkdir,rm,touch,mv
    x 1 执行文件 ./a.sh(+r) 进入目录 cd
    - 0 没有权限 没有权限


    用户有目录的w权限,则可以创建、删除或修改目录下的任何文件或子目录,即使该文件或子目录属于其他用户。所以说,
    (1)根目录/下一般权限设置
    drwxr-xr-x 2 root root 4096 Apr 22 2016 root/
    group和other只有r和x权限,不能在创建,删除文件
    (2)用户目录/home下面一般权限设置
    drwxr-xr-x 17 user user 4096 Nov 3 17:53 user/
    这个目录下,是用户的目录,owner为文件所属用户user,group为文件所属用户组user,所以本用户owner(rwx)拥有对主目录的所有权限,同时other用户(r-x)只有r和x权限
    (3)临时目录/tmp一般权限设置
    drwxrwxrwt 13 root root 4096 Nov 3 17:55 tmp/
    临时目录是用来临时暂存一些文件的,所以所有用户都具有r,w,x权限,’t’后面会说明意义
    (4)所以,自己用户的数据,最好保存在自己的主目录下面。不要什么情况下都去sudo,这样是很危险的

  7. 修改权限

    • 修改文件所有权
      chown root:root {file or directory}
      修改文件或目录的所有者和所属组
      chgrp root {file or directory}
      修改文件或目录的所属组

    作为该文件或者目录的owner用户的普通用户不能将文件或目录的所有权交与他人,只有 root 有这一权限。但是此owner用户有权改变文件或目录的所属组。

    • 修改文件访问权限
      chmod 753 {file or directory}

      r=4,w=2,x=1;
      7=owner=rwx
      5=group=r-x
      3=other=-wx

      chmod a+r,u+w,u+x,g+w {file or directory}

      a=owner+group+other
      u= owner
      g=group
      o=other

特殊权限

  1. SUID 即Set User ID,当s这个标志出现在文件所有者的x权限上时,如/usr/bin/passwd这个文件的权限状态:“-rwsr-xr-x”,此时就被称为SUID。
    注意:
    - SUID权限仅对二进制程序(binary program)有效
    - 执行者对于该程序需要具有x的可执行权限
    - 本权限仅在执行该程序的过程中有效(run-time)
    - 执行者将具有该程序拥有者(owner)的权限

    SUID的目的,让本来没有相应权限的用户运行这个程序时,可以访问他没有权限访问的资源。

    例子:passwd执行的过程

    系统中的用户密码是保存在/etc/shadow中的,而这个文件的权限(ubuntu)

    -rw-r----- 1 root shadow 1180 Oct 27 09:27 /etc/shadow

    我们知道,除了root用户能修改密码外,用户自己同样也能修改密码,为什么没有写入权限,还能修改密码,就是因为这个SUID功能。
    下面就是passwd这个命令的执行过程
    1、因为/usr/bin/passwd的权限对任何的用户都是可以执行的,所以系统中每个用户都可以执行此命令
    2、而/usr/bin/passwd这个文件的权限是属于root的
    3、当某个用户执行/usr/bin/passwd命令的时候,就拥有了root的权限
    4、于是某个用户就可以借助root用户的权限,来修改了/etc/shadow文件了
    5、最后,把密码修改成功。

    这个SUID只能运行在二进制的程序上(系统中的一些命令),不能用在脚本上(script),因为脚本还是把很多的程序集合到一起来执行,而不是脚本自身在执行。同样,这个SUID也不能放到目录上,放上也是无效的。

  2. SGID 即Set Group ID,我们前面讲过,当s这个标志出现在文件所有者的x权限上时,则就被称为SUID。那么把这个s放到文件的所属用户组x位置上的话,就是SGID。

    注意:
    1、SGID对二进制程序有用;
    2、程序执行者对于该程序来说,需具备x的权限;
    3、SGID主要用在目录上;

    例子: /usr/bin/wall命令

    SGID和SUID一样,只是SGID是获得该程序所属用户组的权限。如果用户在此目录下具有w权限的话,若使用者在此目录下建立新文件,则新文件的群组与此目录的群组相同。

  3. Sticky Bit
    这个就是针对other来设置的了,和上面两个一样,只是功能不同而已。
    SBIT(Sticky Bit)目前只针对目录有效,

    作用: 当用户在该目录下建立文件或目录时,仅有自己与 root才有权力删除。

    最具有代表的就是/tmp目录,任何人都可以在/tmp内增加、修改文件(因为权限全是rwx),但仅有该文件/目录建立者与 root能够删除自己的目录或文件。

    这个SBIT对文件不起作用。

  4. SUID/SGID/SBIT权限设置
    我们前面说的rwx差不多,也有两种方式,一种是以字符,一种是以数字

chmod u+s {binary program}
> SUID 等同于
chmod u+4xxx {binary program}

4 为 SUID = u+s
2 为 SGID = g+s
1 为 SBIT = o+t
当然数字也可以相加,但是必须是符合上面的对文件和目录的限制才会起作用,“-”就是去除某个权限


注意
某些情况下会出现大写的S和T
如果你本来是小的s和t,但是此时去掉了文件或者目录的执行权限,那么
这时候的小s和小t就变成了大S和大T了,因为如果没有了x权限,根据我们上面讲的内容,这个特 殊的权限就相当于一个空的权限,没有意义。也就是说,如果你看到特殊权限位置上变成了大写的了,那么,就说明,这里的权限已经不起作用了。