Linux特殊权限UGID

1、特殊权限:有三种:SUID,SGID,StickySUID :运行某程序时,相应进程的属主是程序文件自身的属主,而不是启动者。当我们希望某个普通用户能够运行管理员能运行的命令时,可以给该命令SUID权限,危险的权限,不要乱给。给文件SUID权限:rooten # chmod u+s /bin/catrooten # chmod u-s /bin/cat如果文件本身原来就有执行权限,则SUID显示为s(小s,否则显示S(大S。例如:文件权限如下:rooten # ll /bin/cat-rwxr-xr-x. 1 root root 48568 Nov 22 2013 /bin/catrooten

2、 # ll /etc/shadow-. 1 root root 1532 Nov 18 17:32 /etc/shadowrooten #当某个普通用户执行cat /etc/shadow命令时,结果如下:dwzhangen $ cat /etc/shadowcat: /etc/shadow: Permission denied (没有权限dwzhangen $rooten # chmod u+s /bin/cat(给cat特殊权限rooten # ll /bin/cat-rwsr-xr-x. 1 root root 48568 Nov 22 2013 /bin/catrooten #dwzha

3、ngen $ cat /etc/shadow (可以执行该命令了root:$6$ywmofjJsEJYHh7xr$fbqAyFiYzlrEeZpAnH5QXN63zuOPd3NW9ZUDzOwqalm7Mg5Fg0rStY BnoiVbuLmCAnOAYZLEhiMN.kG7IAiJj.:16324:0:99999:7:bin:*:15980:0:99999:7:dwzhangen $由于passwd需要普通用户执行,所以默认具有s权限:rooten # ll /usr/bin/passwd-rwsr-xr-x. 1 root root 30768 Feb 22 2012 /usr/bin/p

4、asswdrooten #SGID : 运行某程序时,相应进程的属组是程序文件自身的属主,而不是启动者。rooten # chmod g+s pjortrooten # chmod g-s pjort当我们有个目录,需要让一个组用户在这里随意编写各自创建的文件,给这个目录SGID 权限,用户所创建的文件属组会和目录一样:rooten # grep "it" /etc/grouprtkit:x:497:it:x:505:zhang2,dwzhang,zhang1 (it组有dwzhang和zhang1,zang2rooten #rooten tmp# chown -R :it

5、 pjort/rooten tmp# ll -d pjort/drwxr-xr-x. 2 root it 4096 Nov 20 10:01 pjort/ (文件属组为itrooten tmp#此时普通用户执行:dwzhangen pjort$ touch a.txttouch: cannot touch a.txt': Permission denied (没有权限dwzhangen pjort$在这时。如果我们给pjort文件属组w权限:rooten tmp# chmod g+w pjort/rooten tmp# ll -d pjort/drwxrwxr-x. 2 root it

6、 4096 Nov 20 10:01 pjort/ (组给个w权限rooten tmp#此时普通用户执行:dwzhangen $ cd /tmp/pjort/dwzhangen pjort$ touch dwzhangdwzhangen pjort$ lltotal 0-rw-rw-r-. 1 dwzhang dwzhang 0 Nov 20 10:08 dwzhang (此时可以有权限创建 dwzhangen pjort$但是在这里文件属性是自己,别人不能够编辑另一个人创建的文件: dwzhangen pjort$ lltotal 4-rw-rw-r-. 1 dwzhang dwzhang

7、0 Nov 20 10:08 dwzhangdrwxrwxr-x. 2 zhang1 zhang1 4096 Nov 20 10:14 erp-rw-rw-r-. 1 zhang1 zhang1 0 Nov 20 10:10 zhang1dwzhangen pjort$ echo "i am dwzhang" >> zhang1-bash: zhang1: Permission denied (没有权限dwzhangen pjort$在这时,可以给pjort这个目录特殊权限g:rooten tmp# chmod g+s pjort/rooten tmp# ll

8、-d pjort/drwxrwsr-x. 3 root it 4096 Nov 20 10:14 pjort/rooten tmp#在用普通用户试试:(在新建个文件测试dwzhangen pjort$ lltotal 0-rw-rw-r-. 1 dwzhang dwzhang 0 Nov 20 10:08 dwzhang-rw-rw-r-. 1 zhang1 it 0 Nov 20 10:17 erp (新建的文件属组会是it-rw-rw-r-. 1 zhang1 zhang1 0 Nov 20 10:10 zhang1dwzhangen pjort$ echo "i am dwzh

9、ang" >> erp(有了写权限 dwzhangen pjort$ cat erpi am dwzhangdwzhangen pjort$注意:此时用户会具有编辑,查看,删除权限。如果想这些用户不能够有删除权限就需要Sticky特殊权限了。Sticky :在一个公共目录,每个用户都可以创建文件,删除自己的文件,但是不能够删除别人的文件。rooten tmp# chmod o+t pjort/rooten tmp# chmod o-t pjort/接上面,自己可以删除自己的,不能删除别人的:rooten tmp# chmod o+t pjort/rooten tmp# ll -d pjort/drwxrwsr-t. 2 root it 4096 Nov 20 10:17 pjort/rooten tmp#普通用户执行:dwzhangen pjort$ rm erprm: cannot remove erp': Operation not