Linux操作系统安全配置 课件 02-003-SetGID特殊权限设置

单击此处编辑母版标题样式

SetGID特殊权限设置学习内容企业需求0102SGID特殊权限功能与设置03总结企业需求1学生用户stu1和stu2都属于stu项目组，在同一个目录/student下工作，该目录只能够给stu项目组使用。项目组所有成员可以对/student目录中的文件进行读写操作。企业需求1需求分析：可以通过重新设定目录的SGID权限来实现。实现命令为chmod。

SGID特殊权限功能与设置21.SGID介绍当s标志在文件拥有者的x位置时为SUID，那s在群组的x时则称为SGID。与SUID不同的是，SGID可以针对文件或目录来配置。如果是对文件来说，SGID有如下的功能：SGID对二进制程序文件有用；程序运行者对于该程序来说，需具备x的权限；运行者在运行的过程中将会获得该程序群组的支持。

SGID特殊权限功能与设置21.SGID介绍对目录来说，SGID有如下的功能：使用者若对于此目录具有r与x的权限时，该使用者能够进入此目录；使用者在此目录下的有效群组(effectivegroup)将会变成该目录的群组；

SGID特殊权限功能与设置22.对文件设置SGID特殊权限方法一：[user1@server~]$chmodg+sfile1方法二：[user1@server~]$chmod2755file1说明：2755：2代表setgid，755是file1文件的原权限

SGID特殊权限功能与设置23.SGID设置结果原权限：[user1@server~]$llfile1-rwxrwxr--.1user1user10Oct805:54file1设置后权限：[user1@server~]$llfile1-rwxrwsr--.1user1user10Oct805:54file1注意：如果出现的是S，这是因为没有x权限，只能先给赋x的权限，然后再给s权限。SGID对文件和对目录的设置命令是相同的。

SGID特殊权限功能与设置2例：普通用户使用locate命令查看locate命令执行文件的权限[user1@server~]$ll/usr/bin/locate-rwx--s--x.1rootslocate40512Nov52018/usr/bin/locate可以看出普通用户只有x权限，没有rw权限。所以理论上普通用户是无法执行locate命令的。不过因为locate命令有SGID权限，所以运行locate命令时，会被临时赋予locate执行文件(/usr/bin/locate)用户组权限，相当于user1这个用户被临时加入了用户组slocate。

SGID特殊权限功能与设置24.对目录设置SGID权限方法一：[root@server~]#chmodg+s/student方法二：[root@server~]#chmod2770/student说明：2770：2代表setgid，770是student目录的原权限

SGID特殊权限功能与设置25.SGID设置结果原权限：[root@server~]#ll/|grepstudentdrwxrwx---.2rootstu0Oct805:54file2设置后权限：[root@server~]#ll/|grepstudentdrwxrws---.2rootstu0Oct805:54file2注意：具有SGID特殊权限后，在目录/student下的文件或目