Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1408927
  • 博文数量: 247
  • 博客积分: 10147
  • 博客等级: 上将
  • 技术积分: 2776
  • 用 户 组: 普通用户
  • 注册时间: 2008-01-24 15:18
文章分类

全部博文(247)

文章存档

2013年(11)

2012年(3)

2011年(20)

2010年(35)

2009年(91)

2008年(87)

我的朋友

分类: LINUX

2008-06-05 10:07:22

SetUID与SetGID应用
2008年04月23日 星期三 16:53
一些有经验的Linux人员我相信都知道Linux权限中有一些不为人知的权限.了解了这些权限对以后更好管理服务器安全有很大的管理,下面我们就来谈谈.
相对于Windows系统的安全权限设置来说Linux安全权限设置相对来麻烦些..起码没有Win人性化..但也这无非这个RWX这三个权限的互相搭配和使用,我相信大家都知道的..好,不知大家是否留意看/bin/su,/usr/sbin/passwd等等这个目录以及文件的属性.
如: /etc/passwd -rw-r--r-- 1 root root
      /etc/shadow -r-------- 1 root root
     按照上面的二种权限来看的话,/etc/passwd只有root才有写入的权限..那为什么,我su - skycn时,用passwd修改skycn密码没有任何问题呢?再来看看/etc/shadow的权限,默认应该是只有root才能读,其它用户应该是连写的权限都没有...那修改密码的奥秘又在那里呢?接下来出场的就是今天的主角SetUID,SetGID.
   先来看看这个权限/bin/su -rws-r-xr-x 1 root root
                        /usr/bin/passwd -r-s--x--x 1 root root
   注意看到没有那个s权限是什么呢?s就是SetUID的标识,有了这个标识当用户执行此命令时,将拥有此命令相当于root的权限操作,这就是为什么当普通用户使用/etc/passwd修改密码可能正常修改的原因了.SetUID只会出现了Binary file中,目录中存在将没有意思...还有一点就是当其它用户使用带用Setuid标识的命令时,自己对此命令也必需有X(执行)的权限,否则一切都免谈..这点应该不难理解的..^_^
    SetGID如果标识在文件中的话,那么执行用户将会拥有此命令所属组的权限..
    SetGID如果标识在目录中,那么执行者将在此目录下建立的目录以及文件所属将会是目录的所属组.

规范的说
setuid: 设置使文件在执行阶段具有文件所有者的权限. 典型的文件是 /usr/bin/passwd. 如果一般用户执行该文件, 则在执行过程中, 该文件可以获得root权限, 从而可以更改用户的密码.

setgid: 该权限只对目录有效. 目录被设置该位后, 任何用户在此目录下创建的文件都具有和该目录所属的组相同的组.

sticky bit: 该位可以理解为防删除位. 一个文件是否可以被某用户删除, 主要取决于该文件所属的组是否对该用户具有写权限. 如果没有写权限, 则这个目录下的所有文件都不能被删除, 同时也不能添加新的文件. 如果希望用户能够添加文件但同时不能删除文件, 则可以对文件使用sticky bit位. 设置该位后, 就算用户对目录具有写权限, 也不能删除该文件.

下面说一下如何操作这些标志:

操作这些标志与操作文件权限的命令是一样的, 都是 chmod. 有两种方法来操作,

1) chmod u+s temp -- 为temp文件加上setuid标志. (setuid 只对文件有效)

chmod g+s tempdir -- 为tempdir目录加上setgid标志 (setgid 只对目录有效)

chmod o+t temp -- 为temp文件加上sticky标志 (sticky只对文件有效)
*************************
实际运行时,可能会遇到环境变量的问题
阅读(3208) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~