Chinaunix首页 | 论坛 | 博客
  • 博客访问: 245255
  • 博文数量: 21
  • 博客积分: 493
  • 博客等级: 下士
  • 技术积分: 308
  • 用 户 组: 普通用户
  • 注册时间: 2011-11-05 12:21
文章分类

全部博文(21)

文章存档

2013年(1)

2012年(20)

分类: LINUX

2012-10-28 16:04:08

先来看看两个文件
  1. [root@tom tmp]# ls -ld /tmp;ls -l /usr/bin/passwd
  2. drwxrwxrwt. 3 root root 4096 Oct 28 14:35 /tmp
  3. -rwsr-xr-x. 1 root root 25980 Feb 22 2012 /usr/bin/passwd

Set UID
当s出现在文件拥有者的x权限哈桑时,就被成位SetUID,简称SUID。

suid的限制与功能:
  • suid权限仅对二进制程序有效(binary program);
  • 执行者对于该程序需要具有x的可执行权限;
  • 本权限仅在执行该程序的过程中有效(run-time);
  • 执行者将具有该程序拥有者的权限。

   我们知道linux所有的账号密码都记录在/etc/shadow这个文件中,这个文件的权限为[----r-----. 1 root root]
意思是这个文件仅有root可以读且强制写入而已,那么普通用户tom改自己密码的时候又是怎么将自己的密码写入这个文件的呢?

这里就要说到一个命令:passwd(/usr/bin/passwd)

看看这个文件 

  1. [root@tom tmp]# ll /usr/bin/passwd
  2. -rwsr-xr-x. 1 root root 25980 Feb 22 2012 /usr/bin/passwd
   由上述功能说明,可以知道:
   tom 对于 /usr/bin/passwd这个程序来说具有x权限,表示tom能执行passwd,passwd的拥有者是root,tom执行passwd的过程中,会暂时获得root的权限,/etc/shadow就可以被tom所执行的passwd所更改。


Set GID
当s标志在文件拥有者的x位上是SUID,那么s在群组的x时则称为SetGID,SGID


  1. [root@tom tmp]# ls -l /usr/bin/locate
  2. -rwx--s--x 1 root slocate 31556 Aug 24 2010 /usr/bin/locate

与SUID不同的是,SGID可以针对文件或目录来设定,如果是对文件来说,SGID有如下功能:
  • SGID对二进制文件有用;
  • 程序执行者对该程序来说,具有x权限;
  • 执行者在执行的过程中将获得该程序群组的权限;

   与SUID非常类似,当我们用tom这个账号去执行locate时,tom会取得slocate群组的支持,因此就能使用这个命令了。

除了二进制文件外,SGID也能用在目录上,当一个目录设定了SGID只有,他将具有如下功能:
  • 用户若对此目录具有rx权限,该用户就能够进入此目录;
  • 用户在此目录下的有效群组将会变成该目录的群组;
  • 用途:若用户在此目录下具有w权限(可以新建文件),则使用者所建立的新文件的群组与此目录的群组相同。


Sticky Bit
SBIT只针对目录有效。他对目录的作用是:
当用户对此目录具有w,x权限,在该目录下建立文件或目录时,仅有自己与root才有权利删除该文件。
阅读(4984) | 评论(1) | 转发(1) |
给主人留下些什么吧!~~

alex1979632014-10-22 09:59:09

博主您好,
关于Set GID这个有点不太理解,
[root@tom tmp]# ls -l /usr/bin/locate
-rwx--s--x 1 root slocate 31556 Aug 24 2010 /usr/bin/locate

例子中locate对于所有人都有执行权限,为什么 tom这个账号去执行locate时,tom还需要取得slocate群组的支持 来执行命令呢