Linux 系统文件除了9位基本权限,还有额外3位特殊权限,分别是SUID(setuid),SGID(setgid),SBIT(sticky bit)
一、Linux 系统文件3位特殊权限位说明
标注:这3位特殊权限不建议使用(除系统默认的特殊权限可以使用以外),除非有特殊需求
SUID
标注:见下面范例1
1、SUID是对二进制命令或二进制程序有效,对目录无效
2、普通用户具有该文件其它用户x执行权限并分配了s权限将具有文件所有者的权限
3、用户属主对应的前三位权限的x位上如果有s就表示suid权限,当x位上没有小写x执行权限时候,suid的权限显示就是大S
4、suid权限仅在程序命令执行过程中有效
5、suid功能是一把双刃剑,是一个比较危险的功能,对系统安全有一定威胁系统,suid的无用的功能取消suid权限(安全优化)
SGID
标注:见下面范例2
1、SGID和SUID不同之处在于,SGID可以用于目录
2、SGID的权限s是出现在文件用户组的x权限位上
SGID针对文件
1、sgid仅对二进制命令程序有效
2、普通用户具有该文件其它用户x执行权限并分配了s权限将具有文件所属用户组的权限
3、执行命令任意用户可以获取该命令程序执行期间所属用户组的权限
SGID针对目录
1、linux 默认情况所有用户创建文件,默认用户和组都是自身
2、sgid可以让用户再此目录下创建的文件和目录,具有和此目录相同的用户组设置
sgid位主要用在目录中,当为某个目录设置sgid位以后,在改目录中
新创建的文件具有改目录的所属组权限,而不是创建改文件的用户的默认
所有者,这样,使得在多个用户之间共享一个目录中的文件变得简单
SBIT (粘滞位)
标注:见下面范例3
1、SBIT与SUID,SGID不同的是,SBIT只能用于目录
2、普通用户在该目录下,仅目录属主与root才有权力删除\移动\重命名目录
3、如果目录权限是777并添加粘滞位t,普通用户可以在此目录下创建文件和目录
二、特殊权限位设置方法
范例1:SUID设置方法
[root@oldboy ~]# mkdir /oldboy
[root@oldboy ~]# touch /oldboy/test.sh
[root@oldboy ~]# ls -ld /oldboy/
drwxr-xr-x 2 rootroot 4096 Dec 5 19:16 /oldboy/
[root@oldboy ~]# ls -l /oldboy/test.sh
-rw-r--r-- 1 rootroot 0 Dec 5 19:16 /oldboy/test.sh
[root@oldboy ~]# which rm
alias rm='rm -i'
/bin/rm
[root@oldboy ~]# ls -l /bin/rm
-rwxr-xr-x. 1 root root57440 Oct 15 2014 /bin/rm
[root@oldboy ~]# su - oldboy
[oldboy@oldboy ~]$ rm /oldboy/test.sh
rm: removewrite-protected regular empty file `/oldboy/test.sh'? y
rm: cannot remove`/oldboy/test.sh': Permission denied
[oldboy@oldboy ~]$ su - root
Password:
[root@oldboy ~]# ls -l /bin/rm
-rwxr-xr-x. 1 rootroot 57440 Oct 15 2014 /bin/rm
[root@oldboy ~]# chmod u+s /bin/rm ##等同命令chmod 4755 /bin/rm,取消suid命令chmod u-s /bin/rm或chmod 0755 /bin/rm
[root@oldboy ~]# ls -l /bin/rm
-rwsr-xr-x. 1 rootroot 57440 Oct 15 2014 /bin/rm
[root@oldboy ~]# su - oldboy
[oldboy@oldboy ~]$ rm /oldboy/test.sh
[oldboy@oldboy ~]$ ls -l /oldboy/
total 0
范例2:GUID设置方法
[root@oldboy ~]#mkdir /oldboy
[root@oldboy ~]# ls -ld /oldboy/
drwxr-xr-x 2 rootroot 4096 Dec 5 19:28 /oldboy/
[root@oldboy ~]# chown oldboy.incahome /oldboy/
[root@oldboy ~]# ls -ld /oldboy/
drwxr-xr-x 2 oldboyincahome 4096 Dec 5 19:28 /oldboy/
[root@oldboy ~]# touch /oldboy/test.sh
[root@oldboy ~]# ls -l /oldboy/test.sh
[root@oldboy ~]# ls -l /oldboy/
total 0
-rw-r--r-- 1 rootroot 0 Dec 5 19:29 test.sh
[root@oldboy ~]# chmod g+s /oldboy/ ##等同命令chmod 2755 /bin/rm,取消guid命令chmod g-s /bin/rm或chmod 0755 /bin/rm
[root@oldboy ~]# touch /oldboy/file.txt
[root@oldboy ~]# ls -l /oldboy/
total 0
-rw-r--r-- 1 rootincahome 0 Dec 5 19:29 file.txt
-rw-r--r-- 1 rootroot 0 Dec 5 19:29 test.sh
范例3:SBIT设置方法
[root@oldboy ~]# mkdir /oldboy
[root@oldboy ~]# touch /oldboy/test.sh
[root@oldboy ~]# mkdir /oldboy/share
[root@oldboy ~]# chmod 777 /oldboy/
[root@oldboy ~]# chmod 777 /oldboy/share/
[root@oldboy ~]# chmod 777 /oldboy/test.sh
[root@oldboy ~]# ls -ld /oldboy/
drwxrwxrwx 2 rootroot 4096 Dec 6 10:23 /oldboy/
[root@oldboy ~]# ls -l /oldboy/
total 4
drwxrwxrwx 2 rootroot 4096 Dec 6 10:24 share
-rwxrwxrwx 1 rootroot 0 Dec 6 10:23 test.sh
[root@oldboy ~]# chmod 1777 /oldboy/ ##等同命令chmod o+s /oldboy
[root@oldboy ~]# ls -ld /oldboy/
drwxrwxrwt 3 rootroot 4096 Dec 6 10:24 /oldboy/
[root@oldboy ~]# su - oldboy
[oldboy@oldboy ~]$ rm /oldboy/test.sh
rm: cannot remove`/oldboy/test.sh': Operation not permitted
[oldboy@oldboy ~]$ rm -rf /oldboy/share/
rm: cannot remove`/oldboy/share': Operation not permitted
[oldboy@oldboy ~]$ mv /oldboy/test.sh /tmp/
mv: try to overwrite`/tmp/test.sh', overriding mode 0755 (rwxr-xr-x)? y
mv: cannot move`/oldboy/test.sh' to `/tmp/test.sh': Operation not permitted
[oldboy@oldboy ~]$ mv /oldboy/test.sh /oldboy/file.sh
mv: cannot move`/oldboy/test.sh' to `/oldboy/file.sh': Operation not permitted
[oldboy@oldboy ~]$ cp /oldboy/test.sh /tmp/
cp: cannot createregular file `/tmp/test.sh': Permission denied
[oldboy@oldboy ~]$ touch /oldboy/file.txt
[oldboy@oldboy ~]$ mkdir /oldboy/user
[oldboy@oldboy ~]$ ls -l /oldboy/
total 8
-rw-r--r-- 1 oldboyroot 0 Dec 6 10:30 file.txt
drwxrwxrwx 2root root 4096 Dec 6 10:28 share
-rwxrwxrwx 1root root 0 Dec 6 10:28 test.sh
drwxr-xr-x 2 oldboyroot 4096 Dec 6 10:31 user
[oldboy@oldboy ~]$ su - root
Password:
[root@oldboy ~]# rm -rf /oldboy/test.sh
[root@oldboy ~]# rm -rf /oldboy/share/
三、chattr改变文件属性(特殊功能)
范例1:
1、针对oldboy目录添加i权限
[root@oldboy ~]# mkdir /oldboy
[root@oldboy ~]# chmod 777 /oldboy/
[root@oldboy ~]# touch /oldboy/test.sh
[root@oldboy ~]# touch /oldboy/file.txt
[root@oldboy ~]# chmod 777 /oldboy/*
oot@oldboy ~]# ls -l /oldboy/
total 0
-rwxrwxrwx 1 rootroot 0 Dec 6 11:21 file.txt
-rwxrwxrwx 1 rootroot 0 Dec 6 11:21 test.sh
[root@oldboy ~]# chattr +i /oldboy/
[root@oldboy ~]# ls -ld /oldboy/
drwxrwxrwx 2 rootroot 4096 Dec 6 11:21 /oldboy/
[root@oldboy ~]# lsattr -d /oldboy/
----i--------e-/oldboy/
[root@oldboy ~]# lsattr /oldboy/
-------------e-/oldboy/file.txt
-------------e-/oldboy/test.sh
[root@oldboy ~]# rm -rf /oldboy/
rm: cannot remove`/oldboy/file.txt': Permission denied
rm: cannot remove`/oldboy/test.sh': Permission denied
[root@oldboy ~]# mv /oldboy/* /tmp/
mv: cannot move`/oldboy/file.txt' to `/tmp/file.txt': Permission denied
mv: overwrite`/tmp/test.sh'? y
mv: cannot move`/oldboy/test.sh' to `/tmp/test.sh': Permission denied
[root@oldboy ~]# mv /oldboy/test.sh /oldboy/test.sh.bak
mv: cannot move `/oldboy/test.sh'to `/oldboy/test.sh.bak': Permission denied
[root@oldboy ~]# echo "test" >/oldboy/test.sh ##这个文件内容不属于/oldboy/ block范围内
[root@oldboy ~]# cat /oldboy/test.sh
test
[root@oldboy ~]# lsattr -d /oldboy/
----i--------e-/oldboy/
[root@oldboy ~]# chattr -i /oldboy/
[root@oldboy ~]# lsattr -d /oldboy/
-------------e-/oldboy/
2、针对test.sh文件添加i权限
[root@oldboy ~]# touch test.sh
[root@oldboy ~]# chmod 777 test.sh
[root@oldboy ~]# ls -l test.sh
-rwxrwxrwx 1 rootroot 30 Dec 1 09:14 test.sh
[root@oldboy ~]# chattr +i test.sh
[root@oldboy ~]# lsattr test.sh
----i--------e-test.sh
[root@oldboy ~]# rm -rf test.sh
rm: cannot remove`test.sh': Operation not permitted
[root@oldboy ~]# mv test.sh /tmp/
mv: overwrite`/tmp/test.sh'? y
mv: cannot move`test.sh' to `/tmp/test.sh': Operation not permitted
[root@oldboy ~]# echo "abc" > test.sh
-bash: test.sh:Permission denied
[root@oldboy ~]# echo "abc" >> test.sh
-bash: test.sh:Permission denied
范例2:
[root@oldboy ~]# touch test.sh
[root@oldboy ~]# lsattr test.sh
-------------e-test.sh
[root@oldboy ~]# chattr +a test.sh
[root@oldboy ~]# lsattr test.sh
-----a-------e-test.sh
[root@oldboy ~]# rm -rf test.sh
rm: cannot remove`test.sh': Operation not permitted
[root@oldboy ~]# > test.sh
-bash: test.sh:Operation not permitted
[root@oldboy ~]# echo 123 >> test.sh
[root@oldboy ~]# cat test.sh
123