Linux的3种特殊权限场景实战:SUID、SGID、SBIT

3种特殊权限

在Linux系统中,有3种特殊权限,它们分别是Setuid(SUID)、Setgid(SGID) 和 Sticky Bit。

  1. Setuid权限:通过Setuid权限,普通用户可以在执行某些特定程序时,拥有与程序所有者相同的权限。也就是说,该程序在执行时,会自动获取其所有者的权限,而不是执行者的权限。这通常用于一些需要root权限才能执行的程序。
  2. Setgid权限:通过Setgid权限,执行者可以在执行某个程序时,获得该程序所属组的权限,而不是执行者所在的组的权限。通常,Setgid权限用于一些需要共享访问权限的目录,比如一个共享的工作目录。
  3. Sticky Bit权限:Sticky Bit权限通常用于某些共享的目录,它可以防止普通用户删除其他用户创建的文件。也就是说,一旦一个目录被设置了Sticky Bit权限,只有该目录的所有者和root用户才能删除该目录中的文件。这样可以避免其他用户意外删除其他用户创建的文件,保证了文件的安全性和完整性。

场景实战

  1. 假设有这样一个二进制程序/usr/bin/passctl,这个程序只能被root用户执行,而我们希望普通用户也能执行该程序,但是又不想将该程序赋予root用户以外的用户特权。这时,我们可以使用Setuid权限来实现该目的。
# 将该程序的所有者设置为root用户,并将该程序的权限设置为可执行,但不允许其他用户执行该程序
chown root /usr/bin/passctl
chmod 700 /usr/bin/passctl

# 设置Setuid权限,以便普通用户执行该程序时可以获得与root用户相同的权限
chmod u+s /usr/bin/passctl

这时候,该程序将以root用户的身份运行,并获得与root用户相同的权限了。比如有一个普通用户tantianran,那么该用户就可以像下面这样运行该程序啦!

/usr/bin/passctl
注意,在实际工作中设置Setuid权限时,需要确保所设置的程序是安全的,避免潜安全风险。
  1. 假设有一个团队正在开发一个 Web 应用程序,并且他们都是在同一个 Linux 服务器上工作。为了便于团队成员之间共享文件和目录,创建了一个名为 "webapp" 的共享目录。此外,还希望确保任何新文件或目录在创建时都具有与父目录相同的权限。为了实现这个场景,可以使用 Setgid 权限来配置 "webapp" 目录。
# 创建演示的目录和用户、组
[root@workhost ~]# mkdir -p /data/tmpdir/webapp
[root@workhost ~]# chmod 775 /data/tmpdir/webapp/
[root@workhost ~]# groupadd webappgroup
[root@workhost ~]# useradd webappdev

# 将 "webapp" 目录的所有者设置为 Web 应用程序的主要开发者,并将其所属组设置为 "webappgroup"。
[root@workhost ~]# chown webappdev:webappgroup /data/tmpdir/webapp

# 设置 "webapp" 目录的 Setgid 权限,这将导致任何新创建的文件或目录都将继承 "webapp" 目录的组权限。
[root@workhost ~]# chmod g+s /data/tmpdir/webapp

# 查看
[root@workhost ~]# ls -ld /data/tmpdir/webapp/
drwxrwsr-x 2 webappdev webappgroup 21 Apr 10 20:58 /data/tmpdir/webapp/
[root@workhost ~]# 

如果权限中有小写字母s,则表示 Setgid 权限已经被设置

现在,团队成员可以在 "webapp" 目录中创建新文件和目录,并确保这些文件和目录都具有与 "webapp" 目录相同的组权限。例如,如果开发者tantianran在 "webapp" 目录中创建了一个名为 "main.go" 的文件。

[root@workhost ~]# usermod -g webappgroup tantianran
[root@workhost ~]# id tantianran
uid=1000(tantianran) gid=1001(webappgroup) groups=1001(webappgroup),1000(tantianran)
[root@workhost ~]# 
[root@workhost ~]# su - tantianran
Last login: Mon Apr 10 20:55:24 CST 2023 on pts/0
[tantianran@workhost ~]$ cd /data/tmpdir/webapp/
[tantianran@workhost webapp]$ touch main.go

# 该文件的权限将如下所示:
[tantianran@workhost webapp]$ ls -l
total 0
-rw-r--r-- 1 tantianran webappgroup 0 Apr 10 20:58 main.go
[tantianran@workhost webapp]$ 

注意到该文件的所属组为 "webappgroup",这是因为 "webapp" 目录设置了 Setgid 权限,导致该文件继承了组权限。此外,团队内其他成员也可以访问该文件,因为 "webapp" 目录的组权限允许组中的任何成员访问它。

  1. 假设我们有一个名为“shared_directory”的公共目录,用于存放团队成员之间共享的文件。我们希望所有团队成员都可以向该目录上传文件,但只有文件所有者和超级用户才能删除文件。
# 创建一个共享目录“shared_directory”
[root@workhost ~]# mkdir /data/tmpdir/shared_directory

# 设置Sticky Bit权限
[root@workhost ~]# chmod +t /data/tmpdir/shared_directory
[root@workhost ~]# ls -ld /data/tmpdir/shared_directory/
drwxr-xr-t 2 root root 6 Apr 10 21:09 /data/tmpdir/shared_directory/
[root@workhost ~]# 

# 创建两个测试用户账号“user1”和“user2”,并将它们添加到同一用户组
[root@workhost ~]# useradd user1
[root@workhost ~]# useradd user2
[root@workhost ~]# groupadd shared_group
[root@workhost ~]# usermod -aG shared_group user1
[root@workhost ~]# usermod -aG shared_group user2
[root@workhost ~]# 

# 将共享目录“shared_directory”的所有权更改为“root”用户和“shared_group”用户组
[root@workhost ~]# chown root:shared_group /data/tmpdir/shared_directory/

# 将目录权限更改为“rwxrwxrwt”,这将允许所有团队成员上传文件到目录中,但只有文件所有者和超级用户可以删除文件:
[root@workhost ~]# chmod 1777 /data/tmpdir/shared_directory/
[root@workhost ~]# ls -ld /data/tmpdir/shared_directory/
drwxrwxrwt 2 root shared_group 6 Apr 10 21:17 /data/tmpdir/shared_directory/
[root@workhost ~]# 

# 测试
[root@workhost shared_directory]# sudo -u user2 touch test.go
[root@workhost shared_directory]# ls -l
total 0
-rw-r--r-- 1 user2 user2 0 Apr 10 21:21 test.go
[root@workhost shared_directory]# sudo -u user1 rm -f test.go 
rm: cannot remove ‘test.go’: Operation not permitted # 会收到一个错误消息,提示没有权限删除该文件:
[root@workhost shared_directory]# touch main.go
[root@workhost shared_directory]# sudo -u user1 rm -f main.go 
rm: cannot remove ‘main.go’: Operation not permitted
[root@workhost shared_directory]# sudo -u user1 touch conf.json
[root@workhost shared_directory]# sudo -u user2 rm -f conf.json 
rm: cannot remove ‘conf.json’: Operation not permitted
[root@workhost shared_directory]# 

这个场景实战演示了如何使用Sticky Bit权限来控制公共目录的删除操作,以确保只有目录所有者和超级用户可以删除其他用户的文件。

最后的总结

  • SUID权限(Set User ID on execution):当一个可执行文件被设置了SUID权限时,当任何用户执行该文件时,该文件将以文件所有者的权限来运行,而不是执行者的权限。SUID权限通常用于那些需要执行特定操作,而这些操作只能由具有特定权限的用户或组来执行的程序,例如passwd命令。这可以帮助管理员在系统中实现更严格的访问控制。
  • SGID权限(Set Group ID on execution):当一个可执行文件被设置了SGID权限时,当任何用户执行该文件时,该文件将以文件所属组的权限来运行,而不是执行者的权限。与SUID权限类似,SGID权限通常用于那些需要特定组的权限才能运行的程序。例如,在一个共享文件夹中,如果一个目录设置了SGID权限,则新创建的文件将继承目录的组权限,而不是创建者的组权限,这可以确保在组共享文件夹中的文件访问控制。
  • sticky bit权限:当一个目录被设置了sticky bit权限时,只有目录的所有者、root用户和文件的所有者才能删除目录中的文件。这种权限通常被用于公共目录,以防止其他用户意外删除或修改其他人上传的文件。当一个用户上传一个文件到该目录时,他或她只能修改或删除自己上传的文件,而不能修改或删除其他人的文件。
总而言之,言而总之,这些特殊权限可以帮助管理员更好地控制对文件和目录的访问,并确保系统的安全性和稳定性。

本文转载于WX公众号:不背锅运维(喜欢的盆友关注我们):https://mp.weixin.qq.com/s/zSWP-fr238SqmS-mkEQzFA

你可能感兴趣的:(linux)