文件特殊权限与umask
一、文件特殊权限位:
1.如果一个文件被设置了SUID或SGID位,会分别表现在所有者或同组用户的权限的可执行位上。例如:
1、-rwsr-xr-x 表示SUID和所有者权限中可执行位都被设置
2、-rwSr--r-- 表示SUID被设置,但所有者权限中可执行位没有被设置
3、-rwxr-sr-x 表示SGID和同组用户权限中可执行位被设置
4、-rw-r-Sr-- 表示SGID被设置,但同组用户权限中可执行位没有被设置
2.stick bit (粘贴位):
含义:目录的t属性使得该目录的所有者及root才能删除该目录,在此目录中的文件,只有文件的拥有者和root才能对其进行修改和删除
用途:一般是把一个文件夹的的权限都打开,然后来共享文件,比如/tmp目录
drwxrwxrwt 4 root root 659914752 Nov 8 10:47 /tmp
3.在UNIX的实现中,文件权限用12个二进制位表示,该位置上的值是:
11 10 9 8 7 6 5 4 3 2 1 0
S G T r w x r w x r w x
二、SUID和SGID的详细解析
(由于SUID和SGID是在执行程序(程序的可执行位被设置)时起作用,而可执行位只对普通文件和目录文件有意义,所以设置其他种类文件的SUID和SGID位是没有多大意义的。)
普通文件的SUID和SGID的作用
(1)用实例说话:
如果普通文件myfile是属于foo用户的,是可执行的,现在没设SUID位,【ls -l】命令显示如下:
-rwxr-xr-x 1 foo staff 7734 Apr 05 17:07 myfile
问:任何用户都可以执行这个myfile程序,那么UNIX的内核是根据什么来确定一个进程对资源的访问权限的呢?
答:是根据这个进程的运行用户的ID和有效ID,用户可以用id命令来查到自己的或其他用户的user id和group id;还有两个称之为effective 的id,就是有效id;
上面提到的四个id表示为uid、gid、euid、egid,内核主要是根据euid和egid来确定进程对资源的访问权限;
一个进程如果没有SUID或SGID位,则euid=uid egid=gid,分别是运行这个程序的用户的uid和gid。例如kevin用户的uid和gid分别为204和202,foo用户的uid和gid为200,201,kevin运行myfile程序形成的进程的euid=uid=204egid=gid=202,内核根据这些值来判断进程对资源访问的限制,其实就是kevin用户对资源访问的权限,和foo没关系;
如果一个程序设置了SUID,则euid和egid变成被运行的程序的所有者的uid和gid,例如kevin用户运行myfile,euid=200,egid=201,uid=204,gid=202,则这个进程具有它的属主foo的资源访问权限。
SUID的作用就是这样:让本来没有相应权限的用户运行这个程序时,可以访问他没有权限访问的资源,passwd就是一个很鲜明的例子。
SUID的优先级比SGID高,当一个可执行程序设置了SUID,则SGID会自动变成相应的egid。
(2)下面再讨论一个例子:
UNIX系统有一个/dev/kmem的设备文件,是一个字符设备文件,里面存储了核心程序要访问的数据,包括用户的口令。所以这个文件不能给一般的用户读写,权限设为:cr--r----- 1 root system 2, 1 May 25 1998 kmem
但ps等程序要读这个文件,而ps的权限设置如下:
-r-xr-sr-x 1 bin system 59346 Apr 05 1998 ps
这是一个设置了SGID的程序,而ps的用户是bin,不是root,所以不能设置SUID来访问kmem,但请注意,bin和root都属于system组,而且ps设置了SGID,一般用户执行ps,就会获得system组用户的权限,而文件kmem的同组用户的权限是可读,所以一般用户执行ps就没问题了。但有些人说,为什么不把ps程序设置为root用户的程序,然后设置SUID位,不也行吗?这的确可以解决问题,但实际中为什么不这样做呢?因为SGID的风险比SUID小得多,所以出于系统安全的考虑,应该尽量用SGID代替SUID的程序,如果可能的话。下面来说明一下SGID对目录的影响。SUID对目录没有影响。如果一个目录设置了SGID位,那么如果任何一个用户对这个目录有写权限的话,他在这个目录所建立的文件的组都会自动转为这个目录的属主所在的组,而文件所有者不变,还是属于建立这个文件的用户。
(查找系统上所有的设置了suid的文件:find / -perm -04000 -type f -ls)
四、umask解析
【一般来说,umask命令是在/etc/profile文件中设置的,每个用户在登录时都会引用这个文件;
如果希望改变所有用户的umask,可以在该文件中加入相应的条目;
如果希望永久性地设置某个用户的umask值,那么就把它放在该用户$HOME目录下的. profile或. bashprofile文件中。】
1.命令结构形式:
umask nnn
(对于文件来说,nnn的范围为000-666,对于目录来说,nnn的范围为000-777)
2.计算方式:
创建文件时的默认权限是:666-umask
创建目录是的默认权限是:777-umask
(系统默认是不给文件执行权限的,就算通过umask修改计算的创建文件时有执行权限,系统也会自动把权限加1)