Linux-权限管理（二）

三、文件特殊权限SetUID、SetGID、Sticky BIT

  1、SetUID

      1)SetUID是什么

         SetUID的功能可以这样理解：

只有可以执行的二进制程序才能设定SUID权限命令执行者在执行该程序时获得该程序文件属主的身份（在执行程序的过程中灵魂附体问文件的属主）SetUID权限只在该程序执行过程中有效，也就是说身份改变只在程序执行的过程中有效

2）举例

[root@localhost ~]# ll /etc/passwd
-rw-r--r--. 1 root root 1423 5月  15 16:47 /etc/passwd
[root@localhost ~]# ll /etc/shadow
----------. 1 root root 940 5月  15 17:32 /etc/shadow
因为
[root@localhost ~]# ll /usr/bin/passwd
-rwsr-xr-x. 1 root root 25980 2月  22 2012 /usr/bin/passwd

     /usr/bin/passwd命令拥有特殊权限SetUID,也就是在属主的权限后，用户执行这个文件时将以文件所有者的身份执行。/usr/bin/passwd命令具有SetUID权限，所有者为root（Linux中的命令默认所有者都是root），也就是说当普通用户使用passwd更改自己的密码的时候那一瞬间灵魂附体了，实际上使用的是用passwd命令所有者root的身份在执行passwd命令，root当然可以将密码写入/etc/shadow文件（不要忘记root这个家伙是superman什么事都可以干），普通用户也可以修改/etc/shadow文件，命令执行完成后该身份也随之消失如果取消SetUID权限，则普通用户就不能修改自己的密码了

     3）、危险的SetUID        

[root@localhost~]# chmod u+s /usr/bin/vim
[root@localhost~]# ll /usr/bin/vim
-rwsr-xr-x. 1 root root 1847752 4月   5 2012 /usr/bin/vim

      4）、有几点建议：

          关键目录应严格控制写入权限。比如“/”、“/usr”等：

用户的密码设置要严格遵守密码三原则：

对系统中默认应该具有SetUID权限的文件作为一列表，定时检查有没有这个之外的文件被设置了SetUID权限。

      5）、检测SetUID的脚本

[root@localhost ~]# visuidcheck.sh
#!/bin/bash
find / -perm -4000 -o -perm -2000 >/tmp/set
#搜索系统中所有拥有SUID和SGID的文件，并保存到临时目录中。
for i in $(cat /tmp/set)           #做循环，每次循环取出临时文件中的文件名
do
        grep $i /root/set > /dev/null        #对比这个文件名是否在这个模版中
                 if ["$?"!="0" ]      #如果在不报错
                then
                 echo "$i is not inlistfile!">> /root/suid_log_$(date +%F)
                                          #如果文件名不再模版文件中，则报错。并把报错信息保存到日志中
        fi
 done
 rm -rf /tmp/set2、SetUID    #删除临时文件
[root@localhost~]# chmod 755 suidcheck.sh    #给脚本赋予权限
[root@localhost~]# ./suidcheck.sh    #执行检测脚本，只要不是脚本错误就不用管它
[root@localhost~]# cat suid_log_2015-05-16
/bin/vi is notin listfile!#报错了，vi不再模版文件中。代表vi被修改了SUID权限

      1）针对文件的作用

SGID即可以针对文件生效，也可以针对目录生效，这和SUID明显不同。如果针对文件，SGID的含义如下：

        只有可执行的二进制程序才能设置SGID权限

        命令执行者要对该程序拥有x（执行）权限

         命令执行在执行程序的时候，组身份升级为该程序文件的属组

SetGID权限同样只在该程序执行过程中有效，也就是说组身份该变只在程序执行过程中有效

[root@localhost~]# ll /var/lib/mlocate/mlocate.db
-rw-r-----. 1 root slocate 1531899 5月  15 17:17 /var/lib/mlocate/mlocate.db
上面可以发现属主权限是r、w，属组权限是r，但是其他人权限是0：
[root@localhost ~]# ll /usr/bin/locate
-rwx--s--x. 1 root slocate 35548 10月 10 2012/usr/bin/locate
当普通用户wulaoer执行locate命令时，会发生如下事情：
/usr/bin/locate是可执行二进制程序，可以赋予SGID
执行用户wulaoer对/usr/bin/locate命令拥有执行权限
执行/usr/bin/locate命令时，组身份会升级为slocate组，而slocate组对/var/lib/mlocate/mlocate.db
数据库拥有r权限，所以普通用户可以使用locate命令查询mlocate.db数据库

2）针对目录的作用

如果SGID针对目录设置，含义如下：

      普通用户必须对此目录拥有r和x权限，才能进入此目录

      普通用户在此目录中的有效组会变成此目录的属组’

      若普通用户对此目录拥有w权限时，新建是文件的默认属组是这个目录的属组

举例：

[root@localhost ~]# cd/tmp/
[root@localhost tmp]#mkdir dtest       #建立测试目录
[root@localhost tmp]#chmod g+s dtest       #给测试目录赋予SGID
[root@localhost tmp]# ll-d dtest
drwxr-sr-x. 2 root root4096 5月  16 01:30 dtest       #SGID已经生效
[root@localhost tmp]#chmod 777 dtest/     #给目录权限让普通用户可以写入
[root@localhost tmp]# su �Cwulaoer              #切换wulaoer用户登录
[wulaoer@localhost ~]$ cd/tmp/dtest/        #普通用户进入测试目录
[wulaoer@localhost dtest]$touch abc          #普通用户建立abc文件
[wulaoer@localhost dtest]$ll
总用量 0
-rw-rw-r--. 1 wulaoer root0 5月  16 01:32 abc
#abc文件的默认属组不再是wulaoer用户组，而变成了dtest组的属组root

     3）文件特殊权限之Sticky     BIT

 Sticky BIT粘着位，也简称为SBIT。SBIT目前针对目录有效，它的作用如下：

         粘着位目前只对目录有效

         普通用户对该目录拥有w和x权限，即普通用户可以在此目录有用写入权限

         如果没有粘着位，因为普通用户拥有w权限，所以可以删除此目录下所有的文件，包括其他用户建立的文件。一旦赋予了粘着位，除了root可以删除所有文件，普通用户就算拥有w权限，也只能删除自己建立的文件，但是不能删除其他用户建立的文件。

1、  设定文件特殊权限

特殊权限这样来表示：

    4代表SUID

    2代表SGID

    1代表SBIT

[root@localhost~]# chmod 4755 ss        #赋予SUID权限
[root@localhost~]# chmod 2755 ss        #赋予SGID权限
[root@localhost~]# mkdir dtest
[root@localhost~]# chmod 1755 dtest/#给目录赋予SBIT，SBIT只对目录有效

         四、文件系统属性chattr权限

                   1、命令格式

                           

[root@localhost ~]# chattr[+-=] [选项] 文件或目录名
选项：
    +：  增加权限
    -：  删除权限
    =：  等于某权限
    i:   如果对文件设置i属性，那么不允许对文件进行删除、改名，也不能添加和修改数据；如果对目录设置i属性，那么只允许修改目录下文件的数据，但不允许建立和删除文件
    a：  如果对文件设置a属性，那么只能在文件中增加数据，但是不能删除也不能修改数据；如果对目录设置a属性，那么只允许在目录中建立和修改文件，但是不允许删除
    e:   Linux中绝大多数的文件都默认拥有e属性。表示文件是使用ext文件系统进行存储，而且不能使用“chattr -e”命令取消e属性。

2、  查看文件系统属性lsattr

[root@localhost ~]# lsattr 选项     文件名
选项：
         -a      显示所有文件和目录
         -d      若目标是目录，仅列出目录本身的属性，而不是子文件的

       3、举例

 例1：

#给文件赋予i属性
[root@localhost~]# touch ftest               #建立测试文件
[root@localhost ~]# chattr +i ftest
[root@localhost ~]# rm -rf ftest
rm: 无法删除"ftest": 不允许的操作  #赋予权限后root也不能删除
[root@localhost ~]# echo 111 >> ftest
-bash: ftest: 权限不够                       #也不能修改文件的数据
 
#给目录赋予i属性
[root@localhost ~]# mkdir dtest              #建立测试目录
[root@localhost ~]# touch dtest/abc          #在建立一个测试文件
[root@localhost ~]# chattr +i dtest          #给目录赋予i属性
[root@localhost ~]# cd dtest
[root@localhost dtest]# touch bcd
touch: 无法创建"bcd": 权限不够               #dtest目录不能新建文件
 
[root@localhost dtest]# echo 11 >> abc
[root@localhost dtest]# cat abc
11
[root@localhost dtest]# rm -rf abc
rm: 无法删除"abc": 权限不够                   #不能删除

例2：

[root@localhost ~]# mkdir -p /back/log         #建立备份目录
[root@localhost ~]# chattr +a /back/log         #赋予a属性
[root@localhost ~]# cp /var/log/messages /back/log/
#可以复制文件和新建文件到指定目录
[root@localhost ~]# rm -rf /back/log/messages
rm: 无法删除"/back/log/messages": 不允许的操作#但是不允许删除