1.访问用户和权限
2.suid和sgid
3.sticky bit(t 或 T ,多被称作”粘着位”或”防删除位”)
访问用户和权限
文件和目录的访问权限对如下3 类用户进行了分别定义:
文件拥有者(u)
文件拥有者所在用户组中的其它成员(g)
所有其它用户(o)
每个文件均拥有下列三种权限:
read (r): 查看文件内容
write (w): 修改文件
execute (x): 如同命令一样执行文件
每个目录均拥有下列三种权限:
read (r): 列出目录内容
write (w): 在目录中增删文件
execute (x): 访问目录中的文件
需要指出的是,对目录的 execute 权限,不仅意味着允许查看目录下文件名,还允许查看文件的其它信息如文件大小、修改时间。
ls 可用来显示目录和文件的这些信息。使用 ls 的-l 选项,就会按如下顺序显示下列信息:
文件类型(第 1 个字符)
-: 普通文件
d: 目录
l: 符号链接
c: 字符型设备节点
b: 块设备节点
p: 命名管道
s: 套接字
文件访问权限(接下来的 9 个字符,每 3 个一组分别表示 user、group 和 other的访问权限)。
文件的硬链接数
文件拥有者 user 的用户名
文件所属工作组 group 的用户组名
文件的字符数大小 (单位为bytes)
文件的时间和日期 (mtime)
文件的名称
在Linux/Unix中的权限除了execute (x)这种基本的可执行权限以外,还有另外三种特殊的可执行权限,分别是set user ID (s 或 S 代替 user’s x),set group ID (s 或 S 代替 group’s x)和sticky bit (t 或 T 代替 other’s x),现在我们来分别说明。
suid和sgid
一、execute (x)
众所周知,execute是最基本的可执行权限,对于普通文件比较容易理解,就是文件本身具有可以被执行的权限,如一些二进制文件(例如,bin和sbin目录下的文件)、脚本文件(shell脚本)等等。重点我们注意一下目录的可执行权限,目录无所谓执行不执行,目录只能否被开启(也称作“遍历”或“搜索”)。
简单说明一下,如果某用户对于父目录有开启的权限,那么该用户可能有机会对它的子目录或文件进行读取。否则即使该用户有其子目录或文件的读取权限也不能正常访问子目录或文件。
二、set user ID(s 或 S,多被称作SUID)
和基本的可执行权限的“可执行”意义相一致,当一个程序一旦设置了该权限位以后,运行该程序的进程将拥有该程序所有者同样的权限,比如你的某个程序是由root(当然也可以其它用户)所有,又设置了SetUid位,那即便是一个普通用户运行这个程序,该程序一样具备了root用户才能访问的资源。
这里我们可以用一个大家熟知的例子来说明一下,大家知道普通用户都有通过passwd命令修改自己密码的权限,而所有修改命令的操作结果的配置文件都存储在/etc/passwd和/etc/shadow下。我们检查一下,这两个文件的权限位不难发现,这两个文件只能由root权限存取。那为什么普通用户也能通过passwd修改配置文件呢?我们简单看一下面的命令的执行结果也许会对你有所启发:
[seo@localhost ~]$ which passwd
/usr/bin/passwd
[seo@localhost ~]$ ls -l /etc/passwd /etc/shadow
-rw-r–r– 1 root root 1758 02-24 23:11 /etc/passwd
-r——– 1 root root 1173 02-24 23:15 /etc/shadow
[seo@localhost ~]$ ls -l /usr/bin/passwd
-rwsr-xr-x 1 root root 22960 2006-07-17 /usr/bin/passwd
[seo@localhost ~]$
设置SUID位命令为:chmod 4755 [你的程序] or chmod u+s
set group ID(s 或 S ,多被称作SGID)
和SUID相似,使得使用者在执行该文件时,都绑定了文件所有组的权限。仔细看了SUID解释的朋友可能想到,通过chmod命令手动设置UID不是可以提升普通用户的权限吗?的确是这要,但我们要明确一点,在Linux/Unix下没有绝对“善良”的工具和“作恶”的工具,工具只是Tools,要看是谁在使用它。当初设计特殊权限位的目的为了绑定某个特殊用户及其组的特殊权限,是为了更好地安全管理。我们会在下一段落中有详细范例。
这里需要指出的是,set group ID很少被单独设置,单独为目录设置SGID位是有意义的。而是和多和SUID一起设置。同时设置SUID和SGID命令为:chmod 6755 [你的程序]
其实在UNIX的实现中,文件权限用12个二进制位表示,如果该位置上的值是1,表示有相应的权限: 11 10 9 8 7 6 5 4 3 2 1 0 S G T r w x r w x r w x 第11位为SUID位,第10位为SGID位,第9位为sticky位,第8-0位对应于上面三组rwx位。 11 10 9 8 7 6 5 4 3 2 1 0 上面的-rwsr-xr-x的值为: 1 0 0 1 1 1 1 0 1 1 0 1 -rw-r-Sr–的值为: 0 1 0 1 1 0 1 0 0 1 0 0
给文件加SUID和SGID的命令如下: chmod u+s filename 设置SUID位; chmod u-s filename 去掉SUID设置; chmod g+s filename 设置SGID位; chmod g-s filename 去掉SGID设置;另外一种方法是chmod命令用八进制表示方法的设置。如果明白了前面的12位 权限表示法也很简单。
SUID和SGID的详细解析
由于SUID和SGID是在执行程序(程序的可执行位被设置)时起作用,而可执行位只对普通文件和目录文件有意义,所以设置其他种类文件的SUID和SGID位是没有多大意义的。首先讲普通文件的SUID和SGID的作用。例子:如果普通文件myfile是属于foo用户的,是可执行的,现在没设SUID位,ls命令显示如下: -rwxr-xr-x 1 foo staff 7734 Apr 05 17:07 myfile 任何用户都可以执行这个程序。UNIX的内核是根据什么来确定一个进程对资源的访问权限的呢?是这个进程的运行用户的(有效)ID,包括user id和group id。用户可以用id命令来查到自己的或其他用户的user id和group id。 除了一般的user id 和group id外,还有两个称之为effective 的id,就是有效id,上面的四个id表示为:uid,gid,euid,egid。内核主要是根据euid和 egid来确定进程对资源的访问权限。 一个进程如果没有SUID或SGID位,则euid=uid egid=gid,分别是运行这个程序的用户的uid和gid。例如kevin用户的uid和gid分别为204和202,foo用户的uid和gid为200,201,kevin运行myfile程序形成的进程的euid=uid=204,egid=gid =202,内核根据这些值来判断进程对资源访问的限制,其实就是kevin用户对资源访问的权限,和foo没关系。如果一个程序设置了SUID,则euid和egid变成被运行的程序的所有者的uid和gid,例如kevin用户运行myfile,euid=200,egid=201,uid=204,gid=202,则这个进程具有它的属主foo的资源访问权限。 SUID的作用就是这样:让本来没有相应权限的用户运行这个程序时,可以访问他没有权限访问的资源。passwd就是一个很鲜明的例子。 SUID的优先级比SGID高,当一个可执行程序设置了SUID,则SGID会自动变成相应的egid。 下面讨论一个例子: UNIX系统有一个/dev/kmem的设备文件,是一个字符设备文件,里面存储了核心程序要访问的数据,包括用户的口令。所以这个文件不能给一般的用户读写,权限设为:cr–r—– 1 root system 2, 1 May 25 1998 kmem 但ps等程序要读这个文件,而ps的权限设置如下: -r-xr-sr-x 1 bin system 59346 Apr 05 1998 ps 这是一个设置了SGID的程序,而ps的用户是bin,不是root,所以不能设置SUID来访问kmem,但大家注意了,bin和root都属于system组,而且ps设置了SGID,一般用户执行ps,就会获得system组用户的权限,而文件kmem的同组用户的权限是可读,所以一般用户执行ps就没问题了。但有些人说,为什么不把ps程序设置为root用户的程序,然后设置SUID位,不也行吗?这的确可以解决问题,但实际中为什么不这样做呢?因为SGID的风险比SUID小得多,所以出于系统安全的考虑,应该尽量用SGID代替SUID的程序,如果可能的话。下面来说明一下SGID对目录的影响。SUID对目录没有影响。如果一个目录设置了SGID位,那么如果任何一个用户对这个目录有写权限的话,他在这个目录所建立的文件的组都会自动转为这个目录的属主所在的组,而文件所有者不变,还是属于建立这个文件的用户。
sticky bit(t 或 T ,多被称作”粘着位”或”防删除位”)
为了防止在一个完全开放权限的目录里用户之间相互删除对方完全开放权限的文件,可以对该目录设置sticky权限(只能对目录生效)。
这样当一个目录被设置为”粘着位”(用chmod a+t),则该目录下的文件只能由
一、超级管理员删除
二、该目录的所有者删除
三、该文件的所有者删除
也就是说,即便该目录是任何人都可以写,但也只有文件的属主才可以删除文件。这是很好的一种安全策略,应用也很广泛。示例:
未加粘着位之前
[root@localhost /]# mkdir public_dir
[root@localhost /]# chmod 777 public_dir/
[root@localhost /]# adduser user1
[root@localhost /]# adduser user2
[root@localhost /]# su – user1
[user1@localhost ~]$ mkdir /public_dir/user1_dir
[user1@localhost ~]$ exit
logout
[root@localhost /]# su – user2
[user2@localhost ~]$ mkdir /public_dir/user2_dir
[user2@localhost ~]$ rm -rf /public_dir/user1_dir
[user2@localhost ~]$ echo $?
0
[user2@localhost ~]$ exit
logout
加了粘着位之后
[root@localhost /]# chmod 1755 public_dir/
[root@localhost /]# chmod 1777 public_dir/
[root@localhost /]# su – user1
[root@localhost /]# su – user1
[user1@localhost ~]$ rm -rf /public_dir/user2_dir
rm: 无法删除目录“/public_dir/user2_dir”: 不允许的操作
经常用到的设置sticky位命令为:chmod 1755 [目录] or chmod a+t