SUID SGID FACL 命令

最新推荐文章于 2024-08-06 23:55:56 发布
最新推荐文章于 2024-08-06 23:55:56 发布
阅读量224 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/FG_Linux/article/details/79924783
本文详细介绍了SUID和SGID权限的概念及其在Linux系统中的应用,包括如何设置这两种特殊权限,它们的风险及应用场景,并解释了Sticky位的作用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >



SUID 运行某程序时,相应进程的属主是程序文件自身的属主,而不是启动者(启动者可以临时拥有root权限)

格式: chmod u+s FILE

chmod u-s FILE

注意: 如果FILE本身原来就有执行权限,则SUID显示为s(小写),否则显示为S(大写)

 

 

[hadoop@zhg ~]$ cat /etc/shadow

备注:这样就可以看到了

注意: 我们发现一个文件的属主是root,又给了他SUID,这带来的风险是极大的!

如果这个文件其他人还有编辑权限就会更加麻烦,随便往里面编辑一条命令,比如rm -rf /,系统就完蛋了!

 

 

 

 

 

 

 

 

 

备注: 大家会发现默认就有s权限,因为普通用户也能该自己密码

实例: 写了一个脚本,如果需要获取系统属性,此时必须要有s权限。

以前网站后台用perl语言写的脚本都需要有s权限获取信息,这样的网站很容易被入侵。

 

 

 

 

 

 

SGID

运行某程序时,相应进程的属组是程序文件自身的属组,而不是启动者所属的基本组

格式: chmod g+s FILE

chmod g-s FILE

注意: 如果FILE本身原来就有执行权限,则SUID显示为s(小写),否则显示为S(大写)

 

 

举例:

公司内部有个开发团队develop team

有三个人hadoophbasehive,他们有共同的使用目录/tmp/project

要求三个用户都能在这个目录下创建文件

由于三个用户创建的文件都属于同一个项目,所以三个用户都能查看和编辑对方的文件。

如何来实现?

 

 

 

 

备注:这样就能实现三个用户都能查看和编辑对方的文件

注意: 现在出现一个很大问题,三个用户都能查看和编辑对方的文件

但是还能删除对方文件

[hbase@zhg project]$ rm b.hadoop

[hbase@zhg project]$ ls -l

此时应该怎么办呢?引出下面内容

Sticky

解释: 在一个公共目录,每个人都可以创建文件,删除自己的文件,但是不能删除别人的文件

格式: chmod o+t DIR(针对目录)

chmod o-t DIR(针对目录)

 

 

 

 

2.文件系统访问控制列表

 

显示结果: chown: 正在更改"a.tom" 的所有者: 不允许的操作

这怎么办呢?这就体现了文件系统访问控制列表的意义了

 

FACL Filesystem Access Control List

意义: 利用文件扩展属性,保存了额外的访问控制权限

setfacl:设置facl

-m:设定额外权限

格式: -m u:UID:perm //设定用户为perm权限

-m g:GID:perm //设定组为perm权限

-m d:u:UID:perm //主要针对目录操作,将目录扩展权限向下继承

-m d:g:GID:perm //主要针对目录操作,将目录扩展权限向下继承

-x:取消额外权限

格式: -x u:UID

-x g:GID

getfacl:获取facl

 

 

 

 

 

 

 

 

另一案例:设置用户hadoop对文件inittab读写权限

 

 

 

取消权限:

1.取消用户权限

 

2.取消组权限

 

 

 

 

 

 

 

 

 

 

YUM仓库的搭建

a.本地YUM

 

 

 

[root@node1 yum.repos.d]#vim CentOS-Media.repo

 

[c6-media] //中括号中的内容不能有空格

name=CentOS-$releasever - Media

baseurl=file:///mnt/ //YUM仓库的软件从什么地方提供

#file:///media/cdrom/

    #file:///media/cdrecorder/

gpgcheck=0 //是否验证软件包。0不验证,1验证

#gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6

enabled=1

 

 

 

 

mv

功能: 移动。重命名

备注: 只有在同一个目录下移动的时候,才能实现重命名的功能

举例: mv CentOS-Base.repo CentOS-Base.repo.bak

[root@node1 yum.repos.d]# ls

 

FG_Linux
关注
【Linux系统进阶详解】Linux12位特殊权限suid,sgid,粘滞位概念、用户应用场景、facl权限及挂载安全案例讲解
走向CTO的路上...
06-11 1329
Linux 系统中的特殊权限、facl 权限挂载安全选项是非常重要的安全工具,可以帮助企业更加精细地管理文件目录的访问修改权限,以保证文件目录的安全性可访问性。在企业安全中,可以使用特殊权限 facl 权限来进行精细化的访问控制管理,以保证文件目录的安全性可访问性。suidsgid粘滞位是Linux系统中的三个特殊权限,它们被称为“特殊权限”,因为它们不同于普通的文件权限位(读、写、执行)。在挂载文件系统时,应该只授予必要的权限,并尽可能地限制用户的访问权限。
Linux笔记 No.17---(磁盘分区fdisk,gdisk,parted、格式化mkfs,mke2fs、挂载mount、卸载umount、df、du、lsof命令)
weixin_45880055的博客
10-07 3212
文章目录一、硬盘(一)机械硬盘(HDD)1.基本组成2.逻辑结构(二)固态硬盘(SSD)二、硬盘分区(一)基本概念1. MBR(MS-DOS 主引导记录区)方案2.GPT(GUID Partition Table)方案(二)观察硬盘分区状态lsblk命令(三)磁盘分区:fdisk/gdisk1.gdisk2.fdisk3.parted分区三、格式化(一)mkfs命令格式化(二)mke2fs命令格式化(三)文件系统的管理工具ext系列xfs系列四、文件系统的挂载与卸载(一)各硬件设备在Linux中的文件名(二
50. 文件权限- 文件系统访问控制列表(ACL,Access Control List)
纽雪澳诺加海美德的博客
02-18 1106
开篇词 尽管 chmod 命令已经足够强力,但它无法对权限进行更精细的分配,所以 Linux 提供了一些灵活的命令以为特定用户或组指定权限。从 Linux 内核 2.6 开始,我们可以给用户或组分配更细粒度的权限。   开始之前 在我们开始之前,我们要确保我们所使用的系统是基于 2.6 或以上的内核: uname -r   获取文件 ACL 我们可以使用 getfacl 命...
ACL访问控制列表及特殊权限
weixin_34194379的博客
08-11 223
ACL:访问控制列表: Access Control List即文件/目录的访问控制列表,可以针对任意指定的用 户/组设置权限 ACL将用户对一个文件访问权限就像是放在了一个列表里,列表的每一项分别对应了一个或一组 具体用户对该文件的特定访问权限。这就使任意的访问权限管理成为了可能。 设定ACL: 格式: setfacl [option] id:operand ...
windows@修改目录或文件的所有者权限@访问控制列表ACL@共享文件夹访问权限
xuchaoxin1375的博客
08-06 2223
windows个人用户对文件夹或文件做访问控制权限设置的情况比较少,但有时确实需要一类是不当得使用管理员权限做某些更改或者授权给某些软件运行了一些修改文件夹或文件的命令导致用户访问发生异常另一方面则是用户主动利用访问控制权限保护数据不被未授权的行为造成影响,比如共享文件夹为特定用户设置特定的权限,那么就要配合NTFS访问控制权限设置,授权不同用户不同的访问权限。
windows文件夹的访问控制列表
weixin_51042028的博客
07-13 768
在访问控制列表(组或用户名)中添加用户本身(我的是king),后在用户权限中即访问控制项修改权限即可。
关于UNIXLinux系统下SUIDSGID的解析
个人学习记录所用
07-13 561
如果你对SUIDSGID仍有迷惑可以好好参考一下!Copyright by kevintz.由于用户在UNIX下经常会遇到SUIDSGID的概念,而且SUIDSGID涉及到系统安全,所以用户也比较关心这个问题。关于SUIDSGID的问题也经常有人提问,但回答的人一般答得不
23.文件特殊权限之SUID权限、SGID权限、Sticky BIT权限ACL权限
小鹏linux的博客
01-23 2691
在多用户多任务的Linux系统里,每个进程的运行都与运行的用户组相关联。除了进程识别号(PID)以外,每个进程还有另外4个用户用户组相关的识别号。他们分别是:实际用户识别号(RUID)、实际组识别号(RGID)、有效用 户识别号(EUID)、有效组识别号(EGID)。EUIDEGID的作用在于确定一个进程对其访问的文件的权限优先权。一般情况下, EUID、EGID与RUIDRGID相同。设置了SUIDSGID情况除外。
Linux特殊权限之umask,SBIT,SUID,SGID及ACL权限列表
asufeiya的博客
07-16 1667
1.用户权限: umask 系统建立文件是默认保留的权力 umask 077 ##临时设定系统予留权限为077 永久更改umask (1)vim /etc/profile ##系统配置文件 59 if [$UID -gt 199] &&["id -gn "‘id -un’“];then 60 umask 002 ##普通用户...
Linux基础命令-用户、组权限
qq_41596208的博客
02-04 2702
Linux基础命令-用户、组权限盘管理文件系统一、磁盘结构1. 设备文件 盘管理文件系统 一、磁盘结构 1. 设备文件
文件系统访问控制列表
Square666的博客
04-13 358
显示结果: chown: 正在更改"a.tom" 的所有者: 不允许的操作 这怎么办呢?这就体现了文件系统访问控制列表的意义了! 解决方法: FACL: Filesystem Access Control List 意义: 利用文件扩展属性,保存了额外的访问控制权限 命令setfacl:设置facl -m:设定额外权限 格式: -m u:UID:per...
用户权限sudo、suidsgid以及facl
小胡子
04-13 552
su 切换用户或以指定用户运行命令使用su可以指定运行命令的身份(user/group/uid/gid)。 为了向后兼容,su默认不会改变当前目录,且仅设置HOMESHELL这两个环境变量(若目标用户非root,则还设置USERLOGNAME环境变量)。推荐使用--login选项(即"-"选项)避免环境变量混乱 -c command 使用...
suid,sgid AND sticky bits
weixin_33682790的博客
08-22 180
2019独角兽企业重金招聘Python工程师标准>>> ...
文件的权限访问控制列表(ACL)
weixin_33766168的博客
09-14 488
前言文件的权限以及访问控制列表贯穿在整个的Linux使用过程中。我们知道,在Linux 中一切皆文件,因而文件的权限,就自然而然地成为了Linux使用过程中需要频繁接触到的知识内容。而文件权限这一部分地内容,又非常地复杂,因为我们将在这篇文章当中详细地介绍文件的权限,加深自己的理解,同时留作备忘。本文将通过以下几个方面的内容来介绍文件的权限。1.文件权限主要介绍文件的权限,...
linux suid命令的功能,Linux命令學習筆記(3)——理解SUIDSGID,stick
weixin_42160252的博客
05-03 199
http://www.newwhy.com/2010/0915/15015.html了解這三個特殊訪問位前先了解Linux文件訪問特權位:1514131211109876543210SUIDSGIDstickyrwxrwxrwx文件類型位特殊訪問位擁有者特權位同組特權位其他用戶特權位10. SUID(set-user-ID)位SUID位的作用:若文件F設置SUID位為1,文件F的擁有者是用戶A,而...
具有 SUID/SGID 权限的命令运行状态
wangzengdi的专栏
06-18 976
具有 SUID/SGID 权限的命令运行状态 SUID 的权限其实与程序的相关性非常的大!为什么呢?先来看看 SUID 的程序是如何被一般使用者运行,且具有什么特色呢? SUID 权限仅对二进位程序(binary program)有效;运行者对於该程序需要具有 x 的可运行权限;本权限仅在运行该程序的过程中有效 (run-time);运行者将具有该程序拥有者 (owner) 的权限。
linux suid命令,Linux系统如何查看文件SUIDSGID
weixin_36260304的博客
04-30 4492
欢迎,来自IP地址为:118.112.105.123 的朋友本文将重点讲解Linux系统文件的附加权限,通常这些权限被称为”特殊权限”,并且会演示如何查看含有SUID或GUID的文件。什么是SUIDGUIDSUID是让可执行文件的其它用户可以同文件属主用户一样高效执行文件的一种特殊权限,不同于通常的文件执行权限”x”,你会看到文件特殊的权限(指示SUID)。GUID是让可执行文件的其它组用户可以...
Linux文件的特殊权限(SUID|SGID|SBIT)
qq_70756940的博客
04-17 3032
SUID是一种对二进制程序进行设置的特殊权限,能够让二进制程序的执行者临时拥有所有者的权限(仅对拥有执行权限的二进制程序有效)。
查找所有suidsgid文件的命令
最新发布
03-17
<think>嗯,用户之前问过如何设置SUID权限,现在又想知道如何查找所有SUIDSGID文件的命令。这说明他们可能在进行系统安全审计或者管理,需要检查系统中的特殊权限文件,确保没有不当的权限设置。 首先,我需要回忆Linux中查找文件的命令,find是常用的工具。SUIDSGID对应的权限位分别是40002000,所以使用find的-perm选项。用户可能需要知道基本命令,以及如何处理权限组合,比如精确匹配或者包含这些位的文件。 然后,用户可能不仅需要命令,还需要解释每个参数的意义,比如-type f表示只找普通文件,排除目录等。另外,权限参数中的-4000-2000,或者/u+s/g+s的区别是什么,可能需要说明符号表示法数字表示法的不同。 还要考虑用户可能的权限问题,比如普通用户运行find时可能遇到权限拒绝的错误,所以2>/dev/null来忽略错误信息是常用的技巧,需要包含在命令中。 另外,用户可能想知道如何分开查找SUIDSGID,或者同时查找两者,所以给出不同的命令示例会更好。比如分开查找的命令,以及同时查找的命令,还有如何组合使用-perm参数。 可能还需要提醒用户注意安全风险,定期检查这些文件,删除不必要的SUID/SGID设置,或者使用审计工具如auditd来监控。同时,提到替代方案如Capabilities,但用户当前的问题是查找命令,所以这部分可以简略。 还要考虑用户的使用场景,比如在脚本中使用这些命令,或者手动检查,因此命令的可读性准确性很重要。可能需要解释输出结果,比如权限中的sS的区别,以及如何处理无效的SUID/SGID文件。 总结下来,用户需要清晰、准确的命令,以及相关的解释注意事项,帮助他们有效管理系统中的特殊权限文件,确保系统安全。</think>--- ### SUID/SGID 文件查找命令详解 #### 一、核心命令模板 ```bash # 查找 SUID 文件(权限位含 4000) find / -perm -4000 -type f -exec ls -l {} \; 2>/dev/null # 查找 SGID 文件(权限位含 2000) find / -perm -2000 -type f -exec ls -l {} \; 2>/dev/null # 同时查找 SUID SGID 文件 find / \( -perm -4000 -o -perm -2000 \) -type f -exec ls -l {} \; 2>/dev/null ``` --- #### 二、命令参数解析 | 参数组合 | 功能说明 | |--------------------|------------------------------------------------------------------------| | `-perm -4000` | 匹配 **精确包含 SUID** 的文件(八进制模式) | | `-perm -2000` | 匹配 **精确包含 SGID** 的文件 | | `-perm /u+s` | 符号模式匹配 SUID(`/` 表示包含即触发) | | `-perm /g+s` | 符号模式匹配 SGID | | `-type f` | 仅搜索普通文件(排除目录特殊文件) | | `2>/dev/null` | 屏蔽权限错误提示(建议普通用户使用时添加) | | `-exec ls -l {} \;`| 显示文件详细信息 | --- #### 三、典型应用场景 ##### 1. 快速安全检查 ```bash # 查找所有 SUID 的可执行文件(危险操作监控) find /usr/bin /usr/sbin -perm -4000 -ls 2>/dev/null # 查找 /var 目录下的 SGID 文件(共享目录审计) find /var -perm -2000 -type f 2>/dev/null ``` ##### 2. 权限组合过滤 ```bash # 查找同时设置 SUID SGID 的文件(罕见高危对象) find / -perm -6000 -type f 2>/dev/null # 查找其他用户可写的 SUID 文件(重点风险目标) find / -perm -4002 -type f 2>/dev/null ``` --- #### 四、输出结果解读 **示例输出**: ``` -rwsr-xr-x 1 root root 30836 Aug 21 2023 /usr/bin/passwd -rwxr-sr-x 1 root ssh 147144 Jan 10 2024 /usr/bin/ssh-agent ``` - **s 字符位置**: - 第4字符 `s`:SUID(用户权限位) - 第7字符 `s`:SGID(组权限位) - **大写 S**:表示对应的执行位(x)未设置(权限配置错误) --- #### 五、安全建议 1. **定期扫描**(推荐每周执行): ```bash # 生成 SUID/SGID 文件清单 find / -path /proc -prune -o -type f \( -perm -4000 -o -perm -2000 \) -ls > suid_sgid.log ``` 2. **异常处理流程**: - 确认文件是否必需设置特殊权限 - 使用 `chmod u-s/g-s` 清除可疑权限 - 检查文件完整性(md5sum 比对) 3. **高级防护**: ```bash # 使用 auditd 监控权限变更 sudo auditctl -w /usr/bin -p wa -k suid_modification ``` --- #### 六、替代方案对比 | 方法 | 优点 | 缺点 | |--------------------|--------------------------|--------------------------| | `find` 命令 | 原生支持,灵活性强 | 需要记住权限码 | | `ls -l` 遍历 | 可视化检查方便 | 效率低,不适合大批量 | | **Rkhunter** 工具 | 集成恶意文件检测功能 | 需额外安装 | | **Lynis** 审计套件 | 提供修复建议 | 扫描范围不可定制 | --- 通过以上命令可快速定位系统中的特殊权限文件,建议配合 `cron` 定时任务实现自动化安全检查。发现未知 SUID/SGID 文件时,应优先通过软件包管理器验证文件来源(例如使用 `dpkg -S` 或 `rpm -qf`)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值