linux特殊权限SUID,SGID,sticky

最新推荐文章于 2025-09-19 23:14:52 发布
原创 最新推荐文章于 2025-09-19 23:14:52 发布 · 1.8k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux

本文深入解析Linux系统中的特殊权限机制,包括SUID、SGID和sticky位的作用与应用实例,阐述这些权限如何增强系统的灵活性与安全性。

一、为什么要使用特殊权限?

比如系统中假如有超过四类人然而每一类人都需要一种独特权限.只有三种独特权限的基础权限系统就会明显不够用.特殊权限可以扩展系统基础权限的功能,使得linux权限更加强大灵活

二、SUID

  • chmod   u[+-]s   文件  或  用数字表示   chmod 4755 文件
-rwsr-xr-x. 1 root root 30768 2月  22 2012 /usr/bin/passwd
  • 在普通三位数字权限位之前,用4代表添加的SUID位
  • 文件属主的x权限,用s代替.表示被设置了SUID
  • 如果属主位没有x权限,会显示为大写S,表示有故障(权限无效)
  • chmod 0xxx .... 可以删除文件的SUID(无法删除目录的SUID)
  • 启动为进程之后,其进程的属主为原程序文件的属主;
  • 只能作用在二进制程序上,不能作用在脚本上,且设置在目录上无意义 ;
  • 执行suid权限的程序时,此用户将继承此程序的所有者权限; 

1)SUID工作原理

  •  前提:

linux中有一个二进制程序vim,属主属组均为root
linux中有一个系统文件/etc/shadow,属主属组均为root
我们创建一个普通用户叫zm
zm具有对vim的执行权限
zm 不具有对/etc/shadow的任何权限

  •  默认情况下

zm执行vim,系统创建一个vim进程,进程的属主属组取程序发起者,也就是zm:zm
vim进程访问/etc/shadow,由于进程属主属组是zm:zm,与/etc/shadow的属组属主都不匹配,所以被拒绝访问.

  •  给vim设置SUID之后

zm执行vim.系统创建一个vim进程,进程的属主取vim的属主,属组取程序发起者,就是root:zm
vim进程访问/etc/shadow,由于进程属主是root,与/etc/shadow的属主匹配,所以被允许编辑.

2)例子

passwd命令是linux系统中用来修改密码的命令.系统中所有用户都可以使用.而passwd命令改密码的行为是通过修改/etc/shadow文件来实现 

  • 首先查看一下/etc/shadow的文件权限  (可见普通用户对它没有任何权限;那为什么普通用户可以改密码呢?)
----------. 1 root root 908 7月  18 20:18 /etc/shadow
  • 查看passwd文件权限信息
-rwsr-xr-x. 1 root root 30768 2月  22 2012 /usr/bin/passwd

不难发现passwd这个程序的属主位的执行位不是x而是s,说明passwd被设置了特殊权限SUID.;于是普通用户运行passwd命令,系统创建的passwd进程的属主由默认为"程序发起者"变为了passwd的属主;而passwd的属主是root,所以普通用户其实是在用root的权限修改/etc/shadow文件.最后passwd命令执行结束,passwd进程被关闭.

3)例子

给命令vim添加SUID,可以让普通用户自己把自己变为超级用户.

给vim加个SUID 

[root@centos2 test]# ls -l /usr/bin/vim
-rwsr-xr-x. 1 root root 1967072 4月   5 2012 /usr/bin/vim
[root@centos2 test]#

登陆普通用户zhang;通常情况下zhang启动vim后,系统会创建一个以当前用户zhang为属主属组的vim进程,
此时vim进程的属主属组为zhang:zhang,由于无论是属主还是属组都不具有对/etc/passwd的编辑权限,所以这个vim进程无权编辑/etc/passwd.;而给/usr/bin/vim设置了SUID之后,zhang或任何用户启动vim程序时,系统创建的vim进程的属主则是取了/usr/bin/vim这个程序文件自身的属主root;所以此时vim进程的属主属组为root:zhang. 系统检查发现正好匹配了/etc/passwd的属主,于是放行vim进程.


[zhang@centos2 ~]$ vim /etc/passwd   #修改uid=0
zhang:x:0:500::/home/zhang:/bin/bash

退出再次登陆;可以看出当前的用户是root

[root@centos2 test]# su - zhang
[root@centos2 ~]# whoami
root
[root@centos2 ~]#

验证。首先找一个属主属组都为root且o位无w的文件

[root@centos2 ~]# find / -name haha -type f -exec ls -l {} \;
-rw-r--r--. 1 root zhang 0 9月  14 22:18 /tmp/haha
[root@centos2 ~]# 
[root@centos2 tmp]# cd /tmp/
[root@centos2 tmp]# mv haha didi
[root@centos2 tmp]# find / -name didi -type f -exec ls -l {} \;
-rw-r--r--. 1 root zhang 0 9月  14 22:18 /tmp/didi
[root@centos2 tmp]# 


改名成功,说明ok

三SGID

  • chmod   g[+-]s   文件或目录  或  用数字表示   chmod 2755 文件或目录
-rwxr-sr-x. 1 root root 0 9月  14 21:14 test
  • 在普通三位数字权限位之前,用2代表添加的SGID位
  • 文件属组的x权限,用s代替.表示被设置了SGID
  • 如果属组位没有x权限,会显示为大写S,表示有故障(权限无效)
  • chmod 0755 DIR/FILE 删除文件的SGID,(目录不受影响)
  • 注:作用在二进制程序上时:执行sgid权限的程序时,此用户将继承此程序的所属组权限
  • 注:作用于目录上时:此文件夹下所有用户新建文件都自动继承此目录的用户组. 

1)例子

普通用户zhang在/tmp中创建一个目录叫zhangdir,添加SGID.权限777

[zhang@centos2 zhangdir]$ chmod 2777 /tmp/zhangdir/
[zhang@centos2 zhangdir]$ ll -d
drwxrwsrwx. 2 zhang zhang 4096 9月  14 21:53 .
[zhang@centos2 zhangdir]$

切换到普通用户ming,在zhangdir目录中创建一个文件和一个目录

[ming@centos2 ~]$ cd /tmp/zhangdir/
[ming@centos2 zhangdir]$ mkdir mingdir
[ming@centos2 zhangdir]$ ll
总用量 4
drwxrwsr-x. 2 ming zhang 4096 9月  14 22:00 mingdir
[ming@centos2 zhangdir]$

可以看出,ming在zhangdir目录下创建的文件和目录都自动继承了zhangdir的属组

而且新目录的权限也继承了SGID.;所以设定了SGID的目录中的所有新建文件和目录都会自动属于zhang组.

四、sticky

  • chmod   o[+-]t   目录  或  用数字表示   chmod 1755 目录
-rwx--x--t. 1 root root 0 9月  14 21:20 caiwu
  • 在普通数字权限位前,用1代表添加Sticky位 
  • 文件属组的x权限,用t代替.表示被设置了sticky
  • 如果其他用户位没有x权限,会显示为大写T,表示有故障(权限无效)
  • 对于一个多人可写的目录,如果设置了sticky,则每个用户仅能删除和改名自己的文件或目录;
  • 只能作用在目录上.普通文件设置无意义,且会被linux内核忽略
  • 用户在设置Sticky权限的目录下新建的目录不会自动继承Sticky权限 

1)例子

目的:希望在系统中创建一个很多用户可以共同使用的目录,但是要求用户之间不能互相删除改变对方的文件.

首先:创建一个777的/test/dir目录;分别用zhang和ming用户在/test/dir目录创建自己的文件和目录;可是任何用户都可以删除里面的内容。如何解决呢?

[root@centos2 dir]# ll
总用量 16
drwxrwxr-x. 2 ming  ming  4096 9月  14 21:35 md1
drwxrwxr-x. 2 ming  ming  4096 9月  14 21:35 md2
drwxrwxr-x. 2 ming  ming  4096 9月  14 21:35 md3
-rw-rw-r--. 1 ming  ming     0 9月  14 21:34 mf1
-rw-rw-r--. 1 zhang zhang    0 9月  14 21:34 zd1
-rw-rw-r--. 1 zhang zhang    0 9月  14 21:34 zd2
-rw-rw-r--. 1 zhang zhang    0 9月  14 21:34 zd3
drwxrwxr-x. 2 zhang zhang 4096 9月  14 21:34 zf1
[root@centos2 dir]#

要给/tmp这个文件夹设定一个Sticky位.

[root@centos2 test]# chmod 1777 dir/
[root@centos2 test]# ll -d dir/
drwxrwxrwt. 6 root root 4096 9月  14 21:35 dir/
[root@centos2 test]#

到这尝试登陆普通用户到这个目录下删除mf1等文件和目录。删除不了说明生效了。

注:普通用户在设定了Sticky位的目录下创建的子目录不会继承这个Sticky权限,所以要注意设定好自己目录的权限. 

OpenEuler 第四章《用户与权限管理》练习题
风达的专栏
10-12 2076
请创建一个用户组it,要求GID为1010;再创建一个组mg,要求GID为1020 [root@openEuler ~]# groupadd -g 1010 it [root@openEuler ~]# groupadd -g 1020 mg 创建一个用户user1,主组为其私有组,附属组为it;创建一个用户user2,主组为mg,附属组为it。 [root@openEuler home]# useradd user1 [root@openEuler home]# gpasswd -a user
Linux中文件特殊权限suidsgidsticky(有图详细讲解)
热门推荐
MssGuo的博客
10-14 2万+
前言 环境:centos 7.9 linux文件普通权限rwx Linux中文件的普通权限一般为:rwx,对应与数字表示:421,除此之外,文件还有三种特殊权限,就这是我们本节要讲的三种特殊文件权限linux文件特殊权限 suidsgidsticky linux文件的三种特殊权限分别是:suid权限sgid权限sticky权限;其中suid权限作用于文件属主,sgid权限作用于属组上,sticky权限作用于other其他上。 suid权限 作用:让普通用户临时拥有该文件的属主的执行权限suid
Linux特殊权限SUIDSGID、SBIT
喜欢讨论、分享
06-28 1475
SUID:      只对二进制程序有效      执行者对于程序需要有x权限      在程序运行过程中,执行者拥有程序拥有者的权限      例如:      普通用户执行passwd命令。      首先查看passwd命令的绝对路径:            查看passwd命令权限:            passwd的拥有者是root,且拥有者权限里面本应是x的那一列
SUID权限
最新发布
网络小白
09-19 806
是一个特殊的文件权限位。它允许一个用户来运行这个程序,而不是以该用户自己的权限
Linux文件特殊权限SUIDSGID和SBIT)的设置
lzy820260594的博客
04-19 2967
我们知道,对文件或者目录设定权限可以使用chmod命令(采用数字和字母的方法),而设定三种特殊权限也可以采用这样的方式。 1、数字方式 1.1 三种权限的数字对应形式 SUID------>4 SGID------>2 SBIT------->1 1.2 修改方式 在设定的rwx数字值前面添三种特殊权限的数字(及其组合) 1.3 举例 执行chmod 4755 文件名命令...
Linux特殊权限SUIDSGID与SBIT的深入讲解
09-15
Linux系统中,权限管理是保障系统安全的关键一环,其中SUID(Set-User-ID)、SGID(Set-Group-ID)以及SBIT( Sticky Bit)是三种特殊权限设定,它们扩展了传统的rwx权限模型,提供了更精细的访问控制。...
精选资源
特殊权限SUID SGID SBIT.doc
04-26
特殊权限SUID SGID SBIT SUID(Set UID)是一种特殊权限,只能应用于二进制程序。它的主要功能是:在执行该程序的过程中,执行者将具有该程序拥有者的权限。这种权限仅在执行该程序的过程中有效。 SUID 的限制和...
linux基础教程之特殊权限SUIDSGID和SBIT
09-15
普通用户和管理员通常了解基础的读(r)、写(w)和执行(x)权限,但Linux还提供了三种特殊权限SUID (Set User ID)、SGID (Set Group ID) 和SBIT (Sticky Bit)。这些特殊权限在特定情况下能赋予用户超出他们原本权限...
linux权限标志位sgid,Linux上文件的特殊权限SUID,SGID,SBIT详解
weixin_31792645的博客
04-30 1181
文件的特殊权限SGID, SUID..SBIT大家都知道文件和目录的权限最常见的有三个.可读(r)..可写(w)..可执行(x)..它们的级别分别是4..2..1..我们有时也会发现有些文件 所属主的权限上带有一个s的标志位.目录的所属组上也带有s标志位.很多人不理解这是为什么....下面我们举例来看一下...#ls -l /usr/bin/passwd-rwsr-xr-x 1 root roo...
Linux用户的特殊权限suidsgid、stick详细介绍
一个认真学习的女孩子的博客
08-04 500
stick权限一般针对目录来设置,目录内的文件,仅属主能删除;就是只允该目录下的文件的创建者删除自己的创建的文件,不允许其他人删除文件。(root用户除外,因为root用户是超级管理员),而且stick权限只能设置在other位置上。当执行具有sgid权限的二进制文件命令时,就会获得该命令在执行期间所属组的身份与权限(就相当于执行具有suid权限的文件一样)。root运行是超管的权限,普通用户运行时是普通用户的权限。授权,可以使目录下新建文件,继承目录的属组权限。当设置了sgid权限的文件夹,会保证。
Linux文件的特殊权限SUID|SGID|SBIT)
qq_70756940的博客
04-17 3160
SUID是一种对二进制程序进行设置的特殊权限,能够让二进制程序的执行者临时拥有所有者的权限(仅对拥有执行权限的二进制程序有效)。
特殊权限---suid
u010311846的博客
02-07 507
在修改密码的时候我们修改的是/etc/shadow文件 普通用户是没有办法修改的 但是我们发现这边普通用户可以修改,这就是suid在起作用 /etc/shadow文件属于 root 他以root身份来运行。这边以passwd举例 任何一个命令,如果可执行同时带有suid的话 那么任何用户运行这条命令的时候都会以owner的身份来运行。所以这边的stuident用户在运行passwd的时候是以root来运行,所以可以修改shadow文件。这边的s指的就是 特殊权限(正常权限的一个补充 )
SUID权限简介
weixin_30701521的博客
05-20 221
SUID简介:1.只有可以执行的二进制程序文件才能设定SUID权限,非二进制文件设置SUID权限没任何意义.2.命令执行者要对该程序文件拥有执行(x)权限.3.命令执行者在执行该程序时获得该程序文件属主的身份.4.SUID权限只在该程序执行过程中有效,也就是说身份改变只在程序执行过程中有效 以passwd命令说明 1 [vampire@LAMP ~]$ whereis passwd 2 ...
Linux文件系统的特殊权限SUID
hackstoic的博客
11-21 1972
Linux系统下,常见的文件权限有rwx, 分别对应可读, 可写,可执行三种权限。 除了这三种权限之外, 还有哪些特殊权限呢? Linux下的另外三种特殊权限, 分别是SUIDSGID, SBIT权限。 这里重点介绍SUID权限。  suid:set uid 权限,任何一个用户运行一个带此权限的命令时,不是以此用户的身份启动,而是以文件自身的属主访问。  Se
linux权限suid
weixin_33910460的博客
10-12 322
1.创建文件1.txt,属于root用户,root组,权限为7002.创建程序文件#include <stdio.h>#include <stdlib.h>#include <string.h>#include <unistd.h>#include <fcntl.h> #define BUFFSIZE 10 int main(){int ...
特殊权限suid、guid)
qyy970525的博客
04-22 492
首先说一下问什么在没有给普通用户sudo权限,普通用户会用修改自己的密码的权限呢? 下面解释一下 suid权限 [root@lianxi ~]# ll /usr/bin/passwd -rwsr-xr-x. 1 root root 27832 Jun 10 2014 /usr/bin/passwd 这里我们能看到属主权限这里有一个s权限 所以这时候能对自己修改密码 [laow@lianxi ~]...
Linux系统文件的特殊权限—细讲 SUID
weixin_55767624的博客
12-25 3059
今天主要对里面的文件特殊权限SUID进行详细分析!!SUID只对可执行的二进制文件起作用,设置shell脚本的SUID是没有作用的。这是因为shell script只是通过调用多个Linux二进制文件执行所形成的脚本而已!SUID权限部分取决于shell script所调用的二进制文件是否具有SUID权限,而不是shell script本身。
Linux特殊权限SUIDSGIDsticky-bit详解
本文档介绍了Linux操作系统中的三种特殊权限,分别是SUIDSGIDsticky-bit,这些权限对于理解和管理系统的安全性至关重要。 1. SUID (Set-User-ID):当一个文件拥有SUID权限时,当该文件被非所有者用户执行时,它...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值