Linux精讲——特殊权限之set_gid/sgid

最新推荐文章于 2023-03-22 12:31:52 发布

原创最新推荐文章于 2023-03-22 12:31:52 发布 · 1.1k 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#linux #set-gid #sgid

Linux运维专栏收录该内容

41 篇文章

订阅专栏

概述：

set_gid/ sgid 可以作用于二进制可执行文件和目录上
set_gid/ sgid 作用于二进制可执行文件时，作用效果与set_uid/ suid类似
set_gid/ sgid 作用于目录上时，在该目录下创建的新目录或文件的所属组与该目录的所属组一致

增加set_gid/ sgid

 - chmod g+s binfile/dir

删除 set_gid/ sgid

 - chmod g-s binfile/dir

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

flyingfishzxf

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

Linux 特殊权限位详解：SetUID, SetGID, Sticky Bit

weixin_45668002的博客

06-04

738

Linux系统包含三个特殊权限位：SetUID、SetGID和Sticky Bit，用于增强权限控制。SetUID允许程序以文件所有者权限运行（如passwd命令）；SetGID使目录中新文件继承父目录组属性，便于协作；Sticky Bit则保护共享目录中文件（如/tmp）不被他人删除。这些权限可通过chmod命令设置（u+s/g+s/o+t或数字方式），但需谨慎使用SetUID以防安全风险。合理使用这些机制能在保证安全的同时实现灵活的权限管理。

android media rw,Android中的“/ storage/udisk/sda4 /”和“/ mnt/media_rw/udisk/sda4 /”有什么区别？...

weixin_35835184的博客

05-27

2024

你可以试试这个代码，我希望这方面的工作import java.io.File;import java.util.ArrayList;import java.util.Scanner;import android.os.Build;import android.os.Environment;import android.util.Log;public class StorageOptions {pr...

参与评论您还未登录，请先登录后发表或查看评论

Linux中SetGID

实践求真知

11-22

2650

一 SetGID针对文件的作用 1、只有可执行的二进制程序才能设置SGID权限 2、命令执行者要对该程序拥有x（执行权限） 3、命名执行在执行程序的时候，组身份升级未该程序的文件属组 4、SetGID权限同样只在该程序执行过程中有效，也就是说组身份改变只在程序执行过程中有效。二 locate命令应用 1、举例 [root@localhost ~]# ll /usr/bin/l

Linux文件特殊权限SGID

HayPinF的博客

04-12

482

转载自《鸟哥的Linux私房菜》第七章、Linux文件与目录管理当s标志在文件拥有者的x项目中为SUID特殊权限，那s在群组的x时则称为Set GID。举例来说，你可以用底下的命令来观察具有SGID权限的文件： ubuntu中观察/usr/bin/locate文件一直跟踪到/usr/bin/mlocate才是真正的二进制可执行程序： centos观察/usr/bin/locate文件...

Linux笔记（set_uid，set_gid，stick_bit，软硬连接）

weixin_34409822的博客

10-24

169

一、特殊权限set_uidset_uid 可以临时赋予其他用户命令所有者的身份例如passwd 权限 resr-xr-x。给一个文件设置set_uid前提是文件是二进制的可执行的文件例如ls，cat 。给一个文本文件或者目录设置是没有意义的普通用户ls不了/root/目录chmod u+s +命令绝对路径变为rws 为一个命令增加set_uid权限chmod...

Linux-特殊权限set_gid

chongfu7772的博客

06-07

221

特殊权限set_gid: 说明：特殊权限set_gidset_gid特殊权限,是作用在用户组权限位的,也是用一个s来表示.作用在文件上的时候,和set_uid功能一样,就是确保组外的普通用户,在使用该文件时,能临时拥有用户组的身份.另外,set_gid特殊权限,还可以作用在目录上.其作用就是...

set uid和set gid

rgaofeng的专栏

08-09

1979

在unix/linux中文件或者目录的安全性都是通过其权限属性来控制的，大家都知道，常见的权限有：读(r)，写(w)，执行(x)这三种。用单一字母表示文件权限。u表示属主，g表示组，o表示其它组，a表示属主、组、其它组三者，r表示读权限，w表示写权限，x表示执行权限，还有一种s表示设置属主身份(setuid, Set User ID)权限和设置组身份(setgid, Set G

linux权限标志位sgid,Linux上文件的特殊权限SUID,SGID,SBIT详解

weixin_31792645的博客

04-30

1139

文件的特殊权限SGID, SUID..SBIT大家都知道文件和目录的权限最常见的有三个.可读(r)..可写(w)..可执行(x)..它们的级别分别是4..2..1..我们有时也会发现有些文件所属主的权限上带有一个s的标志位.目录的所属组上也带有s标志位.很多人不理解这是为什么....下面我们举例来看一下...#ls -l /usr/bin/passwd-rwsr-xr-x 1 root roo...

linux通过configfs方式开启uvc、uac、adb等功能

u013905694的博客

03-22

3752

linux通过configfs方式开启uvc、uac、adb等功能

23.文件特殊权限之SUID权限、SGID权限、Sticky BIT权限和ACL权限

小鹏linux的博客

01-23

2692

在多用户多任务的Linux系统里，每个进程的运行都与运行的用户和组相关联。除了进程识别号（PID）以外，每个进程还有另外4个用户和用户组相关的识别号。他们分别是：实际用户识别号（RUID）、实际组识别号（RGID）、有效用户识别号（EUID）、有效组识别号（EGID）。EUID和EGID的作用在于确定一个进程对其访问的文件的权限和优先权。一般情况下， EUID、EGID与RUID和RGID相同。设置了SUID和SGID情况除外。

linux特殊权限:setUid, setGid, 粘着位(sticky)

热门推荐

会编程的大白熊

10-10

1万+

linux特殊权限:setUid, setGid, 粘着位(sticky) (1)目录的X权限(执行).文件的可执行权限很简单,也就是可否执行它的意思,但目录的执行权限又代表什么意思呢?当然不可能是要执行这个目录了,其实这个执行权限如果用在目录上时,它不再代表执行的意思了,而是代表"搜索"权限。当你要访问/etc/httpd.conf文件时,您必须拥有对目录etc的X(即搜索)权限,否

Linux中chmod、chown、Set GID用法详解

Mr.Wang的博客

07-03

1248

基本权限的类别 • 访问方式(权限) – 读取:允许查看内容-read r – 写入:允许修改内容-write w – 可执行:允许运行和切换-execute x 对于文本文件： r 读取权限：cat less head tail w 写入权限：vim > >> x 可执行权限: Shell脚本编写时可以赋予 • 权限适用对象(归属) – 所有者:拥有此...

linux权限管理之SetUID&SetGID

qq_41566366的博客

11-26

1367

关于facl权限，请看： glinux权限管理之ACL权限管理_Rocket MAN的博客-优快云博客SetUID理解起来比较简单，这里不做赘述，详情请参考：Linux SetUID（SUID）文件特殊权限用法详解 (biancheng.net) 与 SUID 不同的是，SGID 既可以对文件进行配置，也可以对目录进行配置。请参考Linux SetGID（SGID）文件特殊权限用法详解 (biancheng.net) 关于SetGID的理解：创建/tmp/test，要求成员mbb-sw3下的

特殊权限set_gid

weixin_30279315的博客

06-07

502

set gid：权限说明： set gid权限可以作用在文件上(二进制可执行文件)，也可以作用在目录上。当作用在文件上时，其功能和set，uid一样，它会使文件在执行阶段具有文件所属组的权限。目录被设置这个权限后，任何用户在此目录下创建的文件都具有和该目录所属的组相同的组。作用：当作用在文件上的时候，其作用和set uid是类似的，作用在组的权限位，也是个小s，它可以让执行这个文件...

set_uid、set_gid、stick_bit

weixin_52895466的博客

02-23

237

特殊权限之小s（就是set_uid）当我们去查看/usr/bin/passwd的时候会发现他是红色，这是告诉你要注意这文件重要。其中你会发现它的所有者权限位竟然不是rwx而是rws 小s可以出现的位置有：所有者的权限位的第三个位置上，也可以出现在所有组权限位的第三个位置上。但是不能出现在其他人的权限位上小s的功能：就是让普通用户可以临时拥有文件所有者的权限（执行某个命令的权限）如何去掉这个小s权限执行：chmod u-s 文件名如何增加这个小s权限执行：chmod u+s 文件名如果你对某个文件

linux的附加权限(Sticky Bit,GID,SGID)

TK_Lumi的博客

12-21

394

Sticky Bit,GID,SGID一、Sticky Bit介绍二、GID介绍三、SGID介绍一、Sticky Bit介绍附加权限(特殊权限) 粘滞位，Sticky Bit 权限占用其他人（Other）的 x 位显示为 t 或 T，取决于其他人是否有 x 权限适用于目录，用来限制用户滥用写入权在设置了t权限的文件夹下，即使用户有写入权限，也不能删除或改名其他用户文档 [root@localhost ~]# mkdir /home/public [root@localhost

linux强制位和冒险位,强制位（set uid和set gid）与冒险位（sticky）的特别权限

weixin_32498321的博客

05-14

218

1、set uid(强制位) 只能对文件进行设置通过对文件设置uid可以使非文件拥有者或文件所属群组的用户具有执行该文件的权限。例如ping，默认情况下所有用户都可以使用此命令，但当我们查看ping命令所在的文件时会发现，这个文件所属的用户和组均属于root，别的用户和组都没有权限使用此命令，但是为什么其他的用户和群组都能使用此命令了呢？当你查看ping命令所在文件的权限时你会发现在用户的权限x的...

最新发布

07-29

<think>我们正在处理用户的问题：在交叉编译工具链构建过程中，执行make命令时出现错误： make cp: preserving times Operation not permitted Error 1 根据用户提供的错误信息，关键点在于“cp: preserving times Operation not permitted”。这通常发生在使用`cp -a`（或`cp -p`）命令尝试保留文件的时间戳、权限等属性时，但操作被系统拒绝。结合引用[1]中提到的关于`cp`命令的问题，我们可以推断： - 用户可能在构建过程中有复制文件的步骤，并且使用了保留文件属性的选项（如`-a`或`-p`）。 - 系统拒绝该操作的原因可能是权限问题，或者文件系统不支持保留时间戳等属性。常见原因： 1. **权限不足**：即使使用`sudo`，也可能因为文件系统挂载选项（如`noatime`、`ro`等）或安全策略（如SELinux）导致操作失败。 2. **文件系统限制**：如果目标目录位于不支持保留时间戳的文件系统（如某些网络文件系统或只读文件系统）上，则会出现此错误。 3. **目标文件或目录被锁定**：文件可能被其他进程占用，或者目标目录设置了不可修改的属性（如immutable属性）。解决方案： 1. **检查文件系统挂载选项**：使用`mount`命令查看目标目录所在文件系统的挂载选项，特别是是否包含`noatime`、`ro`（只读）等。如果目标目录是只读的，需要重新挂载为可读写。 2. **检查文件系统类型**：某些文件系统（如FAT、NTFS）不支持Linux的文件属性（如时间戳、权限等）。如果目标目录位于这类文件系统上，则需要避免使用保留属性的复制选项。 3. **检查目录权限**：确保当前用户（或构建过程中使用的用户）对目标目录有写权限。如果是在系统目录下，可能需要使用`sudo`。 4. **禁用保留属性的选项**：在构建脚本中，将`cp -a`或`cp -p`改为`cp -R`或`cp -r`，这样就不会尝试保留时间戳和权限，但可能会影响构建结果（因为时间戳和权限可能对后续步骤有影响）。 5. **检查SELinux状态**：如果系统启用了SELinux，可能会阻止进程修改文件属性。可以临时禁用SELinux测试：`sudo setenforce 0`，如果问题解决，则需要调整SELinux策略。 6. **检查文件锁定或属性**：使用`lsattr`命令检查目标文件或目录是否被设置了不可修改的属性（如`i`属性），如果有，使用`chattr -i`移除。具体到用户的问题，由于是在交叉编译工具链构建过程中出现的，很可能是在安装阶段复制文件到系统目录（如`/usr/local`）时发生。因此，可以尝试以下步骤：步骤1：检查目标目录的权限和所在文件系统 ```bash mount | grep /usr/local # 假设目标目录是/usr/local ls -ld /usr/local ``` 步骤2：如果目标目录在只读文件系统上，需要重新挂载为可读写（例如，如果/usr是单独分区）： ```bash sudo mount -o remount,rw /usr ``` 步骤3：如果文件系统支持，但权限不足，可以尝试使用sudo运行make install（如果构建脚本允许）： ```bash sudo make install ``` 步骤4：如果问题仍然存在，尝试修改构建脚本中的复制命令，去掉保留属性的选项（比如将`cp -a`改为`cp -r`）。但注意这可能会影响工具链的正常使用。步骤5：检查并禁用SELinux： ```bash sudo setenforce 0 ``` 步骤6：检查文件属性： ```bash lsattr /usr/local/target_file ``` 如果发现属性中有`i`（immutable），则使用： ```bash sudo chattr -i /usr/local/target_file ``` 注意：由于用户是在构建交叉编译工具链，可能是在一个特定的目录（如用户家目录下的某个目录）进行构建，那么目标目录可能不是系统目录，而是用户有写权限的目录。此时应重点检查该目录的权限和文件系统特性。另外，用户错误信息中提到了“Operation not permitted”，这通常表示权限问题，但也不排除其他原因。因此，我们需要提供全面的排查步骤。由于用户的问题是在执行make时发生的，我们可以假设错误发生在Makefile中的某个cp命令。因此，查看Makefile中对应的规则，找到具体的cp命令，也能帮助我们更精确地解决问题。但是，用户可能无法直接修改Makefile（比如是第三方工具链），所以我们可以尝试在复制命令前加上`sudo`，但这需要修改Makefile，可能不实际。另一种方法是整个构建过程使用root权限，但这有安全风险。因此，推荐先尝试上述步骤1-6，尤其是检查文件系统挂载选项和SELinux。如果上述步骤无法解决，我们可以尝试使用strace跟踪make过程，查看具体是哪个系统调用失败： ```bash strace -f -e trace=file make 2>&1 | tee make.log ``` 在日志中搜索“Operation not permitted”错误，定位到具体的文件操作。生成相关问题： 1. 如何检查文件系统的挂载选项？ 2. 如何临时禁用SELinux？ 3. 如何修改文件的不可变属性(immutable)？ 4. 如何修改Makefile中的复制命令以避免保留时间戳？ 5. 在构建交叉编译工具链时，如何避免权限问题？</think>### 错误分析：`make cp: preserving times Operation not permitted Error 1` 这个错误发生在交叉编译工具链构建过程中，核心问题在于**文件系统权限限制**或**安全策略阻止了时间戳修改**。以下是详细分析和解决方案： --- ### 原因分析 1. **文件系统挂载限制**（最常见原因） - 目标目录所在文件系统可能以 `noatime` 或 `ro`（只读）选项挂载 - 某些文件系统（如 NTFS/FAT/exFAT）不支持 Linux 文件属性 ```bash $ mount | grep "/home/felix/mydisk" # 可能输出：/dev/sdb1 on /home/felix/mydisk type ntfs (rw,noatime) ``` 2. **SELinux/AppArmor 安全策略** - 安全模块阻止了 `cp -a` 保留时间戳的操作 ```bash $ sudo ausearch -m avc -ts recent # 检查 SELinux 拒绝日志 ``` 3. **文件不可变属性** - 文件被设置了 `immutable` 属性（常见于系统关键文件） ```bash $ lsattr /home/felix/mydisk/target_file ----i---------e---- target_file # "i" 表示不可变 ``` 4. **用户权限不足** - 即使用 `sudo`，某些操作仍受文件系统底层限制 --- ### 解决方案 #### 1. 检查并修改文件系统挂载选项 ```bash # 查看挂载配置 $ mount | grep "/home/felix/mydisk" # 重新挂载（如果是 ext4/xfs 等支持的文件系统） $ sudo mount -o remount,rw,atime /home/felix/mydisk # 对于 NTFS/FAT 文件系统（需安装 ntfs-3g） $ sudo umount /home/felix/mydisk $ sudo mount -t ntfs-3g -o rw,atime,uid=1000,gid=1000 /dev/sdX /home/felix/mydisk ``` #### 2. 临时禁用安全策略（测试用） ```bash # 禁用 SELinux（重启后恢复） $ sudo setenforce 0 # 禁用 AppArmor $ sudo systemctl stop apparmor.service ``` #### 3. 移除文件不可变属性 ```bash $ sudo chattr -i /home/felix/mydisk/target_file ``` #### 4. 修改构建脚本（推荐）在 Makefile 中找到 cp 命令，替换保留时间戳的选项： ```makefile # 原始（导致错误） install: cp -a src/* $(TARGET_DIR) # 修改为（跳过属性保留） install: cp -R src/* $(TARGET_DIR) ``` #### 5. 使用 rsync 替代 cp ```bash $ rsync -r --no-perms --no-times src/ /home/felix/mydisk/ ``` --- ### 根本解决方案对于交叉编译工具链构建，**建议将工作目录放在原生 Linux 文件系统**（如 ext4）中： ```bash # 创建专用构建目录 $ sudo mkdir /build $ sudo chown $USER:$USER /build $ cd /build # 重新配置构建环境 $ ./configure --prefix=/build/output $ make ``` > 📌 **注意**：`chmod -R 777` 是危险操作，会完全开放权限，仅在测试环境使用[^1]。 --- ### 相关问题 1. 如何检查文件系统的挂载选项？ 2. 如何临时禁用 SELinux 以测试权限问题？ 3. 如何查看哪些进程正在占用指定目录？ 4. 如何将只读文件系统重新挂载为可写模式？ 5. 交叉编译时如何避免文件权限错误？