Linux ❉ SetUID(SUID)、SetGID(SGID)、SetGID(SGID)详解

最新推荐文章于 2025-04-25 09:07:20 发布
最新推荐文章于 2025-04-25 09:07:20 发布
阅读量567 收藏 2
点赞数
分类专栏: Linux 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wangjie72270/article/details/122540725
版权

一 SetUID(SUID)文件特殊权限用法详解

1 介绍

[root@localhost ~]# ls -l /usr/bin/passwd
-rwsr-xr-x. 1 root root 22984 Jan  7  2007 /usr/bin/passwd

        可以看到,原本表示文件所有者权限中的 x 权限位,却出现了 s 权限,此种权限通常称为 SetUID,简称 SUID 特殊权限。

2 功能释义


        SUID 特殊权限仅适用于可执行文件,所具有的功能是,只要用户对设有 SUID 的文件有执行权限,那么当用户执行此文件时,会以文件所有者的身份去执行此文件,一旦文件执行结束,身份的切换也随之消失。
        举一个例子,我们都知道,Linux 系统中所有用户的密码数据都记录在 /etc/shadow 这个文件中,通过 ll /etc/shadow 命令可以看到,此文件的权限是 0(---------),也就是说,普通用户对此文件没有任何操作权限。

为什么普通用户可以使用 passwd 命令修改自己的密码呢?

        passwd 命令的权限配置,可以看到此命令拥有 SUID 特殊权限,而且其他人对此文件也有执行权限,这就意味着,任何一个用户都可以用文件所有者,也就是 root 的身份去执行 passwd 命令。Linux 系统中,绝对多数命令的文件所有者默认都是 root。

        换句话说,当普通用户使用 passwd 命令尝试更改自己的密码时,实际上是在以 root 的身份执行passwd命令,正因为 root 可以将密码写入 /etc/shadow 文件,所以普通用户也能做到。只不过,一旦命令执行完成,普通用户所具有的 root身份也随之消失。

# 手动将 /usr/bin/passwd 文件的 SUID 权限取消
[root@localhost ~]# chmod u-s /usr/bin/passwd
#属主取消SetUID权限
[root@localhost ~]# ll /usr/bin/passwd
-rwxr-xr-x. 1 root root 30768 Feb 22 2012 /usr/bin/passwd
[root@localhost ~]# su - lamp
[lamp@localhost ~]$ passwd
Changing password for user lamp.
Changing password for user.
(current) UNIX password:
#看起来没有什么问题
New passwor:
Retype new password:
password:Authentication token manipulation error  <--鉴定令牌操作错误
#最后密码没有生效
# 显然,虽然用户有执行 passwd 命令的权限,但无修改 /etc/shadow 文件的权限,因此最终密码修改失败。

# 注意,实验完成后,一定要再把 /usr/bin/passwd 文件的 SetUID 权限加上。

        普通用户不可以使用 cat 命令查看 /etc/shadow 文件吗。因为 cat 不具有 SUID 权限,因此普通用户在执行 cat /etc/shadow 命令时,无法以  root 的身份,只能以普通用户的身份,因此无法成功读取。

SUID示意图

 由此,我们可以总结出,SUID 特殊权限具有如下特点:

  • 只有可执行文件才能设定 SetUID 权限,对目录设定 SUID,是无效的。
  • 用户要对该文件拥有 x(执行)权限。
  • 用户在执行该文件时,会以文件所有者的身份执行。
  • SetUID 权限只在文件执行过程中有效,一旦执行完毕,身份的切换也随之消失。

3  不要轻易设置SetUID(SUID)

最低0.47元/天 解锁文章
LinuxSetGID
实践求真知
11-22 2643
SetGID针对文件的作用 1、只有可执行的二进制程序才能设置SGID权限 2、命令执行者要对该程序拥有x(执行权限) 3、命名执行在执行程序的时候,组身份升级未该程序的文件属组 4、SetGID权限同样只在该程序执行过程中有效,也就是说组身份改变只在程序执行过程中有效。   二 locate命令应用 1、举例 [root@localhost ~]# ll /usr/bin/l
Linux 权限管理_文件特殊权限SetUIDSetGID和Sticky BIT 学习总结(四)
走向运维的老男孩的博客
05-02 1614
前面用了三篇文章总结Linux基本权限、umask默认权限、ACL权限和sudo授权,由于自身认知的关系,虽不尽全部,但也足够详细,记录下来所学到的一点一点,希望对看到本文的朋友有所帮助。 本篇总结Linux权限管理中的文件特殊权限 SUIDSGID和Sticky BIT
Linux总结(二十五):linux的/文件特殊权限SUIDSGID、SBIT
科大小笨的博客
07-14 1005
一、SetUID文件特殊权限 1、基本定义 可以看到,原本表示文件所有者权限中的 x 权限位,却出现了 s 权限,此种权限通常称为SetUID,简称SUID 特殊权限。 SUID 特殊权限仅适用于可执行文件,所具有的功能是,只要用户对设有 SUID 的文件有执行权限,那么当用户执行此文件时,会以文件所有者的身份去执行此文件,一旦文件执行结束,身份的切换也随之...
一篇速成Linux 设置位 S(SetUID
最新发布
DreamCollector的博客
04-25 6317
SetUID 是让“普通用户临时拥有管理员权限”的关键机制,强大但危险,务必在可控范围内使用。
linux权限管理之SetUID&SetGID
qq_41566366的博客
11-26 1347
关于facl权限,请看: g​​​​​​​linux权限管理之ACL权限管理_Rocket MAN的博客-优快云博客SetUID理解起来比较简单,这里不做赘述,详情请参考:Linux SetUIDSUID)文件特殊权限用法详解 (biancheng.net)SUID 不同的是,SGID 既可以对文件进行配置,也可以对目录进行配置。请参考Linux SetGIDSGID)文件特殊权限用法详解 (biancheng.net) 关于SetGID的理解:创建/tmp/test,要求成员mbb-sw3下的
linuxsetuid setgid
gold_linux的专栏
06-18 678
Linux SetuidSetgid2008-02-27 09:30 5、setuidsetgid 位; 本部份内容做为了解,看看就行了; 5.1 setuidsetgid的解说 ; setuid 和setgi
Linux SetuidSetgid
weixin_34010949的博客
10-26 181
> 1、setuidsetgid的解说   setuidsetgid位是让普通用户可以以root用户的角色运行只有root帐号才能运行的程序或命令。比 如我们用普通用户运行passwd命令来更改自己的口令,实际上最终更改的是/etc/passwd文件我们知道/etc/passwd文件是用户管理的 配置文件,只有root权限的用户才能更改   [root@loc...
Linux SUIDSGID权限详解:执行时改变权限的奥秘
当一个文件的权限中包含"S"(即setuid),意味着当非文件所有者尝试执行该文件时,会临时赋予执行者文件所有者的权限。例如,在Ubuntu 16.04环境中,passwd程序的权限设置中就有SUID位,这意味着普通用户(如tester...
Linux SUIDSGID详解:深入理解与高效运用案例分析
[Linux SUIDSGID详解:深入理解与高效运用案例分析](https://wiki.syncplanet.io/uploads/e407151209bba8292dc10fb2e16ba465/2020-05-29-004924_1469x1010_scrot.png) # 1. Linux SUIDSGID位的基础知识 在...
linux特殊的文件权限,Linux三个特殊权限 setuid setgid stick bit
weixin_42561040的博客
04-28 432
文件权限的机制是Linux系统的一大特色,对于初学Linux的人对可读(r)、可写(w)、可执行(x)这都是比较基本的权限。一个文件的权限有十个位,分为三组来表示。第一个位为一组,表示文件的类型:-:表示一般文件d:表示目录文件l:表示链接文件b:表示块设备c:表示字符设备p:表示管道s:表示套接字但是Linux还有三个比较特殊的权限,分别是:setuidsetgid,stick bit (粘滞...
Linux文件和目录高级管理命令总结——setuidsetgid、stick bit、chattr、lsattr命令
Nicholas的专栏
06-30 1600
  中文件/目录除了有可读、可写和可执行这三种权限外,还存在比较特殊的权限,这些特殊权限就包括和这两种。  和位是让普通用户可以以用户的角色运行只有帐号才能运行的程序或命令。例如我们用普通用户运行命令来更改自己的口令,实际上最终更改的是文件,我们知道文件是用户管理的 配置文件,只有权限的用户才能更改,正是因为命令被设置了权限才能使得普通用户也可以修改其配置文件的内容。  文件/目录权限是使用常见的八进制权限掩码来表示的,通常都是用三位数表示,但确切地说,它是用四位数表示的,因为除了读、写和执行权限以外还有特
Linux笔记——SetUID,SetGID,黏着位权限
weixin_42638731的博客
01-05 1338
Linux笔记——SetUID,SetGID,黏着位权限
Linux文件特殊权限——SetUIDSetGID、Sticky BIT
吴小宝的博客
06-13 7630
对于 SetUIDSetGID、Sticky BIT 这三个文件特殊权限,分别介绍如下: 1. SetUID 权限 只有可以执行的二进制程序才能设定SetUID权限,并且命令执行者要对该程序拥有x(执行)权限。对于设定了 SetUID 权限的命令来说,其功能是命令执行者在执行该程序文件时获得该程序文件所有者的身份。SetUID 权限只在该程序执行过程中有效,也就是说身份改变只在程序执行过程中
SUID,SGID和SBIT
weixin_34037977的博客
10-06 129
一.SUID(SetUID):文件执行者可以暂时获得文件所有者的身份; 注意事项: Θ只有可执行的二进制文件才能设定SUID权限,也可以给文件夹添加SUID权限,不会报错,但没有意义; Θ命令执行者必须对文件有x权限,如没有,s会变成大写S,代表报错了. ΘSUID权限只在该程序执行过程中有效. 具体命令: 添加SUID权限: chmod 4755 filename chmod u...
linux特殊权限:setUid, setGid, 粘着位(sticky)
热门推荐
会编程的大白熊
10-10 1万+
linux特殊权限:setUid, setGid, 粘着位(sticky) (1)目录的X权限(执行).文件的可执行权限很简单,也就是可否执行它的意思,但目录的执行权限又代表什么意思呢?当然不可能是要执行这个目录了,其实这个执行权限如果用在目录上时,它不再代表执行的意思了,而是代表"搜索"权限。当你要访问/etc/httpd.conf文件时,您必须拥有对目录etc的X(即搜索)权限,否
linux进程--setuid/setgid
RT的博客
03-31 1270
文件setuid/setgid linux文件的权限标志除了大家熟知的读(r)、写(w)、执行(x)外,还有三个比较特殊的权限位: setuid/setgid/sticky bit setuid只作用于二进制可执行文件(不包含shell/python/perl等脚本),它允许当前用户以文件所有者的权限运行文件。 如系统的passwd命令 ls -l /usr/bin/passwd -rwsr-xr-x 1 root root 54256 Mar 27 2019 /usr/bin/passwd 这个文
linux中的setGID权限
qq_40420795的博客
12-16 1244
1、setGID对文件的作用 只有可执行的二进制程序才能设置setGID权限 命令执行者要对该程序拥有x(执行)权限 命令执行在执行程序的时候,组身份升级为该程序文件的属组 setUID权限同样只在该程序执行过程中有效,也就是说组身份改变只在程序执行过程中有效 实例:系统中的locate命令就是一个具有setGID权限的文件,locate命令实际搜索的是/var/lib/mlocate/m...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值