特殊权限

最新推荐文章于 2025-08-14 18:11:10 发布
最新推荐文章于 2025-08-14 18:11:10 发布
阅读量105 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 操作系统
原文链接:http://www.cnblogs.com/f-h-j-11-7/p/9348145.html
本文详细介绍了Linux下的特殊权限suid、sgid和sticky bit的概念及其应用,并深入讲解了如何通过访问控制列表(ACL)来实现更精细的权限管理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

今天看到朋友们讨论LINUX下文件权限的知识,很是激烈,所以就特意整理了一下关于特殊权限的知识,望能对大家有所帮助。另外linux下的访问控制列表(ACL)主要用来控制用户的权限,可以做到不同用户对同一文件有不同的权限,那么具体要如何操作呢?下面就教你如何在Linux下设置访问控制列表(ACL)来控制用户的权限。

suid:当对于一个可执行的二进制文件作用了suid之后,任何人在执行该文件时,临时拥有其所有人的权限
           chmod              u+s 

sgid:
        1.当对于一个可执行的二进制文件作用了sgid之后,任何人在执行该文件时,临时拥有其所有组的权限
            chmod            g+s
        2.当对于一个目录作用了sgid权限之后,任何人在该目录下所创建的文件的所属组,均与该目录的所属组相同

sticky: 对于一个目录作用了sticky权限,该目录下的文件仅其所属人和目录的所属人及root可以删除。

            suid:                 4
            sgid:                 2
            sticky:              1

s和t两个特殊权限说明:

LINUX中除了r w x 三个权限外(分别代表r 读,w 写,x 执行),其实还有两个特殊的权限s 跟t

当s权限在文件所有者 x 权限上时,例如:-rwsr-xr-x,此时称为Set UID,简称为SUID的特殊权限,

即当执行该文件时将具有该文件所有者的权限。

例如:有一个普通用户hff,当hff修改密码时,执行passwd这个命令,passwd该文件权限为:-rwsr-xr-x

1. hff对于 /usr/bin/passwd 这个程序具有 x 权限,表示hff 能执行 passwd
2. passwd 文件的所有者是 root
3. hff 执行 passwd 的过程中,会暂时获得 root 的权限
4. /etc/shadow 就可以被 hff 所执行的 passwd 所修改。

当s权限在文件组 x 权限上时,例如:-rwx--s--x,此时称为Set GID,简称为SGID的特殊权限,

我理解的是:执行者在执行该文件时将具有该文件所属组的权限。

还有一个t权限,Sticky Bit,简称为SBIT权限,只针对目录有效。

-当用户对此目录具有 w, x 权限,亦具有写入的权限时
-当用户在该目录下创建文件或目录时,仅有自己与 root用户才有权限删除该文件或目录

例如:

/tmp 本身权限是drwxrwxrwt,表示任何人都可以在/tmp目录内新增、修改文件,但是只有该文件或目录的建立都与root用户能够删除自己的文件或目录
ACL
      使用拥有权限控制的Liunx,工作是一件轻松的任务。它可以定义任何user,group和other的权限。无论是在桌面电脑或者不会有很多用户的虚拟Linux实例,或者当用户不愿意分享他们之间的文件时,这样的工作是很棒的。然而,如果你是在一个大型组织,你运行了NFS或者Samba服务给不同的用户,然后你将会需要灵活的挑选并设置很多复杂的配置和权限去满足你的组织不同的需求。
Linux(和其他Unix等POSIX兼容的操作系统)有一种被称为访问控制列表(ACL)的权限控制方法,它是一种权限分配之外的普遍范式。例如,默认情况下你需要确认3个权限组:owner、group和other。而使用ACL,你可以增加权限给其他用户或组别,而不单只是简单的“other”或者是拥有者不存在的组别。
     1.开启acl的方式
        centos7 默认支持acl
        centos6及之前,操作系统安装时所创建的文件系统默认支持acl,而操作安装之后使用mkfs格式化的文件系统默认未开启acl,需要手工开启,方法如下:
        (1).tune2fs -o acl /dev/sda5
         (2).mount -o acl /dev/sda5 /app

        不用系统组,不要使某用户的多个组都设置不同的acl group 权限

   2.ACl权限判断顺序
         owner > acl user > group > other

    3.设置ACL
         setfacl -m u:liubei:rwx testdir

    4.使用文件设置acl
             (1).cat acl.txt
                   u:liubei:rwx
                   g:shuguo:---
                   g:weiguo:r-x
             (2).setfacl -M acl.txt testdir/  
       设置默认权限
         setfacl -Rm u:liubei:rwx testdir/    设置当前的权限
         setfacl -Rm d:u:liubei:rwx testdir/  设置未来文件的权限
      删除权限
         [root@centos6  app]# setfacl -x u:liubei testdir/
         [root@centos6 app]# setfacl -x u:guanyu testdir/
         [root@centos6 app]# setfacl -x g:weiguo testdir/

       删除所有权限,清空acl属性
         setfacl -b testdir

       批量删除acl权限
          1.cat aclrm.txt
                u:liubei
                g:shuguo
                g:weiguo
         2.setfacl -X acl.txt testdir/
      删除默认权限
          setf  acl -k testdir

     删除所有权限,清空acl结构
          setfacl -b testdir

     mask 权限的阀值 即权限上限
          setfacm -m m:rwx testdir
          或
          chmod g=rwx testdir
      acl 扩展属性  打包工具不支持存储


      实验:备份带有acl的文件至tar

     1.备份acl
       getfacl * > /root/acl.bak

     2.利用tar备份文件
       tar cvf file.tar *

     3.删除原文件,模拟文件损坏
       rm a b c d -f

     4.恢复文件
       tar xvf file.tar

     5.恢复acl
        setfacl --restore /root/acl.bak

转载于:https://www.cnblogs.com/f-h-j-11-7/p/9348145.html

linux目录权限和其子目录及文件的关系_linux父目录权限和子目录权限不一样
2401_83620690的博客
04-15 587
在设计和管理Linux系统架构时,理解这些权限模型是非常重要的,因为它们直接影响系统的安全性和数据的可访问性。我们应该仔细规划每个目录和文件的权限设置,以实现最佳的安全性和功能性。业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!然而,子目录或文件本身的权限也会起作用,可能会覆盖父目录的权限。总体来说,要访问一个子目录或其中的文件,通常需要拥有父目录的执行(
Linux 系统特殊权限-权限属性-权限掩码
mohuanfenghuang的博客
08-28 1123
suid 只适合使用在系统命令上,/usr/sbin 安全sgid 适用于目录 锁定属组 让用户创建的文件继承主目录的属组。t 适用于目录在属主本来应该是 x(执行)权限的位置出现了一个小写s,这是什么权限?我们把这种权限称作 SetUID 权限,也叫作 SUID 的特殊权限。这种权限有什么作用呢?或者说能干啥?
linux 取消上传文件存储目录执行脚本的权限防御WebShell攻击
qq117361093的专栏
08-17 3084
      大部分应用系统都有上传图片或文件的功能,攻击者利用这些功能上传一个网页木马,如果存放上传文件的目录有执行脚本的权限,那么攻击者就可以直接得到一个WebShell,进而控制Web服务器。这个漏洞有两个必要条件,一是可以上传木马,二是存放上传文件的目录具备执行脚本的权限。上传是业务的功能需要,即便有做各种安全过滤,限制木马上传,但也有各种绕过过滤的攻击方法,比较难以限制。所以漏洞的关键就...
linux — 目录中的权限问题
阿亮的博客
03-22 1001
目录中的权限问题 linux中权限是一个很重要的知识,今天我们一起来了解目录中的一些简单的权限问题: 现在开始,首先我将fiel1目录中的权限全部清除,现在这个目录没有可读可写可执行的权限。 现在开始验证,首先从超级用户开始: 我们可以看到,在超级用户下就算没有可读可写可执行的权限,但是依旧可以进入目录在目录中创建 文件。现在我们切回普通用户:
解决linux下的文件权限问题
weixin_52252847的博客
05-21 632
其中username为你自己的账号名,manifest.txt是你要修改权限的文件名。第三步:回车(点击Enter键),便将文件权限解锁了。注意:可能让你输入密码,输入自己的账号密码即可。第一步:在终端先进入到要修改权限的文件的目录下。第二步:终端输入代码如下。
LINUX中的chmod修改文件权限命令
qq_53830608的博客
08-08 2474
1) chmod a-r a.txt :去除掉所有人的写权限)+ :增加权限;//664:第一列6:w+r;3)同时修改:chmod u-w,g+x a.txt。2)改为可读可写:chmod u=rw a.txt。每个角色的数值由其所具有的权限对应数字之和构成。x:execute,执行权限,值1(001)图示:去除掉a内其他o的写权限r。r:read ,值4(100)w:write,值2(010)chmod nnn文件名 (n的范围:0-7)...
linux基础教程之特殊权限SUID、SGID和SBIT
09-15
这些特殊权限在特定情况下能赋予用户超出他们原本权限的能力,从而实现更精细的控制。 1. **SUID (Set User ID):** 当SUID权限被设置在文件的拥有者的执行(x)权限位置时,如`-rwsr-xr-x`,意味着该文件在执行时,...
【Linux系统管理】文件权限管理详解:权限模型、命令与特殊权限设置全攻略
08-01
此外,文章深入讲解了特殊权限(如SUID、SGID、Sticky Bit)的作用及应用场景,扩展属性管理(如chattr命令),以及ACL(访问控制列表)的使用方法。最后,简要提及了`sudo`命令在shell重定向中的注意事项。 适合...
linux系统权限管理文件特殊权限SetGID.ppt
07-20
文件特殊权限是Linux安全机制中的重要组成部分,主要包括SetUID、SetGID和Sticky BIT等。通过这些特殊权限设置,可以进一步增强系统的安全性和灵活性。本文将主要介绍SetGID特殊权限的相关知识点。 SetGID全称为...
Linux基础课件特殊权限设置SUID权限共10页.pdf
11-21
本篇课件聚焦于Linux中的特殊权限——SUID(Set-User-ID)权限,通过10页的内容深入解析这一关键概念。 SUID权限是Linux权限系统中的一个独特特性,允许用户临时获得执行文件所属者的权限。这种权限通常用于提供...
linux 去掉该文件夹下所有文件的可执行权限
qq_41418343的博客
03-26 2580
场景 有时可能误操作,导致将文件及子文件下的所有文件都设置了可执行模式,虽然没有什么影响,但是不好看,看着一片绿油油的。 处理方式 find /var/www/my_website -type f -exec chmod -x {} \;
linux下,运行程序删除文件的权限问题
howesao的专栏
08-02 785
在linux下,有时程序删除文件会提示 “Operation not permitted",但是可以读文件可以改文件内容。 这时,可能与setfacl、getfacl等命令有关,还有程序通知系统在删除文件时,程序必须有该文件所在的目录的rwx,但我的程序还不行,后来考虑到程序运行应该是nobody用户,需要用到other用户组的权限,所以执行sudo setfacl -d -m o::rwx aaa(目录),成功。 ...
linux修改可执行文件的权限
赵亚兰的博客
02-19 1万+
执行文件时显示权限不够: 修改权限: 文件由灰色变为绿色,然后可以执行
Linux禁用文件可执行权限
thomas.he
10-27 2709
Linux禁用文件可执行权限 命令 chmod -R a-x ./文件名 效果
Linux文件权限管理 之 读写执行权限
你要悄悄的拔尖,然后惊艳所有人
08-01 5229
经过了入门篇的介绍,相信小伙伴们都已经了解了Linux文件权限的基础相关知识了,下面就来了解一下读写执行权限。 在Linux系统中,对于文件和目录的权限无外乎三个——读、写、执行。 (一)对于文件: 权限 作用 操作 r 读取内容 cat、more、head、tail w 编辑、新增、修改文件内容 vi、echo x 可执行   ...
linux修改文件读写执行权限命令chmod的使用详解
热门推荐
“花花”公子_龙的博客
05-30 3万+
今天部署新项目在liunx上面,由于tomcat是在Windows上面直接解压好上传到liunx的原因。tomcat/bin目录下面的执行文件权限不够没发现;运行tomcat时报错就将这个问题好好研究了一下;执行./startup.sh后:看到错误提示是:权限被拒绝;然后查看了下bin目录下所有的文件权限比较之后-------------------------------------------...
linux给文件加可执行权限
weixin_30751947的博客
05-27 1万+
1、加最高权限 chmod 775 文件名 2、加可执行权限 chmod +x 文件名 转载于:https://www.cnblogs.com/kdx-2/p/9096899.html
Linux 删除文所需权限(详解)
向着高亮的地方
07-02 1万+
通常来说,删除文件需要你拥有所属所属文件夹的所有权限,等价于读r写w执行x。 下面来讲解一下过程: 首先是进入这个文件夹需要x权限,然后读取文件夹内容需要r权限,最后是删除文件,由于文件属于上级文件夹的一部分,所以需要对文件夹有w权限。这里有人可能会问:我不进入文件夹,直接采用rm /xxx/sss 的方式,这种方式是不是就只需要rw权限?答案是是不行的。因为删除过程还...
鸿蒙应用开发之自定义组件@Component全面解析:自定义组件生命周期
最新发布
YunWQ的博客
08-14 550
本文介绍了ArkUI中的自定义组件开发,包括其特点、基本结构、成员函数/变量定义及参数传递方式。自定义组件具有可组合、可重用和数据驱动UI更新的特性,通过@Component装饰器定义。文章详细说明了如何在组件中定义成员变量和函数,以及如何接收外部参数。最后简要提及了组件和页面的生命周期函数,包括aboutToAppear、onPageShow等关键回调,为开发者提供了构建可复用UI组件的基础知识。
特殊权限的修改
03-21
<think>好的,我现在要处理用户关于Linux特殊权限修改的问题。首先,我需要确认用户所说的“特殊权限”具体指的是什么。在Linux系统中,除了常见的读(r)、写(w)、执行(x)权限,还有三个特殊权限:setuid、setgid和sticky bit。用户可能想了解如何修改这些权限,或者了解它们的作用。 接下来,我得回忆一下这三个权限的具体功能和用法。setuid(SUID)允许用户以文件所有者的权限执行文件,比如passwd命令。setgid(SGID)对于目录来说,新创建的文件会继承目录的组;对于可执行文件,则以文件所属组的权限运行。Sticky bit(粘滞位)通常用于目录,如/tmp,确保只有文件所有者才能删除其中的文件。 然后,用户提到“修改”这些权限,所以我需要解释如何通过chmod命令来设置或取消这些权限。通常,特殊权限可以通过数字模式或符号模式来修改。比如,数字模式中,setuid是4,setgid是2,sticky bit是1,这些数字放在普通权限的前面,例如4755。符号模式则是使用u+s、g+s、o+t这样的形式。 可能需要举例说明,例如如何给文件添加setuid权限,使用chmod u+s filename,或者用数字模式chmod 4755 filename。同时,要提醒用户谨慎设置这些权限,特别是setuid和setgid,因为不当使用可能导致安全风险。 还需要注意,用户可能混淆了特殊权限和ACL(访问控制列表),但这里应该明确区分,特殊权限是基本的权限扩展。另外,检查是否有必要提到查看现有权限的方法,比如ls -l,显示时特殊权限会出现在执行位的位置,如rwsrw-r--表示setuid被设置。 最后,总结一下修改步骤,强调安全注意事项,并确保用户理解每个权限的作用,避免误操作。可能还需要提醒用户,某些系统或文件系统可能对特殊权限有限制,比如挂载时使用nosuid选项会忽略setuid和setgid。</think>在Linux系统中,除了基本的读(r)、写(w)、执行(x)权限外,还存在三种特殊权限:`setuid`、`setgid`和`sticky bit`。它们用于更精细地控制文件或目录的访问行为。以下是逐步说明: --- ### 一、特殊权限的作用 1. **setuid(SUID)** - **功能**:当用户执行具有SUID权限的文件时,会以文件所有者的身份运行。 - **典型应用**:例如`/usr/bin/passwd`,普通用户修改密码时需要临时获得root权限。 - **符号表示**:`s`(替换所有者执行位`x`) 2. **setgid(SGID)** - **对文件**:执行时以文件所属组的身份运行。 - **对目录**:在该目录下新建的文件会自动继承目录的所属组。 - **符号表示**:`s`(替换所属组执行位`x`) 3. **sticky bit(粘滞位)** - **功能**:仅允许文件所有者或root用户删除/重命名目录中的文件。 - **典型应用**:例如`/tmp`目录,所有用户可创建文件,但只能删除自己的文件。 - **符号表示**:`t`(替换其他用户执行位`x`) --- ### 二、修改特殊权限 #### 方法1:数字模式 通过4位数字组合设置权限: - 第1位:特殊权限(`4=SUID`, `2=SGID`, `1=sticky`) - 后3位:基本权限(如`755`) | 命令示例 | 说明 | |---------|------| | `chmod 4755 file` | 设置SUID,基本权限为755 | | `chmod 2770 dir` | 设置SGID,基本权限为770 | | `chmod 1777 dir` | 设置sticky bit,基本权限为777 | #### 方法2:符号模式 使用`+`或`-`操作符: - `u+s`:设置SUID - `g+s`:设置SGID - `o+t`:设置sticky bit | 命令示例 | 说明 | |---------|------| | `chmod u+s file` | 添加SUID | | `chmod g-s dir` | 移除SGID | | `chmod o+t dir` | 添加sticky bit | --- ### 三、查看特殊权限 使用`ls -l`查看权限列: - **SUID**:所有者执行位显示为`s`(如`-rwsr-xr-x`) - **SGID**:所属组执行位显示为`s`(如`drwxrwsr-x`) - **sticky bit**:其他用户执行位显示为`t`(如`drwxrwxrwt`) --- ### 四、注意事项 1. **SUID/SGID风险**:滥用可能导致提权漏洞,需严格限制可执行文件。 2. **目录权限**:SGID和sticky bit通常用于目录而非普通文件。 3. **文件系统限制**:某些挂载选项(如`nosuid`)会禁用SUID/SGID。 --- ### 示例操作 1. 为`/usr/local/bin/script.sh`添加SUID: ```bash chmod u+s /usr/local/bin/script.sh ``` 2. 为共享目录`/shared`设置SGID和sticky bit: ```bash chmod 3770 /shared # 等效于 chmod g+s,o+t /shared ``` 通过合理使用特殊权限,可以在保证安全性的前提下实现灵活的权限管理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值