首页 > 系统相关 >Linux的3种特殊权限场景实战:SUID、SGID、SBIT

Linux的3种特殊权限场景实战:SUID、SGID、SBIT

时间:2023-04-10 22:58:23浏览次数:59  
标签:workhost SUID Linux SBIT shared webapp 权限 root 目录

3种特殊权限

在Linux系统中,有3种特殊权限,它们分别是Setuid(SUID)、Setgid(SGID) 和 Sticky Bit。

  1. Setuid权限:通过Setuid权限,普通用户可以在执行某些特定程序时,拥有与程序所有者相同的权限。也就是说,该程序在执行时,会自动获取其所有者的权限,而不是执行者的权限。这通常用于一些需要root权限才能执行的程序。
  2. Setgid权限:通过Setgid权限,执行者可以在执行某个程序时,获得该程序所属组的权限,而不是执行者所在的组的权限。通常,Setgid权限用于一些需要共享访问权限的目录,比如一个共享的工作目录。
  3. Sticky Bit权限:Sticky Bit权限通常用于某些共享的目录,它可以防止普通用户删除其他用户创建的文件。也就是说,一旦一个目录被设置了Sticky Bit权限,只有该目录的所有者和root用户才能删除该目录中的文件。这样可以避免其他用户意外删除其他用户创建的文件,保证了文件的安全性和完整性。

场景实战

  1. 假设有这样一个二进制程序/usr/bin/passctl,这个程序只能被root用户执行,而我们希望普通用户也能执行该程序,但是又不想将该程序赋予root用户以外的用户特权。这时,我们可以使用Setuid权限来实现该目的。
# 将该程序的所有者设置为root用户,并将该程序的权限设置为可执行,但不允许其他用户执行该程序
chown root /usr/bin/passctl
chmod 700 /usr/bin/passctl

# 设置Setuid权限,以便普通用户执行该程序时可以获得与root用户相同的权限
chmod u+s /usr/bin/passctl

这时候,该程序将以root用户的身份运行,并获得与root用户相同的权限了。比如有一个普通用户tantianran,那么该用户就可以像下面这样运行该程序啦!

/usr/bin/passctl

注意,在实际工作中设置Setuid权限时,需要确保所设置的程序是安全的,避免潜安全风险。

  1. 假设有一个团队正在开发一个 Web 应用程序,并且他们都是在同一个 Linux 服务器上工作。为了便于团队成员之间共享文件和目录,创建了一个名为 "webapp" 的共享目录。此外,还希望确保任何新文件或目录在创建时都具有与父目录相同的权限。为了实现这个场景,可以使用 Setgid 权限来配置 "webapp" 目录。
# 创建演示的目录和用户、组
[root@workhost ~]# mkdir -p /data/tmpdir/webapp
[root@workhost ~]# chmod 775 /data/tmpdir/webapp/
[root@workhost ~]# groupadd webappgroup
[root@workhost ~]# useradd webappdev

# 将 "webapp" 目录的所有者设置为 Web 应用程序的主要开发者,并将其所属组设置为 "webappgroup"。
[root@workhost ~]# chown webappdev:webappgroup /data/tmpdir/webapp

# 设置 "webapp" 目录的 Setgid 权限,这将导致任何新创建的文件或目录都将继承 "webapp" 目录的组权限。
[root@workhost ~]# chmod g+s /data/tmpdir/webapp

# 查看
[root@workhost ~]# ls -ld /data/tmpdir/webapp/
drwxrwsr-x 2 webappdev webappgroup 21 Apr 10 20:58 /data/tmpdir/webapp/
[root@workhost ~]# 

如果权限中有小写字母s,则表示 Setgid 权限已经被设置

现在,团队成员可以在 "webapp" 目录中创建新文件和目录,并确保这些文件和目录都具有与 "webapp" 目录相同的组权限。例如,如果开发者tantianran在 "webapp" 目录中创建了一个名为 "main.go" 的文件。

[root@workhost ~]# usermod -g webappgroup tantianran
[root@workhost ~]# id tantianran
uid=1000(tantianran) gid=1001(webappgroup) groups=1001(webappgroup),1000(tantianran)
[root@workhost ~]# 
[root@workhost ~]# su - tantianran
Last login: Mon Apr 10 20:55:24 CST 2023 on pts/0
[tantianran@workhost ~]$ cd /data/tmpdir/webapp/
[tantianran@workhost webapp]$ touch main.go

# 该文件的权限将如下所示:
[tantianran@workhost webapp]$ ls -l
total 0
-rw-r--r-- 1 tantianran webappgroup 0 Apr 10 20:58 main.go
[tantianran@workhost webapp]$ 

注意到该文件的所属组为 "webappgroup",这是因为 "webapp" 目录设置了 Setgid 权限,导致该文件继承了组权限。此外,团队内其他成员也可以访问该文件,因为 "webapp" 目录的组权限允许组中的任何成员访问它。

  1. 假设我们有一个名为“shared_directory”的公共目录,用于存放团队成员之间共享的文件。我们希望所有团队成员都可以向该目录上传文件,但只有文件所有者和超级用户才能删除文件。
# 创建一个共享目录“shared_directory”
[root@workhost ~]# mkdir /data/tmpdir/shared_directory

# 设置Sticky Bit权限
[root@workhost ~]# chmod +t /data/tmpdir/shared_directory
[root@workhost ~]# ls -ld /data/tmpdir/shared_directory/
drwxr-xr-t 2 root root 6 Apr 10 21:09 /data/tmpdir/shared_directory/
[root@workhost ~]# 

# 创建两个测试用户账号“user1”和“user2”,并将它们添加到同一用户组
[root@workhost ~]# useradd user1
[root@workhost ~]# useradd user2
[root@workhost ~]# groupadd shared_group
[root@workhost ~]# usermod -aG shared_group user1
[root@workhost ~]# usermod -aG shared_group user2
[root@workhost ~]# 

# 将共享目录“shared_directory”的所有权更改为“root”用户和“shared_group”用户组
[root@workhost ~]# chown root:shared_group /data/tmpdir/shared_directory/

# 将目录权限更改为“rwxrwxrwt”,这将允许所有团队成员上传文件到目录中,但只有文件所有者和超级用户可以删除文件:
[root@workhost ~]# chmod 1777 /data/tmpdir/shared_directory/
[root@workhost ~]# ls -ld /data/tmpdir/shared_directory/
drwxrwxrwt 2 root shared_group 6 Apr 10 21:17 /data/tmpdir/shared_directory/
[root@workhost ~]# 

# 测试
[root@workhost shared_directory]# sudo -u user2 touch test.go
[root@workhost shared_directory]# ls -l
total 0
-rw-r--r-- 1 user2 user2 0 Apr 10 21:21 test.go
[root@workhost shared_directory]# sudo -u user1 rm -f test.go 
rm: cannot remove ‘test.go’: Operation not permitted # 会收到一个错误消息,提示没有权限删除该文件:
[root@workhost shared_directory]# touch main.go
[root@workhost shared_directory]# sudo -u user1 rm -f main.go 
rm: cannot remove ‘main.go’: Operation not permitted
[root@workhost shared_directory]# sudo -u user1 touch conf.json
[root@workhost shared_directory]# sudo -u user2 rm -f conf.json 
rm: cannot remove ‘conf.json’: Operation not permitted
[root@workhost shared_directory]# 

这个场景实战演示了如何使用Sticky Bit权限来控制公共目录的删除操作,以确保只有目录所有者和超级用户可以删除其他用户的文件。

最后的总结

  • SUID权限(Set User ID on execution):当一个可执行文件被设置了SUID权限时,当任何用户执行该文件时,该文件将以文件所有者的权限来运行,而不是执行者的权限。SUID权限通常用于那些需要执行特定操作,而这些操作只能由具有特定权限的用户或组来执行的程序,例如passwd命令。这可以帮助管理员在系统中实现更严格的访问控制。
  • SGID权限(Set Group ID on execution):当一个可执行文件被设置了SGID权限时,当任何用户执行该文件时,该文件将以文件所属组的权限来运行,而不是执行者的权限。与SUID权限类似,SGID权限通常用于那些需要特定组的权限才能运行的程序。例如,在一个共享文件夹中,如果一个目录设置了SGID权限,则新创建的文件将继承目录的组权限,而不是创建者的组权限,这可以确保在组共享文件夹中的文件访问控制。
  • sticky bit权限:当一个目录被设置了sticky bit权限时,只有目录的所有者、root用户和文件的所有者才能删除目录中的文件。这种权限通常被用于公共目录,以防止其他用户意外删除或修改其他人上传的文件。当一个用户上传一个文件到该目录时,他或她只能修改或删除自己上传的文件,而不能修改或删除其他人的文件。

总而言之,言而总之,这些特殊权限可以帮助管理员更好地控制对文件和目录的访问,并确保系统的安全性和稳定性。

本文转载于WX公众号:不背锅运维(喜欢的盆友关注我们):https://mp.weixin.qq.com/s/zSWP-fr238SqmS-mkEQzFA

标签:workhost,SUID,Linux,SBIT,shared,webapp,权限,root,目录
From: https://www.cnblogs.com/ttropsstack/p/17304626.html

相关文章

  • LINUX 下如何判断服务器是虚拟机,还是物理机
    要检查服务器是物理服务器还是虚拟服务器,最简单的检查方法是使用dmidecode命令。下面推荐几种常用操作。方法一#如果是物理系统,则应该看到制造商的名称,例如Dell,Lenovo等。[root@laocalhost~]#sudodmidecode-ssystem-manufacturerDellInc.#如果是虚拟系统,则应该看到类......
  • 第三十九章 Linux基础常见报错及解决
    一、登录centos提示abrt-clistatustimedout1.引言最近登录linux系统,登录的时候非常慢,而且有时候还连不上,提示abrt-clistatustimedout,Linux系统版本使用centos7.8.2.症状1、ssh连接经常失败。2、登录的时候非常卡。3、登录成功后,会出现一个提示“abrt-clistatustim......
  • linux常用指令小结
    linux查看文件的指令 `cat``tac``sed``head``tail``less``nl`tac:cat的反向指令,从最后一行倒序显示全部内容head只显示头几行tail;只显示最后几行tail-f可以实时显示Log文件的更新nl:类似于cat-n,显示时输出行号//catseven@seven-virtual-machine:~/test$ca......
  • linux系统下vscode的命令
    linux系统下vscode的命令选择“Terminal”--“NewTerminal",进入命令窗口1.文件夹跳转(1)进入共享文件夹:cdmnt/hgfs/共享文件夹/自定义文件夹/项目文件夹/例如:cd/mnt/hgfs/ljh/hello/hello/(2)进入系统主目录:cd/home/noi/(3)返回上一级目录:cd..(4)返回主目录:cd~2.查......
  • LINUX初步笔记
    Linux初步有关文件的操作法~主目录.当前目录..上个目录EG如果在~下的B文件夹中有A,则在B中./A就是~/B/A则../B=.(上个文件的B文件夹就是本文件夹)操作0.运行(exe)可执行文件:直接打文件名1.ls:看(当前)文件夹有的文件ls--help看所有参数2.cd+(文件夹s):进入s目录,可以跳......
  • Linux学习——shell
    Linuxshell语法转义字符\:\后面的一个字符按照其字面意思解释“”:双引号中的内容除$、`、“之外的任何字符的字面解释‘’:单引号中除'以外的任何字符按其字面解释shell变量环境变量:标准变量,通常由管理员定义,用来保存系统必需内容局部变量:由用户定义和控制export......
  • Linux中zip解压大压缩包失败
    Linux中zip解压大压缩包失败一、背景在linux中,使用unzip解压几个超过4G的文件,可能会报错。 二、原因部分版本的zip,不支持4G以上的压缩包,需要么升级到最新版本的unzip 三、解决安装p7zip,来解压zip包下载地址:http://sourceforge.net/projects/p7zip/files/p7zip/tar-......
  • ChatGPT垂直行业私有数据知识库向量数据库-Linux Ubuntu下安装docker-并且安装运行qdr
    现在基于GPT相应实现自建本地知识库,必不可少的就是向量数据库,现在介绍下qdrant向量数据库的安装。因为qdrant向量数据库只支持docker部署,所以在服务器上安装一下docker,下面是在ubutnu下安装dockeraptupdateaptinstallapt-transport-httpsca-certificatescurlgnupglsb-r......
  • 常用命令linux下vi编辑器命令大全
    文本编辑器是所有计算机系统中最常用的一种工具。UNIX下的编辑器有ex,sed和vi等,其中,使用最为广泛的是vi,而vi命令繁多,论坛里好像这方面的总结不多,以下稍做总结,以资共享!渴望更正和补充!进入vi的命令vifilename:打开或新建文件,并将光标置于第一行首vi......
  • linux通过telnet进行远程登录的方法如下
    通过telnet进行远程登录的方法如下:1.安装telnet,telnet-server,xinetd 检测是否安装telnetrpm-qa|greptelnet检测是否安装xinetdrpm-qa|grepxinetd 下载telnet,telnet-server,xinetd执行如下命令:yum-yinstall telnet telnet-serverxinetd 重启xinetd服务......