SUID权限(命令)
-rwsr-xr-x,这个s就是SUID
当一个具有执行权限的文件设置SUID权限后,用户执行命令操作这个文件时将以文件所有者的身份执行
特点:
只有可以执行的二进制程序才能设定SUID权限
命令执行者要对该程序拥有x(执行)权限,在x的基础上才可以有s
命令执行者在执行该程序时获得该程序文件属主的身份(在执行程序的过程中灵魂附体为文件的属主)
SUID权限只在该程序执行过程中有效,也就是说身份改变只在程序执行过程中有效(带个头套,伪装)
示例:
[root@xxx /]# :ll /etc/passwd
-rw-r--r--. 1 root root 1727 Apr 21 22:59 /etc/passwd
You have new mail in /var/spool/mail/root
[root@xxx /]# :ll /etc/shadow
----------. 1 root root 1594 Apr 21 23:02 /etc/shadow
[root@xxx /]# :ll /usr/bin/passwd
-rwsr-xr-x. 1 root root 27832 Jun 10 2014 /usr/bin/passwd
当普通用户在执行具有SUID权限的命令时,该命令的执行者会临时变更为命令的所有者,那么我们普通用户就可以进行修改密码,如果取消了/usr/bin/passwd的SUID权限,则普通用户无法修改密码
普通用户带上假发,伪装成root,操作命令
SGID权限(文件和目录)
-rwx–s–x
当普通用户在具有SGID权限的目录下创建新文件时,该用户的有效组会临时变更为目录的所属组,以此身份创建新文件
- 针对于文件
特点:
命令执行者要对该程序拥有x(执行)权限
命令执行在执行程序的时候,组身份升级为该程序文件的属组
SGID权限同样只在该程序执行过程中有效,也就是说组身份改变只在程序执行过程中有效
例子:
[root@xxx /0202]# ll /var/lib/mlocate/mlocate.db
-rw-r----- 1 root slocate 832486 11月 19 12:38 /var/lib/mlocate/mlocate.db
[root@xxx /0202]# ll /usr/bin/locate
-rwx--s--x. 1 root slocate 40520 4月 11 2018 /usr/bin/locate
我们可以看到我们mlocate.db 文件是属于slocate组的,locate命令也是slocate组的,同时拥有SGID特殊权限;普通用户在使用locate命令时会借用slocate组,成为slocate组成员来执行操作mlocate.db 文件
- 针对于目录
特点:
普通用户必须对此目录拥有r和x权限,才能进入此目录
普通用户在此目录中的有效组会变成此目录的属组
普通用户对此目录拥有w权限时,新建的文件的默认属组是这个目录的属组
示例:
[root@xxx /0202]# :setfacl -m u:laow:rwx /0202
-rw-------. 1 root root 7 Mar 30 10:02 rsync.passwd
切换用户
[laow@xxx /0202]$ :mkdir 2
[laow@xxx /0202]$ :ll
total 4
drwxr-xr-x. 2 laow old 6 Apr 22 07:02 2
/
[root@xxx /0202]# :chmod g+s /0202
切换用户
[laow@xxx /0202]$ :mkdir 3
[laow@xxx /0202]$ :ll
total 4
drwxr-sr-x. 2 laow root 6 Apr 22 07:06 3
在没有SGID权限时,我们普通用户创建的子目录的组权限是普通用户的有效权限,在拥有了SGID权限后,创建子目录,普通用户会借用上级目录的有效组,用此身份来创建子目录,所以该子目录的所属组就是上级目录的有效组
个人对初始组,有效组,附加组的理解:
在创建新用户(laow)时,不指定群组,那么该用户的初始组和有效组都是默认创建了一个同用户名(laow)的群组。
在创建新用户(laow)时,指定了(old)群组,那么该用户的初始组和有效组都是old,同时old也是laow的附加组。
一个用户可以同时属于多个附加组,一个附加组也可以拥有多个用户。
所属组默认是有效组也默认是初始组。
