Autoridad SUID (comando)
-rw s r-xr-x, esto es SUID
Cuando un archivo con permiso de ejecución se configura con permiso SUID, el usuario se ejecutará como el propietario del archivo al ejecutar el comando para operar el archivo
Caracteristicas:
只有可以执行的二进制程序才能设定SUID权限
命令执行者要对该程序拥有x(执行)权限,在x的基础上才可以有s
命令执行者在执行该程序时获得该程序文件属主的身份(在执行程序的过程中灵魂附体为文件的属主)
La autorización SUID solo es válida durante la ejecución del programa, lo que significa que el cambio de identidad solo es válido durante la ejecución del programa (con un pasamontañas, disfraz)
Ejemplos:
[root@xxx /]# :ll /etc/passwd
-rw-r--r--. 1 root root 1727 Apr 21 22:59 /etc/passwd
You have new mail in /var/spool/mail/root
[root@xxx /]# :ll /etc/shadow
----------. 1 root root 1594 Apr 21 23:02 /etc/shadow
[root@xxx /]# :ll /usr/bin/passwd
-rwsr-xr-x. 1 root root 27832 Jun 10 2014 /usr/bin/passwd
Cuando un usuario ordinario ejecuta un comando con autoridad SUID, el ejecutor del comando será cambiado temporalmente al propietario del comando, entonces nuestro usuario ordinario puede cambiar la contraseña. Los usuarios normales no pueden cambiar la contraseña
普通用户带上假发,伪装成root,操作命令
Permisos SGID (archivos y directorios)
-rwx– s –x
Cuando un usuario común crea un nuevo archivo en un directorio con autorización SGID, el grupo efectivo del usuario cambiará temporalmente al grupo al que pertenece el directorio, y se creará un nuevo archivo en esta capacidad.
- Para archivos
Caracteristicas:
命令执行者要对该程序拥有x(执行)权限
命令执行在执行程序的时候,组身份升级为该程序文件的属组
SGID权限同样只在该程序执行过程中有效,也就是说组身份改变只在程序执行过程中有效
Ejemplos:
[root@xxx /0202]# ll /var/lib/mlocate/mlocate.db
-rw-r----- 1 root slocate 832486 11月 19 12:38 /var/lib/mlocate/mlocate.db
[root@xxx /0202]# ll /usr/bin/locate
-rwx--s--x. 1 root slocate 40520 4月 11 2018 /usr/bin/locate
Podemos ver que nuestro archivo mlocate.db pertenece al grupo de localización, el comando de localización también es el grupo de localización y tiene permisos especiales de SGID; los usuarios comunes tomarán prestado el grupo de localización cuando usen el comando de localización para convertirse en miembros del grupo de localización para realizar operaciones mlocate.db Archivo
- Para directorios
Caracteristicas:
普通用户必须对此目录拥有r和x权限,才能进入此目录
普通用户在此目录中的有效组会变成此目录的属组
普通用户对此目录拥有w权限时,新建的文件的默认属组是这个目录的属组
Ejemplos:
[root@xxx /0202]# :setfacl -m u:laow:rwx /0202
-rw-------. 1 root root 7 Mar 30 10:02 rsync.passwd
切换用户
[laow@xxx /0202]$ :mkdir 2
[laow@xxx /0202]$ :ll
total 4
drwxr-xr-x. 2 laow old 6 Apr 22 07:02 2
/
[root@xxx /0202]# :chmod g+s /0202
切换用户
[laow@xxx /0202]$ :mkdir 3
[laow@xxx /0202]$ :ll
total 4
drwxr-sr-x. 2 laow root 6 Apr 22 07:06 3
Cuando no hay permiso SGID, los permisos grupales de los subdirectorios creados por nuestros usuarios ordinarios son los permisos efectivos de los usuarios ordinarios. Después de tener los permisos SGID, se crean los subdirectorios. Los usuarios ordinarios tomarán prestado el grupo efectivo del directorio superior y usarán esta identidad para crear subdirectorios. Directorio, por lo que el grupo al que pertenece el subdirectorio es el grupo efectivo del directorio padre
Comprensión personal del grupo inicial, grupo efectivo, grupo adicional:
Al crear un nuevo usuario (laow), sin especificar un grupo, el grupo inicial y el grupo efectivo del usuario se crean de forma predeterminada un grupo con el mismo nombre de usuario (laow).
Al crear un nuevo usuario (laow), se especifica el grupo (antiguo), luego el grupo inicial y el grupo efectivo del usuario son antiguos, y old también es un grupo adicional de laow.
Un usuario puede pertenecer a múltiples grupos adicionales al mismo tiempo, y un grupo adicional también puede tener múltiples usuarios.
El grupo predeterminado es el grupo efectivo y el predeterminado es el grupo inicial.
