サンバの権限は二つの側面で構成されています。まず、ディレクトリ自体へのアクセス権、および第二、サンバのアクセス権を設定します。最終的な権限は両方の最小交点として定義されます。
三つの権限:
- ファイルは、ファイルが作成されていることを示し、所有者を、持っています。
- これと同時に、ファイル番号とファイルは、ファイルの一般的なグループの所有者に属しているグループを表すグループが属します。
- それが実行され、実行可能ファイルであれば、通常はユーザーのファイルは、ファイルを呼び出すためのアクセス許可を持っています。
3「ビット」によって定義された許可フラグは以下のとおりです。
- setuidさ:実装フェーズでファイルの所有者の権限でファイルを設定します。平均的なユーザーがファイルを実行する場合は、ユーザーのパスワードを変更できるようにたとえば、/ usr / bin / passwdを、実装プロセスでは、ファイルは、root権限を取得することができます。
- setgidさ:この許可は、ディレクトリに対してのみ有効です。ディレクトリは、このビットに設定された後、このディレクトリ内の任意のユーザーが作成したファイルは、ディレクトリを持ち、グループは、同じグループに属しています。
- スティッキービット:このビットは、抗削除ビットとして解釈することができます。ユーザーが削除した場合、ファイルは、ファイルがユーザーに属しているグループが書き込み権限を持っているかどうかに応じて、することができます。あなたがいない書き込み許可を行う場合、これはない、ディレクトリ内のすべてのファイルを削除することができますが、新しいファイルを追加することはできません。あなたは、ユーザーがファイルを追加することができるようにしたいが、ファイルを削除できない場合は、ビットファイルのスティッキービットを使用することができます。このビットがセットされた後、ユーザーがディレクトリへの書き込みアクセス権を持っている場合でも、あなたは、ファイルを削除することはできません。
これは3つの権利が特徴
スティッキー(例:/ tmpディレクトリ)
①stickyはディレクトリのみに適用することができ、他の人に適用されます。
②所有者のみとルートファイルは、ファイルを削除します。
③小文字表現は、資本金は実行できませんでした、実装することができ
SUID(例:は/ usr / binに/ passwdのディレクトリ)
①suidはバイナリファイルに適用することができます
②ファイルが適用されたSUIDあるときは、そのための実行時のいずれかの人は、彼がファイルの所有者への一時的な権限を持っているでしょう
③suidは、ファイルの所有者に適用することができ
④小文字表現は、資本金は実行できませんでした、実装することができ
SGID(安全性を確保するために、開発者のグループのためのアプリケーションの共有リソース環境)
①sgidまた、ディレクトリに適用することができ、両方の文書で使用することができます
②ディレクトリのSGIDアプリケーションは、誰でもディレクトリに属するファイルとディレクトリのそのディレクトリの所有者でサウンドを確立した場合は、グループに属しています
③グループ内のアプリケーションを持っています
④sgid应用在文件上时,任何人在执行该文件时,临时拥有该文件所属组权限
⑤小写表示可执行,大写反之。
如何操作这些标志
操作这些标志与操作文件权限的命令是一样的, 都是 chmod。有两种方法来操作:
① chmod u+s temp -- 为temp文件加上setuid标志。 (setuid 只对文件有效)
chmod g+s tempdir -- 为tempdir目录加上setgid标志 (setgid 对目录和文件有效)
chmod o+t temp -- 为temp文件加上sticky标志 (sticky只对文件有效)
② 采用八进制方式。对一般文件通过三组八进制数字来置标志,如 666,777,644等。如果设置这些特殊标志,则在这组数字之外外加一组八进制数字,如4666,2777等。这一组八进制数字三位的意义如下,
abc
a - setuid位。如果该位为1,则表示设置setuid
b - setgid位。如果该位为1,则表示设置setgid
c - sticky位。如果该位为1,则表示设置sticky
我习惯用第一种方法来做,但许多时候文件的权限表示都是用数字为执行;所以,建议两种方法都要掌握熟悉。
设置完这些标志后, 可以用 ls -l 来查看。 如果有这些标志,则会在原来的执行标志位置上显示。 如
rwsrw-r-- 表示有setuid标志
rwxrwsrw- 表示有setgid标志
rwxrw-rwt 表示有sticky标志
那么原来的执行标志x到哪里去了呢?系统是这样规定的,如果本来在该位上有x,则这些特殊标志显示为小写字母 (s, s, t)。否则, 显示为大写字母 (S, S, T)
所以,可以得出
chmod 4777是设sid
chmod 2777是设置gid
chmod 1777是设sticky
最后,介绍两个常用操作。
常用操作
找出所有危险的目录(设置目录所有人可读写却没有设置sticky位的目录)
find / -perm -0007 -type d
找出所有设置了suid的文件
find / -perm -4000 -type f