理解unixlinux下的三种特殊权限 setuid.docVIP

理解Unix\Linux下的三种特殊权限 setuid,setgid和sticky 前言:在 Linux\Unix 中，文件除了读、写、执行权限外，还有一些特殊权限。Setuid、setgid 和 sTicky 是其中的一类。它与 Linux\Unix 系统的安全关系紧密。 下面我们来看一下这三种权限在系统当中到底起到一个什么样的角色以及其用法. ;RN?中国网6 一、SetuidzJ Setuid 是指设置文件的使用者在执行文件时，使用者身份(uid)为该文件的拥有者身份(uid)，而不是使用者身份(uid)。Setgid 与之类似。Setuid 和 setgid 用 1s -l 显示出来为 s 权限，存在于拥有者和属组的执行权限的位置上。s 权限的设置方法： $ chmod 4xxx filename #只设 setuid，xxx为一般读、写、执行权限。$ chmod 2xxx filename #只设 setgid。$ chmod 6xxx filename #同时设 setuid 和 setgid。$ chmod 0xxx filename #取消两种权限。? 权限的使用：假如某一文件的拥有者是 root 用户，并且该文件有 setuid 属性、文件的读、写、执行权限的属性允许普通用户 user1 可以执行该文件。那么当 user1 执行该文件时，user1 具有 root 的执行身份，并获得相应的权限。执行完成后，root 身份也随之消失。为什么系统中需要有这样的权限呢？请执行以下操作： $ 1s -l/etc/shadow /usr/bin/passwd #查看文件权限。-r-s--x--x 1 root root 15104 Mar 14 ?2002 /usr/bin/passwd g-r-------- 1 root root ? 877 Aug ?9 10:45 /etc/shadow /etc/shadow 文件由于存有用户的加密口令信息，因此只有 root 才能对 /etc/shadow 可读可写。但是系统必须允许普通用户也能修改自己的口令。要让普通用户对 /etc/shadow 可写不可读，而且可写又不能允许改别人的口令——系统采取 /usr/bin/passwd。通过 /usr/bin/passwd 可以在不显示文件内容的情况下直接修改 /etc/shadow 文件。/usr/bin/passwd 有 setuid 权限，而且拥有者是 root。所以，普通用户在使用 /usr/bin/passwd 改口令时就有 root 权限，由于 /usr/bin/passwd 命令本身功能的局限性，普通用户并不能用 /usr/bin/passwd 做更多的不利于系统安全的事。$ passwd #用普通用户身份修改口令。Changing password for user vpidcChanging password for vpidc} (current) UNIX password: New password:B;@eRetype new password:VI{HF:wpasswd: all authentication tokens updated successfully. # chmod 0511 /bin/passwd #用超级用户修改 /usr/bin/passwd 的权限。$ passwd #再用普通用户身份修改口令，失败。Changing password for user vpidcopasswd: Authentication token manipulation error # chmod 4511 /usr/bin/passwd #把 /usr/bin/passwd 的权限恢复原状。?中国网络工程师技术论坛 -- 中国网络工程师技术论坛　　WlD,s 注意：这些特殊权限如果设置不当，会令 Linux\Unix 不安全。? $ vi /etc/shadow /etc/shadow: Permission denied. # chmod 6555 /bin/vi #修改 /bin/vi 的权限。$ vi /etc/shadow #成功打开 /etc/shadow。# find / -perm -4000 -print /root/secrcheck #记录有特殊权限的文件方便以后比较。I?中国网络工程师技术论坛 -- 中国网络工程师技术论坛　　8kw二、SetgidxSetgid 以同样的方式工作。它允许程序继承程序的组所有权，而不是当前用户的程序所有权。y(|[8Wrw如果设置了目录的 Setgid，在目录内