权限管理二

不问归期 提交于 2019-12-06 08:00:39

一、文件特殊权限 SetUID、SetGID、Sticky BIT

SetUID
1、SetUID 是什么

SetUID 的功能可以这样理解:

  • 只有可以执行的二进制程序才能设定 SETUID 权限
  • 命令执行者要对该程序拥有 x(执行)权限
  • 命令执行者在执行该程序时获得该程序文件属主的身份(在执行程序的过程短暂成为为文件的属主)

SetUID 权限只在该程序执行过程中有效,也就是说身份改变只在程序执行过程中有效

2、setuid举例
passwd命令的执行位置权限是 s 代表passwd这个文件具有 setuid 权限。
[root@love2 ~]# ll /usr/bin/passwd 
-rwsr-xr-x. 1 root root 27832 Jun 10  2014 /usr/bin/passwd

当一个具有执行权限的文件设置 SetUID 权限后,用户执行这个文件时将以文件所有者的身份执行。/usr/bin/passwd命令具有 SetUID 权限,所有者为 root (Linux 中的命令默认所有者都是 root) , 也就是说当普通用户使用 passwd 更改自己密码的时候,一瞬间灵魂附体,实际是在用 passwd 命令所有者 root 的身份在执行 passwd 命令,命令执行完成 后该身份也随之消失。如果取消 SetUID 权限,则普通用户就不能修改自己的密码了。
测试

删除s权限
[root@love2 ~]# chmod u-s /usr/bin/passwd 
[root@love2 ~]# su - love2 
passwd: Authentication token manipulation error
love2用户修改密码报错。
3、检测setuid

因为setuid权限比较危险,所以我们需要检查计算机内的可执行文件,看是否有一些可以文件被赋予setuid权限。
脚本参考于他人。可提前搜索系统中所有拥有 SUID 和 SGID 的文件作为模板文件。我的模板文件为/root/setuid.check

find / -perm -4000 -o -perm -2000 > /tmp/setuid.check
#搜索系统中所有拥有 SUID 和 SGID 的文件,并保存到临时目录中。 
for i in $(cat /tmp/setuid.check)  
#做循环,每次循环取出临时文件中的文件名 
        do
        grep $i /root/setuid.check > /dev/null  
        #比对这个文件名是否在模板文件中                 
        if [ "$?" != "0" ]     # 如果不在,则将文件添加到日志文件中                
                then                        echo "$i isn't in listfile! " >> /root/suid_log_$(date +%F)  # 如果不在,则将文件添加到日志文件中           
        fi
done 
rm -rf /tmp/setuid.check # 删除临时文件 
SetGID
1、针对文件的作用

SGID 即可以针对文件生效,也可以针对目录生效,这和 SUID 明显不同。如果针对文件,SGID 的 含义如下:

  • 只有可执行的二进制程序才能设置 SGID 权限
  • 命令执行者要对该程序拥有 x(执行)权限
  • 命令执行在执行程序的时候,组身份升级为该程序文件的属组
  • SetGID 权限同样只在该程序执行过程中有效,也就是说组身份改变只在程序执行过程中有效
[root@love2 ~]# ll /var/lib/mlocate/mlocate.db
-rw-r----- 1 root slocate 4252817 Dec  2 03:34 /var/lib/mlocate/mlocate.db
大家发现属主权限是 r、w,属组权限是 r,但是其他人权限是 0: 
[root@love2 ~]# ll /usr/bin/locate
-rwx--s--x. 1 root slocate 40520 Apr 11  2018 /usr/bin/locate
当普通用户 love2 执行 locate 命令时,会发生如下事情:
/usr/bin/locate 是可执行二进制程序,可以赋予 SGID
用户 love2 执行/usr/bin/locate 命令时,组身份会升级为 slocate 组,而 slocate 组对 /var/lib/mlocate/mlocate.db 数据库拥有 r 权限,所以普通用户可以使用 locate 命令查询 mlocate.db 数据库 
命令结束,love2 用户的组身份返回为 love2 组
2、针对目录的作用(作用不大)

如果 SGID 针对目录设置,含义如下:

  • 普通用户必须对此目录拥有 r 和 x 权限,才能进入此目录
  • 普通用户在此目录中的有效组会变成此目录的属组
  • 若普通用户对此目录拥有 w 权限时,新建的文件的默认属组是这个目录的属组。
3、文件特殊权限之 Sticky BIT

Sticky BIT 粘着位,也简称为 SBIT。SBIT 目前仅针对目录有效,它的作用如下:

  • 粘着位目前只对目录有效
  • 普通用户对该目录拥有 w 和 x 权限,即普通用户可以在此目录拥有写入权限
  • 如果没有粘着位,因为普通用户拥有 w 权限,所以可以删除此目录下所有文件,包括其他用户建立的文件。一但赋予了粘着位,除了 root 可以删除所有文件,普通用户就算拥有 w 权 限,也只能删除自己建立的文件,但是不能删除其他用户建立的文件。
4、设定文件特殊权限

特殊权限这样来表示:

  • 4 代表 SUID
  • 2 代表 SGID
  • 1 代表 SBIT
[root@love2 ~]# chmod 4755 ftest  # 赋予 SUID 权限 
[root@love2 ~]# chmod 2755 ftest  # 赋予 SGID 权限 
[root@love2 ~]# mkdir dtest 
[root@love2 ~]# chmod 1755 dtest/ #SBIT 只对目录有效,所以建立测试目录,并赋予 SBIT  

二、文件系统属性 chattr 权限

1、命令格式
[root@love2 ~]# chattr [+-=] [选项] 文件或目录名 
选项:  
+: 增加权限  
-: 删除权限  
=: 等于某权限 
i: 如果对文件设置 i 属性,那么不允许对文件进行删除、改名,也不能添加和修改数 据;如果对目录设置 i 属性,那么只能修改目录下文件的数据,但不允许建立和删  除文件。   
a: 如果对文件设置 a 属性,那么只能在文件中增加数据,但是不能删除也不能修改数据;如果对目录设置 a 属性,那么只允许在目录中建立和修改文件,但是不允许删  除 
e: Linux 中绝大多数的文件都默认拥有 e 属性。表示该文件是使用 ext 文件系统进行存储的,而且不能使用“chattr -e”命令取消 e 属性。 
2、查看文件系统属性

lsattr

[root@love2 ~]# lsattr 选项 文件名 
选项:  
-a  显示所有文件和目录  
-d 若目标是目录,仅列出目录本身的属性,而不是子文件的

一般都是显示 e 权限
[root@love2 ~]# lsattr .bashrc 
-------------e-- .bashrc
易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!