5、setuid和setgid 位;
本部份内容做为了解,看看就行了;
5.1 setuid和setgid的解说 ;
setuid 和setgid位是让普通用户可以以root用户的角色运行只有root帐号才能运行的程序或命令。比如我们用普通用户运行passwd命令来更改自己的口令,实际上最终更改的是/etc/passwd文件。我们知道/etc/passwd文件是用户管理的配置文件,只有root权限的用户才能更改。
[root@localhost ~]# ls -l /etc/passwd
-rw-r--r-- 1 root root 2379 04-21 13:18 /etc/passwd
作为普通用户如果修改自己的口令通过修改/etc/passwd肯定是不可完成的任务,但是不是可以通过一个命令来修改呢。答案是肯定的,作为普通用户可以通过passwd 来修改自己的口令。这归功于passwd命令的权限。我们来看一下;
[root@localhost ~]# ls -l /usr/bin/passwd
-r-s--x--x 1 root root 21944 02-12 16:15 /usr/bin/passwd
因为/usr/bin/passwd 文件已经设置了setuid 权限位(也就是r-s--x--x中的s),所以普通用户能临时变成root,间接的修改/etc/passwd,以达到修改自己口令的权限。
我们知道Linux的用户管理是极为严格的,不同的用户拥有不同的权限,为了完成只有root用户才能完成的工作,我们必须为普通用户提升权限,最常用的方法就是su或sudo。虽然setuid 和setgid也是让普通用户超越自身拥有的普通权限达到root权限的方法,但我不推荐大家使用,因为它能为系统带来安全隐患!!
注意:setuid和setgid会面临风险,所以尽可能的少用,了解了解既可~~~
5.2 setuid和setgid的实例应用;
我们想让一个普通用户beinan拥有root用户拥有超级rm删除权限,我们除了用su或sudo 临时切换到 root身份操作以外,还能怎么做呢???
[root@localhost ~]#cd /home 注:进入/home目录
[root@localhost home]# touch beinantest.txt 注:创建一个测试文件;
[root@localhost home]# ls -l beinantest.txt 注:查看文件属性;
-rw-r--r-- 1 root root 0 04-24 18:03 beinantest.txt 注:文件的属性;
[root@localhost home]# su beinan 注:切换到普通用户 beinan
[beinan@localhost home]$ rm -rf beinantest.txt 注:以普通用户身份来删除beinantest.txt文件;
rm: 无法删除 “beinantest.txt”: 权限不够
那我们怎么才能让beinan 这个普通用户也拥有root超级的rm 删除功力呢?
[root@localhost ~]# ls -l /bin/rm
-rwxr-xr-x 1 root root 93876 02-11 14:43 /bin/rm
[root@localhost ~]# chmod 4755 /bin/rm 注:设置rm的权限为4755 , 就把setuid 位设置好了。
[root@localhost ~]# ls -l /bin/rm
-rwsr-xr-x 1 root root 43980 02-11 14:43 /bin/rm
[root@localhost ~]# cd /home/
[root@localhost home]# su beinan 注:切换到beinan用户身份;
[root@localhost home]$ ls -l beinantest.txt 注:查看文件属性;
-rw-r--r-- 1 root root 0 04-24 18:03 beinantest.txt 注:文件的属性;
[beinan@localhost home]$ rm -rf beinantest.txt 注:删除beinantest.txt文件;
我们只是设置了rm的setuid位,让普通用户在rm指令上有超级root的删除超级权力。
通过这个例子,我们应该能明白setuid和setgid位的应用了,如同前面所说,让普通用户超越本身的能力,让普通用户能执行只有root才能执行的命令。在这一点,我们要和su和sudo 区分开来。
5.3 setuid和setgid的设置方法;
第一种方法:八进制方法:
setuid位是的设置用八进制的4000,setgid占用的是八进制的2000 ;比如我们前面所说的 chmod 4755 /bin/rm 就是设置的setuid位;
至于setuid的设置方法,只是在我们通过chmod设置文件或目录权限位的八进制方法的前面多加一个数字,也就是4。比如:
[root@localhost ~]# chmod 4755 /bin/rm 注:设置rm的权限为4755 , 就把setuid 位设置好了。
作为setgid 位占用的是八进制的2000位,我们下面举个例子;
[root@localhost ~]# cd /home/
[root@localhost home]# mkdir slackdir
[root@localhost home]# ls -ld slackdir/
drwxr-xr-x 2 root root 4096 04-24 18:25 slackdir/
[root@localhost home]# chmod 2755 slackdir/
[root@localhost home]# ls -ld slackdir/
drwxr-sr-x 2 root root 4096 04-24 18:25 slackdir/
我们看到 slackdir这个目录,经过改变权限后的,目录所归属用户组的那三个权限位是 r-s。 如果我们见到的是小写的s,表明文件所归属的用户组位有执行权限x。因为我们用了2755 ,意思是说文件属主拥有可读可写可执行权限,所归属的用户组拥有可读可执行权限,并且设置了setuid,所以这时本来文件所归属的用户组拥有r-x,现在加了setgid位,就把其中的x换成了s。如果文件所归属的用户组没有执行权限,这个权限应该是S。同理setuid位的中的大写的S和小写的s,也是这个原理。
见下面的例子;
[root@localhost home]# chmod 2740 slackdir/
[root@localhost home]# ls -ld slackdir/
drwxr-S--- 2 root root 4096 04-24 18:25 slackdir/
这个例子是因为目录slackdir所归属的组没有执行权限,这时本来在执行权限位上显示-,由于有了setuid,所以显示为S。
如果我们为一个文件的权限拥有 属主可读可写可执行、所归的组拥有可读可执行,其它用户可读可执行,并且同时设置setuid和setgid位,我们应该怎么运行命令呢?
[root@localhost ~]# touch gooddoc.txt
[root@localhost ~]# ls -l gooddoc.txt
-rw-r--r-- 1 root root 0 04-24 18:47 gooddoc.txt
[root@localhost ~]# chmod 6755 gooddoc.txt
[root@localhost ~]# ls -l gooddoc.txt
-rwsr-sr-x 1 root root 0 04-24 18:47 gooddoc.txt
所以,同时设置setuid和setgid,就是把setuid和setgid两个八进位的值相加 (4000+2000=6000),然后加上文件或目录的权限位的三位数值(上面的例子是755),然后通过chmod 运行就行了。所以上面例子中用了6755 。
第二种方法:通过助记语法;还是延用chmod的助记语法,通过u+s 或u-s 来增减setuid位,同理,我们可以通过g+s 或g-s 来setgid位;
[root@localhost ~]# touch mydoc.txt 注:创建一个文件;
[root@localhost ~]# ls -l mydoc.txt
-rw-r--r-- 1 root root 0 04-24 19:00 mydoc.txt
[root@localhost ~]# chmod u+s mydoc.txt
[root@localhost ~]# ls -l mydoc.txt
-rwSr--r-- 1 root root 0 04-24 19:00 mydoc.txt
我们也可以用file命令来查看setuid和setgid位,当然也能用file来查看文件的类型;
比如:
[root@localhost ~]# file /usr/bin/passwd
6、粘贴位及设置方法;
粘贴位的理解,我们还是先看一个例子;
[root@localhost ~]# ls -ld /tmp/
drwxrwxrwt 12 root root 4096 04-24 18:36 /tmp/
我们看到/tmp权限位最后的一个字母是 t。这就是设置了粘贴位。
粘贴位的设置,可以用八进制的1000位来设置。比如
[root@localhost ~]# mkdir googledir
[root@localhost ~]# ls -ld googledir/
drwxr-xr-x 2 root root 4096 04-24 21:59 googledir/
[root@localhost ~]# chmod 1755 googledir/
[root@localhost ~]# ls -ld googledir/
drwxr-xr-t 2 root root 4096 04-24 21:59 googledir/
也可以用chmod 的助记语法来设置。用o+t表示设置粘帖位,用o-t表示取消粘贴位;
[root@localhost ~]# ls -ld googledir/
drwxr-xr-x 2 root root 4096 04-24 21:59 googledir/
[root@localhost ~]# chmod o+t googledir/
[root@localhost ~]# ls -ld googledir/
drwxr-xr-t 2 root root 4096 04-24 21:59 googledir/
粘贴位现在也很少用了,不过对于象/tmp目录这样的,是整个系统临时文件存放在,还是有点意义。一个目录既使它的所有权限都开放rwxrwxrwx,如果是设置了粘帖位,除非目录的属主和root用户有权限删除它,除此之外其它用户不能删除这个目录。用途一般是把一个文件夹的的权限都打开,然后来共享文件,象/tmp目录一样。
建议最好不要用!
7、文件或目录的归属关系;
文件或目录的归属关系主要定义文件归属哪个用户所有及归于哪个用户组所有。
[root@localhost ~]# ls -ld dony.txt
-rw-rw-rw- 1 root root 0 04-24 15:05 dony.txt
上面的例子表示,dony.txt 这个文件,其属主是root,归属的组是root用户组,而root用户所拥有的权限是rw-,root用户组拥有的权限是rw-。
有时我们可能不理解,为什么Linux要设置文件的属主、属组,为什么还要为属主、属组和其它用户都要设置权限呢??我们在以前的文档说过,Linux是多用户的操作系统,文件的安全性对Linux是极为重要的,Linux的安全性主要表示在用户管理和权限(用户的权限及文件的权限)管理上。
7.1 改变文件的当属关系的工具 chown ;
当我们要改变一个文件的属组,我们所使用的用户必须是该文件的属主而且同时是目标属组成员,或超级用户。只有超级用户的才能改变文件的属主。
chown 语法:
#chown [选项]... [所有者][:[组]] 文件...
举例:将example.txt文件的属主改为linuxsirorg用户;
[root@localhost ~]# ls -l example.txt
-rw-r--r-- 1 root root 0 04-24 22:37 example.txt
[root@localhost ~]# ls -l example.txt
-rw-r--r-- 1 linuxsirorg root 0 04-24 22:37 example.txt
[root@localhost ~]# chown beinan:root example.txt
[root@localhost ~]# ls -l example.txt
-rw-r--r-- 1 beinan root 0 04-24 22:37 example.txt
chown 所接的新的属主和新的属组之间应该以.或:连接,属主和属组之一可以为空。如果属主为空,应该是 :属组 ;如果属组为空 就就不必需要.或:了。
[root@localhost ~]# ls -l sun.txt
-rwxr-xr-x 2 root root 29 04-22 21:02 sun.txt
[root@localhost ~]# chown beinan sun.txt 注:把sun.txt文件的属主改为beinan;
[root@localhost ~]# ls -l sun.txt
-rwxr-xr-x 2 beinan root 29 04-22 21:02 sun.txt
[root@localhost ~]# chown :beinan sun.txt 注:把sun.txt文件的属组改为beinan
[root@localhost ~]# ls -l sun.txt
-rwxr-xr-x 2 beinan beinan 29 04-22 21:02 sun.txt
[root@localhost ~]# chown root:linuxsir sun.txt 注:把sun.txt的属主改为root,把改组改为linuxsir用户组;
[root@localhost ~]# ls -l sun.txt
-rwxr-xr-x 2 root linuxsir 29 04-22 21:02 sun.txt
chown 也提供了-R参数,这个参数对目录改变属主和属组极为有用,我们可以通过加-R参数来改变某个目录下的所有文件到新的属主或属组;
[root@localhost ~]# ls -ld mydir/ 注:查看mydir目录的属性
drwxr-xr-x 2 root root 4096 04-25 09:08 mydir/ 注:我们发现此目录的属主是root用户,属组是root用户组;
[root@localhost ~]# ls -lr mydir/ 注:我们查看mydir目录下的有什么文件,及他们的属主和属组;
总计 8
-rwxr-xr-x 2 beinan linuxsir 29 04-22 21:02 sun.txt
-rwxr-xr-x 2 beinan linuxsir 29 04-22 21:02 sun002.txt
lrwxrwxrwx 1 root root 7 04-21 22:16 sun001.txt -> sun.txt
-rw-r--r-- 1 linuxsirorg root 0 04-24 22:37 example.txt
-rw-rw-rw- 1 beinan root 0 04-24 15:05 dony.txt
[root@localhost ~]# chown -R beinan:linuxsir mydir/ 注:我们修改mydir及它的下级目录和所有文件到新的用户和用户
组;
[root@localhost ~]# ls -ld mydir/
drwxr-xr-x 2 beinan linuxsir 4096 04-25 09:08 mydir/
[root@localhost ~]# ls -lr mydir/
总计 8
-rwxr-xr-x 2 beinan linuxsir 29 04-22 21:02 sun.txt
-rwxr-xr-x 2 beinan linuxsir 29 04-22 21:02 sun002.txt
lrwxrwxrwx 1 beinan linuxsir 7 04-21 22:16 sun001.txt -> sun.txt
-rw-r--r-- 1 beinan linuxsir 0 04-24 22:37 example.txt
-rw-rw-rw- 1 beinan linuxsir 0 04-24 15:05 dony.txt
值得注意的是chown 和chmod 类似,我们 改变一个目录下的所有.file时的属主和属组时要小心操作。比如我们要改变testdir及它目录下的所有.file 的属主和改组时。下面的例子操作是错误的。
[root@localhost ~]# ls -ld /root/ 注:查看/root目录的属性,主要看他的属主和属组;
drwxr-xr-x 19 root root 4096 04-25 09:20 /root/ 注:属主是root,属组是root用户组;
[root@localhost ~]# ls -ld /root/testdir/ 注:查看/root/testdir 目录的属主和属组;
drwxr-xr-x 2 root root 4096 04-25 09:20 /root/testdir/ 注:属主是root,属组是root用户组;
[root@localhost ~]# chown -R beinan:beinan /root/testdir/.* 注:改变/root/testdir目录下的以.开头的所有文件(注
:假设我们是这么想的)
[root@localhost ~]# ls -ld /root/ 注:查看/root的属性;
drwxr-xr-x 19 beinan beinan 4096 04-25 09:20 /root/ 注:看到了吧,testdir 目录的上组目录/root的属主和属组也改变了。
[root@localhost ~]# ls -ld /root/testdir/ 注:查看testdir
drwxr-xr-x 2 beinan beinan 4096 04-25 09:20 /root/testdir/
所以我们用.*来匹配文件时,可能会存在让chown 误操作,这样会连同父目录的属主和属组的归属关系也被改变。
7.2 改变文件的属组工具 chgrp ;
语法:
chgrp [参数选项]... 组 文件...
它的用户和chown 类似,只不过它仅是用来改变文件或目录的属组的;-R参数用于目录及目录下所有文件改变属组的。这和chown也是一样的。简单来两个例子;
例子一:
[root@localhost ~]# ls -l sun.txt
-rw-r--r-- 1 root root 0 04-25 09:38 sun.txt
[root@localhost ~]# chgrp beinan sun.txt 注:改变sun.txt的属组为beinan用户组;
[root@localhost ~]# ls -l sun.txt
-rw-r--r-- 1 root beinan 0 04-25 09:38 sun.txt
例子二:
[root@localhost ~]# ls -ld mydir/
drwxr-xr-x 2 root root 4096 04-25 09:08 mydir/
[root@localhost ~]# ls -lr mydir/
总计 8
-rwxr-xr-x 2 root root 29 04-22 21:02 sun.txt
-rwxr-xr-x 2 root root 29 04-22 21:02 sun002.txt
lrwxrwxrwx 1 root root 7 04-21 22:16 sun001.txt -> sun.txt
-rw-r--r-- 1 root root 0 04-24 22:37 example.txt
-rw-rw-rw- 1 root root 0 04-24 15:05 dony.txt
[root@localhost ~]# chgrp -R linuxsir mydir/ 注:改变所mydir及其下面所有的文件及子目录的属组为linuxsir;
[root@localhost ~]# ls -ld mydir/
drwxr-xr-x 2 root linuxsir 4096 04-25 09:08 mydir/
[root@localhost ~]# ls -lr mydir/
总计 8
-rwxr-xr-x 2 root linuxsir 29 04-22 21:02 sun.txt
-rwxr-xr-x 2 root linuxsir 29 04-22 21:02 sun002.txt
lrwxrwxrwx 1 root linuxsir 7 04-21 22:16 sun001.txt -> sun.txt
-rw-r--r-- 1 root linuxsir 0 04-24 22:37 example.txt
-rw-rw-rw- 1 root linuxsir 0 04-24 15:05 dony.txt
7.3 文件属主和属组的特殊情况 ;
[root@localhost ~]# ls -lh sungood.txt
-rw-r--r-- 1 501 502 85 04-25 13:45 sungood.txt
上面的例子是不是有点怪?因为他的属主和属组都是一个数值;这是为什么呢?出现这种情况的原因是系统中不存在与之对应的用户,所以只能以数字形式显示了。有时我们删除了用户,但没有删除其家目录,这种情况下,它的家目录的属主和属组也会变成数字;
[root@localhost ~]# userdel linuxsir
[root@localhost ~]# ls -ld /home/linuxsir
drwx------ 16 501 502 4096 03-27 02:28 /home/linuxsir
8、影响文件的读写执行的因素;
之所以把这部份的内容单列出来,是因为这部份的内容是基于我们对用户管理及文件权限了解的基础上进行的。比如一个文件的读、写、执行,它要受到哪几方面的影响。
一个文件能不能被读取,要受到它的属主、属组及其它用户权限的影响,还要受到其父目录权限的影响。我们来举个例子;
[root@localhost ~]# cd /home 注:进入/home 目录;
[root@localhost home]# mkdir redhatdir 注:创建一个目录redhatdir
[root@localhost home]# touch redhatdir/test.txt 注:创建一个文件test.txt
[root@localhost home]# chmod 700 redhatdir/ 注:修改redhatdir的权限 ,为属主可读可写可执行,属组和其它用户无权限;
[root@localhost home]# ls -ld redhatdir/ 注:查看redhatdir的属性;
drwx------ 2 root root 4096 04-25 13:01 redhatdir/
[root@localhost home]# ls -lr redhatdir/ 注:查看test.txt 文件的属性;
总计 0
-rw-r--r-- 1 root root 0 04-25 13:02 test.txt
[root@localhost home]# su beinan 注:我们切换到普通用户beinan
[beinan@localhost home]$ cd redhatdir/ 注:进入redhatdir目录,以beinan用户身份。
bash: cd: redhatdir/: 权限不够
[beinan@localhost home]$ more redhatdir/test.txt
redhatdir/test.txt: 权限不够
解释:我们通过这个例子来看,为什么test.txt在其它用户权位上拥有可读权限r--,但我们用普通用户还不能查看它的内容呢?这是因为他的父目录没有其它用户的何读权限。我们是不是redhatdir目录的其它用户可读权限打开,就能让普通用户beinan能读取 test.txt的内容了呢??
[root@localhost home]# chmod 704 redhatdir/
[root@localhost home]# ls -ld redhatdir/
drwx---r-- 2 root root 4096 04-25 13:02 redhatdir
[root@localhost home]# su beinan
[beinan@localhost home]$ cd redhatdir/
bash: cd: redhatdir/: 权限不够
看来如果不设置属组的权限,只打开属主的权限及其它用户在redhatdir目录的读权限的情况下,其它用户是不能访问的;我们应该把test.txt父目录的 redhatdir 的属主的读、写、执行要打开,还要把父目录的属组的读和执行权限打开,其它用户的读和执行权限打开,也就是要拥有 rwxr-xr-x 权限,这样文件的其它用户才能访问。
[root@localhost home]# chmod 755 redhatdir/
[root@localhost home]# more redhatdir/test.txt
好象这块说的不太清楚,如果您看不太明白,多多chmod 练习练习,也没有什么难的。
其实为文件分配权限的最终目的是让文件的属主有何权限,让属组下的用户有何权限,让其它用户有何权限。文件权限是和用户管理相关联的,所以理解这方面的内容还得了解用户管理。
9、文件被修改或被访问的时间;
[root@localhost ~]# ls -l adduml02.sh
-rwxr-xr-x 1 root root 545 04-21 22:26 adduml02.sh
我们通过查看 文件的属性时,会发现它的时间标记,比如上面的 04-21 22:26 。这个时间并不代表文件被创建的时候,他是代表文件被访问或被修改的时间。文件被修改的时间比较好理解,比如我们可以用编辑器来修改文本文件,然后保存一下,这样文件的时间就变了。
当然也有其它的工具不修改文件的内容,只修改文件的时间,这时可以被称为访问时间。比如touch工具能达到这个目的。
[root@localhost ~]# ls -l adduml02.sh
-rwxr-xr-x 1 root root 545 04-21 22:26 adduml02.sh
[root@localhost ~]# touch adduml02.sh 注:更新文件的访问时间成为当前系统时间;
[root@localhost ~]# ls -l adduml02.sh
-rwxr-xr-x 1 root root 545 04-25 11:21 adduml02.sh
关于touch 的用法, 更多的请参见: man touch或touch --help
10、文件属性和文件系统属性的关系;
文件系统的特性决定着文件属性的定义和修改,比如我们通过 chattr 来锁定一个文件为不可修改或不可删除时,要用到chattr 的+i参数;这在ext2和ext3文件系统是有效的,但在reiserfs 文件系统是没有任何效果的;
[root@localhost ~]# chattr +i lsfile.sh
[root@localhost ~]# lsattr lsfile.sh
----i-------- lsfile.sh
[root@localhost ~]# rm -rf lsfile.sh
rm: 无法删除 “lsfile.sh”: 不允许的操作
注:如果把lsfile.sh变成可修改可删除,应该用-i参数;
比如在ext3或ext2 文件系统中,我们要让一个文件只能追加内容,但不能删除。应该用chattr的+a参数。
如果您在用ext3文件系统,想查看chattr 的帮助,请man chattr 。
(责任编辑:A6)